файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS
Здравствуйте.
Зашифровали файлы, расширение у файлов .[garryhelpyou@qq.com].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============


расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Ответы

судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[castor-troy-restore@protonmail.com].java
это не Crysis, какой-то другой вариант шифратора.

у Crysis.java друго шаблон шифрованного файла, с добавлением ID:
inf.txt.id-E8F4FE5C.[decrypthelp@qq.com].java

т.е. имя файла+расширение + ID-Hex8+mail+.java

если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве.
+
добавьте файл записки о выкупе.
Цитата
santy написал:
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[castor-troy-restore@protonmail.com].java
это не Crysis, какой-то другой вариант шифратора.

у Crysis.java друго шаблон шифрованного файла, с добавлением ID:
inf.txt. id-E8F4FE5C .[decrypthelp@qq.com].java

т.е. имя файла+расширение + ID-Hex8+mail+.java

если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве.
+
добавьте файл записки о выкупе
Хорошо.
Завтра добавлю.
Цитата
Edward Kan написал:
Цитата
 santy  написал:
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[ castor-troy-restore@protonmail.com ].java
это не Crysis, какой-то другой вариант шифратора.

у Crysis.java друго шаблон шифрованного файла, с добавлением ID:
inf.txt. id-E8F4FE5C .[ decrypthelp@qq.com ].java

т.е. имя файла+расширение + ID-Hex8+mail+.java

если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве.
+
добавьте файл записки о выкупе
Хорошо.
Завтра добавлю.
Добрый день.
2 файла: http://rgho.st/8XPhMV4RW
Требование об оплате: http://rgho.st/6S7kpfpT5
Изменено: Edward Kan - 18.07.2018 03:26:00
Цитата
Edward Kan написал:
Добрый день.2 файла:  http://rgho.st/8XPhMV4RW Требование об оплате:  http://rgho.st/6S7kpfpT5
нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в support@esetnod32.ru
Цитата
santy написал:
Цитата
 Edward Kan  написал:
Добрый день.2 файла:   http://rgho.st/8XPhMV4RW  Требование об оплате:   http://rgho.st/6S7kpfpT5  
нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в support@esetnod32.ru
1. Что такое VT
2. Чистых файлов нету.
3. Файла нет.
Цитата
Edward Kan написал:
Цитата
 santy  написал:
Цитата
 Edward Kan  написал:
Добрый день.2 файла:    http://rgho.st/8XPhMV4RW   Требование об оплате:    http://rgho.st/6S7kpfpT5  
нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в  support@esetnod32.ru
1. Что такое VT
2. Чистых файлов нету.
3. Файла нет.

1. этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com и дайте нас ссылку проверки в вашем сообщении.

2. проверьте в этой папке есть зашифрованные файлы?
C:\Users\Public\Pictures\Sample Pictures
если есть, тогда добавьте несколько зашифрованных файлов из этой папки

3. можете самостоятельно попытаться идентифицировать шифратор
https://id-ransomware.malwarehunterteam.com/index.php
Цитата
santy написал:
Цитата
 Edward Kan  написал:
Цитата
 santy  написал:
Цитата
 Edward Kan  написал:
Добрый день.2 файла:     http://rgho.st/8XPhMV4RW    Требование об оплате:     http://rgho.st/6S7kpfpT5    
нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в   support@esetnod32.ru  
1. Что такое VT
2. Чистых файлов нету.
3. Файла нет.
1. этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com  и дайте нас ссылку проверки в вашем сообщении.

2. проверьте в этой папке есть зашифрованные файлы?
C:\Users\Public\Pictures\Sample Pictures
если есть, тогда добавьте несколько зашифрованных файлов из этой папки

3. можете самостоятельно попытаться идентифицировать шифратор
https://id-ransomware.malwarehunterteam.com/index.php
1. В данном месте нету файла.
https://www.virustotal.com/#/file/5d0ee7682690a644a2a3de8e2e4c747d135ebba6453b46dee14e01­ba80ed7502/d...
Проверил первый раз показал вирус trojan.Раздел Microsoft.
Проверил второй раз фай чистый, проверил другой файл тоже чистый.
2.В той папке нету файлов.
Изменено: Edward Kan - 19.07.2018 03:10:52
судя по образу был активен в момент создания образа.

Цитата
Полное имя                  C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
Имя файла                   MARVEL.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Процесс                     32-х битный
File_Id                     5B30D956A2000
Linker                      14.11
Размер                      260608 байт
Создан                      17.07.2018 в 03:24:58
Изменен                     25.06.2018 в 21:00:24
                           
TimeStamp                   25.06.2018 в 12:00:22
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 3616                  IRAS\iraira1234
CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан              16:06:12 [2018.07.17]
С момента создания          00:40:12
parentid = 3752            
pid = 3716                  IRAS\iraira1234
CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан              16:06:10 [2018.07.17]
С момента создания          00:40:15
parentid = 2684            
SHA1                        A33551836E5284132CC9AEDC28D9EA3450AA0128
MD5                         96C3139F571A36A1E8968208D40A4FC1
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\R­un\MarvelHost
MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe
                           
Ссылка                      HKEY_USERS\S-1-5-21-2137272904-2086164111-3768165105-1001\Software\Microsoft\Windows\CurrentVersion\Run\MarvelHos­t
MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe
                           
Образы                      EXE и DLL
MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING
MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING
                           

линк проверки нужен именно для этого файла.
Цитата
santy написал:
судя по образу был активен в момент создания образа.
Цитата
Полное имя                  C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
Имя файла                   MARVEL.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Процесс                     32-х битный
File_Id                     5B30D956A2000
Linker                      14.11
Размер                      260608 байт
Создан                      17.07.2018 в 03:24:58
Изменен                     25.06.2018 в 21:00:24
                           
TimeStamp                   25.06.2018 в 12:00:22
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 3616                  IRAS\iraira1234
CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан              16:06:12 [2018.07.17]
С момента создания          00:40:12
parentid = 3752            
pid = 3716                  IRAS\iraira1234
CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан              16:06:10 [2018.07.17]
С момента создания          00:40:15
parentid = 2684            
SHA1                        A33551836E5284132CC9AEDC28D9EA3450AA0128
MD5                         96C3139F571A36A1E8968208D40A4FC1
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\R­ ­un\MarvelHost
MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe
                           
Ссылка                      HKEY_USERS\S-1-5-21-2137272904-2086164111-3768165105-1001\Software\Microsoft\Windows\CurrentVersion\Run\MarvelHos­ ­t
MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe
                           
Образы                      EXE и DLL
MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING
MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING
                           
линк проверки нужен именно для этого файла.
https://www.virustotal.com/#/file/333ab4a2d64a023ce61d0c2f4ce109b3c08f8e50b34156b7f7613a­c575a97cd0/d... MARVEL.EXE
Нашелся.
по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
apply

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/7z)  отправить в почту safety@chklst.ru, support@esetnod32.ru  
------------
Читают тему (гостей: 2)