Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS
 
рыбка рыбка
рыбка рыбка
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 18.08.2017
Размещено 18.08.2017 13:05:49
Здравствуйте.
Зашифровали файлы, расширение у файлов .[[email protected]].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============


расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Ответы

Пред. 1 ... 4 5 6 7 8 ... 15 След.
 
Антон Зубаков
Антон Зубаков
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 19.10.2017
Размещено 20.10.2017 12:57:44
Добрый день. Поймали шифровальщик. Приложил требуемые файлы
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.10.2017 15:10:28
Антон Зубаков
Цитата
Антон Зубаков написал:
Добрый день. Поймали шифровальщик. Приложил требуемые файлы
Антон Зубаков,
судя по образу, систему уже очищена от дел шифратора, проверьте так же карантин антивируса.
по расшифровке, читаем выделенный текст из первого сообщения.

если вы лицензионный пользователь ESET, отправьте следующие файлы в техподдержку [email protected]
1. лог-файл, созданный на зашифрованной системе с помощью ESET log collector
2. архив с несколькими зашифрованными файлами,
3. архив с чистыми файлами
4. по возможности, файл шифратора в архиве, с паролем infected.
[ Как создать образ автозапуска? ]
 
Антон Зубаков
Антон Зубаков
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 19.10.2017
Размещено 20.10.2017 16:48:47
Спасибо. Пользователь лицензионный. Антивирус никак не среагировал на шифровальщик, стоит File Security последней версии, базы обновляются. Судя по всему вирус распространяется по сети, т.к. никакие ограниченные права у пользователей, ни антирус никак не защищают.
По пунктам сейчас пройдусь и все отправлю.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.10.2017 23:33:23
Цитата
Антон Зубаков написал:
Спасибо. Пользователь лицензионный. Антивирус никак не среагировал на шифровальщик, стоит File Security последней версии, базы обновляются. Судя по всему вирус распространяется по сети, т.к. никакие ограниченные права у пользователей, ни антирус никак не защищают.
По пунктам сейчас пройдусь и все отправлю.
Crysis был установлен, скорее всего, после взлома системы по RDP, если есть доступ к рабочему столу из внешней сети.
Меняйте пароли от админских учеток на сервере, меняйте стандартный порт подключения по RDP, настраивайте доступ по RDP из внешней сети только с определенных айпишников. Настраивайте безопасное подключение из внешней сети по VPN.
[ Как создать образ автозапуска? ]
 
Петр С
Петр С
Пользователь
Сообщений: 1
Регистрация: 08.11.2017
Размещено 08.11.2017 07:29:59
Доброго времени суток! Компьютер заразился вирусом шифровальщиком с расширением файлов .arena, появилось ли какое то решение для расшифровки файлов?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 08.11.2017 08:50:53
Цитата
Петр С написал:
Доброго времени суток! Компьютер заразился вирусом шифровальщиком с расширением файлов .arena, появилось ли какое то решение для расшифровки файлов?
пока нет расшифровки.
Если необходима помощь в очистке на зашифрованной системе, добавьте образ автозапуска системы.
[ Как создать образ автозапуска? ]
 
Роман Котов
Роман Котов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 04.01.2018
Размещено 04.01.2018 13:44:52
Здравствуйте, Помогите с дешифровкой файлов. Имена у файлов такие: P6200001.JPG.id-13B33FCE.[[email protected]].java
На virustotal Eset определяет как "a variant of Win32/Filecoder.Crysis.P"
Сейчас пишу с зараженного компьютера. Не перезагружал его.

Точно описать как произошло заражение не могу. У меня в системе две учетные записи. Скорее всего заражение пошло из второй, так как файлы с именем [email protected] и ProcessHacker.exe находятся также на рабочем столе второго пользователя.

Пока ничего не удалял, не перезагружал. Выгрузил файлы связанные с шифровальщиком через диспетчер задач. Надеюсь на помощь в расшифровке

На момент заражения был установлен ESS 8. Сейчас его нигде не видно. А на рабочем столе второго пользователя висит сообщение "Чтобы завершить установку Eset Smart Security необходимо перезагрузить компьютер"
Изменено: Роман Котов - 04.01.2018 16:28:18
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.01.2018 15:30:16
Роман,
используем TNOD,
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
поэтому помощь вам не будет оказана на техническом форуме.

эти файлы удалите вручную, или другим образом:
Цитата
C:\USERS\JULIA\DESKTOP\[email protected]
C:\USERS\PUBLIC\DOCUMENTS\BARTENDER\[email protected]
C:\WINDOWS\SYSTEM32\[email protected]
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]
C:\USERS\JULIA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]

ответ в личном сообщении.
[ Как создать образ автозапуска? ]
 
Роман Котов
Роман Котов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 04.01.2018
Размещено 04.01.2018 16:01:12
Есть ли вообще шанс на расшифровку в моем случае? при условии покупки вашего продукта?
вот что ответили в Dr.Web :
"Здравствуйте.

Файлы зашифрованы Trojan.Encoder.3953 v.4+
Расшифровка нашими силами невозможна.

Единственный способ восстановления данных - из резервных копий, если они имеются. "
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.01.2018 16:14:00
Роман,
вам никто не предлагает покупать в срочном порядке продукты ESET.
по правилам нашего форума, мы не оказываем помощь ни в расшифровке, ни в очистке системы от вредоносных программ,
для пользователей, которые используют взломанный антивирус от ESET.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 4 5 6 7 8 ... 15 След.
Читают тему