Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы в Ransom 32

1 2 След.
RSS
 
Leshka Sorov
Leshka Sorov
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 14.03.2016
Размещено 14.03.2016 16:08:59
Добрый день. Комп поймал вирус. Все файлы перестали открывается. Пишет нельзя прочесть, не поддерживаемый файл или просто иероглифы выдает в ворде. Выскочило окно Ransom 32 с отчетом времени и требование ввести код для дешифровки. Нашел процесс с этим окном удалил и его с компа тоже. Нод 32 нашел вирусы и удалил все, но файлы так и остались зашифрованы. Помогите, кто знает как, расшифровать.
Скрытый текст
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.03.2016 16:23:24
1. добавьте образ автозапуска
   (ссылка в моей подписи)
2. добавьте несколько зашифрованных файлов.
Изменено: santy - 14.03.2016 16:23:58
[ Как создать образ автозапуска? ]
 
Leshka Sorov
Leshka Sorov
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 14.03.2016
Размещено 14.03.2016 16:30:16
Подскажите пожалуйста , как добавить файлы ??
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.03.2016 16:38:04
добавить зашифрованные файлы в архив,
залить архив на http://rghost.ru
и дать ссылку на файл архива в вашем сообщении
[ Как создать образ автозапуска? ]
 
Leshka Sorov
Leshka Sorov
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 14.03.2016
Размещено 14.03.2016 16:56:15
Зашифрованное фото http://rghost.ru/6vLKRDCzH . Фото на экране которое выскакивало http://rghost.ru/7lKcwbvkb    образ автозапуска http://rghost.ru/7Jy42LcWQ
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.03.2016 17:54:33
откуда был запущен шифратор: из электронной почты, или какой-то файл скачали из сети?

если файл сохранился который вы выкачали из сети, добавьте его в архив с паролем infected
и вышлите в почту [email protected]

или вышлите ссылку в почту. на файл который вы скачали из сети и запустили.
это может быть файл *scr или самораспаковывающийся архив.
Изменено: santy - 14.03.2016 18:11:47
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.03.2016 18:04:27
так же добавьте лог журнала обнаружения угроз ESET
http://forum.esetnod32.ru/forum9/topic1408/
[ Как создать образ автозапуска? ]
 
Leshka Sorov
Leshka Sorov
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 14.03.2016
Размещено 14.03.2016 18:43:00
Журнал обнаружений http://rghost.ru/main
НА счет шифратора не знаю. Был на работе. Приехал жена показала все, что уже имеем и не нашел от куда запущена была с какого сайта и ничего не было скачано.. Нашел процесс Decvi и удалил и у меня исчезло всплывающее окно http://rghost.ru/7lKcwbvkb
Затем что запускается программа с C:\Users\user\AppData\Roaming\Decvi Safjuh  и удалил папку с программой. Окно больше не вылазит, но файлы так и зашифрованы. Программу эту высылаю на почту Вам.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.03.2016 19:04:16
конечно, программы надо качать с оф. сайтов
https://get.adobe.com/ru/flashplayer/

лог журнала обнаружения угроз я так и не увидел.
Изменено: santy - 14.03.2016 19:04:44
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.03.2016 19:38:32
через lnk в стартапе запускался файлик

Цитата
Полное имя                  C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP (DISABLED BY STARTER)\DECVI.LNK
Имя файла                   DECVI.LNK
Тек. статус                 [Запускался неявно или вручную]
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
Размер                      970 байт
Создан                      11.03.2016 в 09:15:39
Изменен                     11.03.2016 в 09:20:16
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
Ярлык                       Указывает на отсутствующий объект
TARGET                      C:\USERS\USER\APPDATA\ROAMING\DECVI SAFJUH\DECVI.EXE NJworuUNdkEaSiou67
SHA1                        8EC97C9A1DB20F65AEA5F8283B9B92D9C27B5291
MD5                         E9E1A341C228DBFCAC3226F01AB3A899
                           
этот файл посмотрите
C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP (DISABLED BY STARTER)\DECVI.LNK

хотя, без этого файла
C:\USERS\USER\APPDATA\ROAMING\DECVI SAFJUH\DECVI.EXE
ему уже нечего запускать
Изменено: santy - 14.03.2016 19:39:09
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему