файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS

Сообщений: 3

Баллов: 1

Регистрация: 18.08.2017

Размещено 18.08.2017 13:05:49

Здравствуйте.
Зашифровали файлы, расширение у файлов .[[email protected]].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============

расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Прикрепленные файлы

Цена.xlsx.id-3A18F9A4.[[email protected]].cesar.zip (11.5 КБ)
NEWFISH-SRV1_2017-08-18_12-48-49.7z (445.16 КБ)

Ответы

Пред. 1 ... 10 11 12 13 14 15 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 29.06.2018 05:14:27

Цитата
Армен Кунтов написал: Доброе время суток! Можете еще посмотреть один образ автозапуска?

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\USERS\IPMI\APPDATA\ROAMING\INFO.HTA delall %Sys32%\INFO.HTA delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA delall %SystemDrive%\USERS\IPMI\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E46E2AC.[[email protected]].ARROW delall %SystemDrive%\USERS\IPMI\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E46E2AC.[[email protected]].ARROW delall %Sys32%\1TASK.EXE delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1TASK.EXE delall %SystemDrive%\USERS\IPMI\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1TASK.EXE apply QUIT

Код


;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\IPMI\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\USERS\IPMI\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E46E2AC.[[email protected]].ARROW
delall %SystemDrive%\USERS\IPMI\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E46E2AC.[[email protected]].ARROW
delall %Sys32%\1TASK.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1TASK.EXE
delall %SystemDrive%\USERS\IPMI\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1TASK.EXE
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 04.07.2018

Размещено 04.07.2018 22:35:53

Здравствуйте! Прилетел шифровальщик по RDP, кидаю образа. Помогите пжл по очистке систем от него

Прикрепленные файлы

BUH-MER-GB_2018-07-04_22-10-36.7z (676.86 КБ)
UX_2018-07-04_21-50-08.7z (1 МБ)
MERIDIAN-AD_2018-07-04_21-48-15.7z (394.92 КБ)

Изменено: viktor tarasov - 05.07.2018 00:43:23

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2018 11:44:15

Цитата
viktor tarasov написал: Здравствуйте! Прилетел шифровальщик по RDP, кидаю образа. Помогите пжл по очистке систем от него

судя по образам:
buh-mer-gb чист, или уже очищен о тел шифратора.
-------------
UX чист, или уже очищен о тел шифратора.
-------------
MEREDIAN-AD чист, или уже очищен о тел шифратора.

сервис C:\AA_3V.EXE если был установлен не вами следует удалить.
Win32/RemoteAdmin.Ammyy.B potentially unsafe
Program.RemoteAdmin.758
--------------

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 05.07.2018 18:26:56

+
На системе: UX
майнер\ы:
C:\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\NICEHASHMINERLEGACY.EXE
C:\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\BIN_3RDPARTY\CLAYMORE_CRYPTONIGHT\NSGPUCNMINER.EXE

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 06.07.2018 06:05:00

Цитата
RP55 RP55 написал: + На системе: UX майнер\ы: C:\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\NICEHASHMINERLEGACY.EXE C:\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\BIN_3RDPARTY\CLAYMORE_CRYPTONIGHT\NSGPUCNMINER.EXE

по очистке UX от прочих тел:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\NICEHASHMINERLEGACY.EXE delall %SystemDrive%\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\BIN_3RDPARTY\CLAYMORE_CRYPTONIGHT\NSGPUCNMINER.EXE delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC apply regt 27 restart

Код


;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\NICEHASHMINERLEGACY.EXE
delall %SystemDrive%\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\BIN_3RDPARTY\CLAYMORE_CRYPTONIGHT\NSGPUCNMINER.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 12

Баллов: 6

Регистрация: 17.07.2018

Размещено 17.07.2018 11:32:16

дравствуйте.
Зашифровали файлы, расширение у файлов [email protected].java, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
http://rgho.st/8LRwq6vKR Зашифрованный файл.
http://rgho.st/6Jnp6BbMS Образ.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.07.2018 12:11:26

@Edward Kan,
Шифрование давно было?
после java было еще несколько свежих вариантов: write, arrow, bip
ни по одному варианту (в том числе и по java) в настоящее время нет расшифровки/
сохраните важные документы на отдельный носитель, возможно в будущем наступит время расшифровки.
(если станут доступны приватные ключи по данным вариантам).

[ Как создать образ автозапуска? ]

Сообщений: 12

Баллов: 6

Регистрация: 17.07.2018

Размещено 17.07.2018 12:14:08

Цитата
@Edward Kan, Шифрование давно было? после java было еще несколько свежих вариантов: write, arrow, bip ни по одному варианту (в том числе и по java) в настоящее время нет расшифровки/ сохраните важные документы на отдельный носитель, возможно в будущем наступит время расшифровки. (если станут доступны приватные ключи по данным вариантам).

Цитата

Сегодня Зашифровали.
Спасибо

Изменено: Edward Kan - 17.07.2018 12:18:00

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.07.2018 12:17:52

этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com и дайте нас ссылку проверки в вашем сообщении.
---------
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[[email protected]].java
это не Crysis, какой-то другой вариант шифратора.

[ Как создать образ автозапуска? ]

Сообщений: 12

Баллов: 6

Регистрация: 17.07.2018

Размещено 17.07.2018 12:18:53

Цитата
santy написал: этот файл вам знаком? C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE если нет, проверьте здесь http://virustotal.com и дайте нас ссылку проверки в вашем сообщении.

Хорошо проверю.
спс

Пред. 1 ... 10 11 12 13 14 15 След.