файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS
Здравствуйте.
Зашифровали файлы, расширение у файлов .[garryhelpyou@qq.com].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============


расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Ответы

Цитата
A Degtyarev написал:
Образ автозапуска uvs_latest в аттаче
да, файлы шифратора остались в системе.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\AVITIM\APPDATA\ROAMING\INFO.HTA
zoo %Sys32%\INFO.HTA
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-FCE36AAB.[DEFUNES@AOLONLINE.TOP].ARENA
delall %SystemDrive%\USERS\AVITIM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-FCE36AAB.[DEFUNES@AOLONLINE.TOP].ARENA
delall %SystemDrive%\USERS\MYADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-FCE36AAB.[DEFUNES@AOLONLINE.TOP].ARENA
delall %SystemDrive%\USERS\AVITIM\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
zoo %SystemDrive%\USERS\AVITIM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DEFUNES@AOLONLINE.TOP.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 crysis 7

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DEFUNES@AOLONLINE.TOP.EXE
zoo %Sys32%\DEFUNES@AOLONLINE.TOP.EXE
zoo %SystemDrive%\USERS\AVITIM\DESKTOP\XYI\DEFUNES@AOLONLINE.TOP.EXE
chklst
delvir

apply

deltmp
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
;-------------------------------------------------------------
czoo

restart

перезагрузка, пишем о старых и новых проблемах.
------------
Цитата
A Degtyarev написал:
Этот сайт не может обеспечить безопасное соединение
Сайт mega.nz отправил недействительный ответ.ERR_SSL_PROTOCOL_ERROR
К компу просто подключу монитор, и сниму образ автозапуска обычным uvs_latest, который уже скачал. В сеть ему, без очистки и удаления, ещё рано
кстати, обновил ссылку
https://mega.nz/#!pAtgTCLL!-xrFBQDh42PUW8BDxxDtJt9o5WLohwyaBwHPKHLhBGA
"по очистке системы выполните: " это для очистки системы?
или я сначала прогоняю cureit, которым обычно пользуюсь, а потом выполняю скрипт? или наоборот?
Цитата
A Degtyarev написал:
"по очистке системы выполните: " это для очистки системы?
или я сначала прогоняю cureit, которым обычно пользуюсь, а потом выполняю скрипт? или наоборот?
для очистки системы.
в данном случае имел ввиду, что скрипт только удалит тела шифратора,
(без расшифровки ваших файлов).
Выполнил скрипт, после перезагрузки, при входе в систему, получил окошко:

"All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail defunes@aolonline.top
Write this ID in the title of your message FCE36AAB
In case of no answer in 24 hours write us to theese e-mails:defunes@aolonline.top
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)" конец цитаты.
@A Degtyarev,
добавьте лог выполнения скрипта.
(файл дата_времяlog.txt в папке uVS)
посмотрю сейчас еще раз образ. возможно эта записка о выкупе болтается еще в автозапуске
вот эти файлы (записки о выкупе) еще удалите вручную
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
C:\USERS\AVITIM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
Здравствуйте
зашифровали
отправляю образ автозапуска и зашифрованный файл
@Ксюша Холод,
активных шифраторов уже нет в системе.
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\1C-12\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
;---------command-block---------
delall %SystemDrive%\USERS\1C-12\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\USERS\1C-12\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-86640510.[PAYFORDECRYPT1@QQ.COM].ARENA
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC
apply

QUIT

без перезагрузки,
------------
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

если вы лицензионный пользователь,
пришлите в support@esetnod32.ru желательно файл шифратора в архиве с паролем infected, несколько зашифрованных файлов, несколько чистых файлов, лог ESET log collector, созданный на пострадавшем от шифрования компьютере.
запускаю uVS 4 версию касперский блокирует, отключить антивирус?
Читают тему (гостей: 3)