файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS

Сообщений: 3

Баллов: 1

Регистрация: 18.08.2017

Размещено 18.08.2017 13:05:49

Здравствуйте.
Зашифровали файлы, расширение у файлов .[garryhelpyou@qq.com].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============

расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Прикрепленные файлы

Цена.xlsx.id-3A18F9A4.[garryhelpyou@qq.com].cesar.zip (11.5 КБ)
NEWFISH-SRV1_2017-08-18_12-48-49.7z (445.16 КБ)

Ответы

Пред. 1 2 3 4 5 ... 15 След.

Сообщений: 16955

Баллов: 13564

Регистрация: 16.03.2010

Размещено 09.09.2017 03:53:08

Цитата
Vics Vics написал: После выполнения скрипта пусто в Панель управления-Администрирование

возможно, это результат шифрования lnk файлов.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 12.09.2017

Размещено 12.09.2017 05:14:52

Добрый день,
продолбилась такая же зараза. Вовремя заметили подозрительную нагрузку, удалось часть данных спасти, но 30% все же зашифровано. Систему от вируса очистили. Удалось схватить исполняемый файл in.exe(во вложении архив с паролем 123) и пример зашифрованного файла в архиве setup.rar без пароля, в нем находится оригинальный файл и зашифрованный.
Каковы шансы на расшифровку?

Прикрепленные файлы

in.rar (183.87 КБ)
setup.rar (407.11 КБ)

Сообщений: 16955

Баллов: 13564

Регистрация: 16.03.2010

Размещено 12.09.2017 05:58:17

Цитата
Danila Bagrov написал: Добрый день, продолбилась такая же зараза. Вовремя заметили подозрительную нагрузку, удалось часть данных спасти, но 30% все же зашифровано. Систему от вируса очистили. Удалось схватить исполняемый файл in.exe(во вложении архив с паролем 123) и пример зашифрованного файла в архиве setup.rar без пароля, в нем находится оригинальный файл и зашифрованный. Каковы шансы на расшифровку?

Цитата

Danila Bagrov написал:
Добрый день,
продолбилась такая же зараза. Вовремя заметили подозрительную нагрузку, удалось часть данных спасти, но 30% все же зашифровано. Систему от вируса очистили. Удалось схватить исполняемый файл in.exe(во вложении архив с паролем 123) и пример зашифрованного файла в архиве setup.rar без пароля, в нем находится оригинальный файл и зашифрованный.
Каковы шансы на расшифровку?

добрый,
добавьте таки образ автозапуска для проверки системы, и возможно необходима еще очистка системы.

ESET-NOD32
Win32/Filecoder.Crysis.L
https://www.virustotal.com/#/file/8a3ce808ac369c618dd84df41a30f5d728d310548eb8be23c7a5f6a6ec5613ea/detection
---------
шансы на расшифровку есть, но не в настоящем, а в будущем.
пока что только актуальные архивы помогут вам восстановить те 30% что было зашифровано.
(проверьте так же теневые копии, возможно не успел шифратор их очистить).

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 14.09.2017

Размещено 14.09.2017 07:13:13

Добрый день.
Есть проблема в виде работы шифровальщика, определяемого как a variant of Win32/Filecoder.Crysys.L. Зашифрованы базы, расположенные локально, и в расшареных папках в локальной сети. Файлы получили расширение .[defunes@aolonline.top].arena. Так же, есть, предположительно виновник торжества, .exe файл, по имени defunes@aolonline.top.exe. Пораженный комп с тех пор не выключался, просто выдернут из сети. Образ автозапуска сделаю по прибытии на место. Нужна помощь по очистке системы, и, по возможности, расшифровке файлов.
С уважением,
A. Degtyarev.

Сообщений: 16955

Баллов: 13564

Регистрация: 16.03.2010

Размещено 14.09.2017 07:20:33

A Degtyarev,
если шифрование еще не закончилось, то при включении компа в сеть, шифрование может быть продолжено,
поэтому, или снять системный диск и подключить к чистой машине, и снять образ с зашифрованной системы,
или сделать образ автозапуска используя загрузочный диск Winpe&uVS

[ Как создать образ автозапуска? ]

Сообщений: 16955

Баллов: 13564

Регистрация: 16.03.2010

Размещено 14.09.2017 07:22:23

загрузочный диск можно скачать отсюда.
https://mega.nz/#!pAtgTCLL!-xrFBQDh42PUW8BDxxDtJt9o5WLohwyaBwHPKHLhBGA

после того как будет выложен образ, сразу напишем скрипт очистки от шифратора.
с расшифровкой все сложнее, но возможно теневые копии сохранились.
(после очистки можно проверить: живые они или нет)

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 14.09.2017

Размещено 14.09.2017 07:32:20

Этот сайт не может обеспечить безопасное соединение
Сайт mega.nz отправил недействительный ответ.ERR_SSL_PROTOCOL_ERROR
К компу просто подключу монитор, и сниму образ автозапуска обычным uvs_latest, который уже скачал. В сеть ему, без очистки и удаления, ещё рано.

Сообщений: 6

Баллов: 3

Регистрация: 14.09.2017

Размещено 14.09.2017 07:34:04

Шифрование, скорей всего, уже закончено. Есть просто слабая надежда, что в системе остались ключи шифрования.

Сообщений: 16955

Баллов: 13564

Регистрация: 16.03.2010

Размещено 14.09.2017 08:01:40

Цитата
A Degtyarev написал: Шифрование, скорей всего, уже закончено. Есть просто слабая надежда, что в системе остались ключи шифрования.

ок, можно и так, отключить комп от сети, и сделать образ автозапуска
минут через 30 буду

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 14.09.2017

Размещено 14.09.2017 08:13:08

Образ автозапуска uvs_latest в аттаче

Прикрепленные файлы

AB2K-S1C01_2017-09-14_10-57-06.7z (388.64 КБ)

Пред. 1 2 3 4 5 ... 15 След.