файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS
Здравствуйте.
Зашифровали файлы, расширение у файлов .[garryhelpyou@qq.com].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============


расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Ответы

Цитата
Vics Vics написал:
После выполнения скрипта пусто в  Панель управления-Администрирование
возможно, это результат шифрования lnk файлов.
Добрый день,
продолбилась такая же зараза. Вовремя заметили подозрительную нагрузку, удалось часть данных спасти, но 30% все же зашифровано. Систему от вируса очистили. Удалось схватить исполняемый файл in.exe(во вложении архив с паролем 123) и пример зашифрованного файла в архиве setup.rar без пароля, в нем находится оригинальный файл и зашифрованный.
Каковы шансы на расшифровку?  
Цитата
Danila Bagrov написал:
Добрый день,
продолбилась такая же зараза. Вовремя заметили подозрительную нагрузку, удалось часть данных спасти, но 30% все же зашифровано. Систему от вируса очистили. Удалось схватить исполняемый файл in.exe(во вложении архив с паролем 123) и пример зашифрованного файла в архиве setup.rar без пароля, в нем находится оригинальный файл и зашифрованный.
Каковы шансы на расшифровку?  
добрый,
добавьте таки образ автозапуска для проверки системы, и возможно необходима еще очистка системы.

ESET-NOD32
Win32/Filecoder.Crysis.L
https://www.virustotal.com/#/file/8a3ce808ac369c618dd84df41a30f5d728d310548eb8be23c7a5f6­a6ec5613ea/detection
---------
шансы на расшифровку есть, но не в настоящем, а в будущем.
пока что только актуальные архивы помогут вам восстановить те 30% что было зашифровано.
(проверьте так же теневые копии, возможно не успел шифратор их очистить).
Добрый день.
Есть проблема в виде работы шифровальщика, определяемого как a variant of Win32/Filecoder.Crysys.L. Зашифрованы базы, расположенные локально, и в расшареных папках в локальной сети. Файлы получили расширение .[defunes@aolonline.top].arena. Так же, есть, предположительно виновник торжества, .exe файл, по имени defunes@aolonline.top.exe. Пораженный комп с тех пор не выключался, просто выдернут из сети. Образ автозапуска сделаю по прибытии на место. Нужна помощь по очистке системы, и, по возможности, расшифровке файлов.
С уважением,
A. Degtyarev.
A Degtyarev,
если шифрование еще не закончилось, то при включении компа в сеть, шифрование может быть продолжено,
поэтому, или снять системный диск и подключить к чистой машине, и снять образ с зашифрованной системы,
или сделать образ автозапуска используя загрузочный диск Winpe&uVS
загрузочный диск можно скачать отсюда.
https://mega.nz/#!pAtgTCLL!-xrFBQDh42PUW8BDxxDtJt9o5WLohwyaBwHPKHLhBGA

после того как будет выложен образ, сразу напишем скрипт очистки от шифратора.
с расшифровкой все сложнее, но возможно теневые копии сохранились.
(после очистки можно проверить: живые они или нет)
Этот сайт не может обеспечить безопасное соединение
Сайт mega.nz отправил недействительный ответ.ERR_SSL_PROTOCOL_ERROR
К компу просто подключу монитор, и сниму образ автозапуска обычным uvs_latest, который уже скачал. В сеть ему, без очистки и удаления, ещё рано.
Шифрование, скорей всего, уже закончено. Есть просто слабая надежда, что в системе остались ключи шифрования.
Цитата
A Degtyarev написал:
Шифрование, скорей всего, уже закончено. Есть просто слабая надежда, что в системе остались ключи шифрования.
ок, можно и так, отключить комп от сети, и сделать образ автозапуска
минут через 30 буду
Образ автозапуска uvs_latest в аттаче
Читают тему (гостей: 1)