файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.07.2018 12:21:50

судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[[email protected]].java
это не Crysis, какой-то другой вариант шифратора.

у Crysis.java друго шаблон шифрованного файла, с добавлением ID:
inf.txt.id-E8F4FE5C.[[email protected]].java

т.е. имя файла+расширение + ID-Hex8+mail+.java

если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве.
+
добавьте файл записки о выкупе.

[ Как создать образ автозапуска? ]

Сообщений: 12

Баллов: 6

Регистрация: 17.07.2018

Размещено 17.07.2018 12:51:54

Цитата
santy написал: судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[[email protected]].java это не Crysis, какой-то другой вариант шифратора. у Crysis.java друго шаблон шифрованного файла, с добавлением ID: inf.txt. id-E8F4FE5C .[[email protected]].java т.е. имя файла+расширение + ID-Hex8+mail+.java если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве. + добавьте файл записки о выкупе

Цитата

santy написал:
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[[email protected]].java
это не Crysis, какой-то другой вариант шифратора.

у Crysis.java друго шаблон шифрованного файла, с добавлением ID:
inf.txt. id-E8F4FE5C .[[email protected]].java

т.е. имя файла+расширение + ID-Hex8+mail+.java

если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве.
+
добавьте файл записки о выкупе

Хорошо.
Завтра добавлю.

Сообщений: 12

Баллов: 6

Регистрация: 17.07.2018

Размещено 18.07.2018 03:22:37

Цитата

Edward Kan написал:

Цитата

santy написал:
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[ [email protected] ].java
это не Crysis, какой-то другой вариант шифратора.

у Crysis.java друго шаблон шифрованного файла, с добавлением ID:
inf.txt. id-E8F4FE5C .[ [email protected] ].java

т.е. имя файла+расширение + ID-Hex8+mail+.java

если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве.
+
добавьте файл записки о выкупе

Хорошо.
Завтра добавлю.

Добрый день.
2 файла: http://rgho.st/8XPhMV4RW
Требование об оплате: http://rgho.st/6S7kpfpT5

Изменено: Edward Kan - 18.07.2018 03:26:00

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.07.2018 06:01:47

Цитата
Edward Kan написал: Добрый день.2 файла: http://rgho.st/8XPhMV4RW Требование об оплате: http://rgho.st/6S7kpfpT5

нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение с просьбой о расшифровке файлов в [email protected]

[ Как создать образ автозапуска? ]

Сообщений: 12

Баллов: 6

Регистрация: 17.07.2018

Размещено 18.07.2018 07:38:03

Цитата

santy написал:

Цитата
Edward Kan написал: Добрый день.2 файла: http://rgho.st/8XPhMV4RW Требование об оплате: http://rgho.st/6S7kpfpT5

нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение с просьбой о расшифровке файлов в [email protected]

1. Что такое VT
2. Чистых файлов нету.
3. Файла нет.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.07.2018 08:52:15

Цитата

Edward Kan написал:

Цитата

santy написал:

Цитата
Edward Kan написал: Добрый день.2 файла: http://rgho.st/8XPhMV4RW Требование об оплате: http://rgho.st/6S7kpfpT5

нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение с просьбой о расшифровке файлов в [email protected]

1. Что такое VT
2. Чистых файлов нету.
3. Файла нет.

1. этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com и дайте нас ссылку проверки в вашем сообщении.

2. проверьте в этой папке есть зашифрованные файлы?
C:\Users\Public\Pictures\Sample Pictures
если есть, тогда добавьте несколько зашифрованных файлов из этой папки

3. можете самостоятельно попытаться идентифицировать шифратор
https://id-ransomware.malwarehunterteam.com/index.php

[ Как создать образ автозапуска? ]

Сообщений: 12

Баллов: 6

Регистрация: 17.07.2018

Размещено 19.07.2018 03:10:11

Цитата

santy написал:

Цитата

Edward Kan написал:

Цитата

santy написал:

Цитата
Edward Kan написал: Добрый день.2 файла: http://rgho.st/8XPhMV4RW Требование об оплате: http://rgho.st/6S7kpfpT5

нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение с просьбой о расшифровке файлов в [email protected]

1. Что такое VT
2. Чистых файлов нету.
3. Файла нет.

1. этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com и дайте нас ссылку проверки в вашем сообщении.

2. проверьте в этой папке есть зашифрованные файлы?
C:\Users\Public\Pictures\Sample Pictures
если есть, тогда добавьте несколько зашифрованных файлов из этой папки

3. можете самостоятельно попытаться идентифицировать шифратор
https://id-ransomware.malwarehunterteam.com/index.php

1. В данном месте нету файла.
https://www.virustotal.com/#/file/5d0ee7682690a644a2a3de8e2e4c747d135ebba6453b46dee14e01ba80ed7502/d...
Проверил первый раз показал вирус trojan.Раздел Microsoft.
Проверил второй раз фай чистый, проверил другой файл тоже чистый.
2.В той папке нету файлов.

Изменено: Edward Kan - 19.07.2018 03:10:52

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.07.2018 05:25:05

судя по образу был активен в момент создания образа.

Цитата
Полное имя C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE Имя файла MARVEL.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)] Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске Процесс 32-х битный File_Id 5B30D956A2000 Linker 14.11 Размер 260608 байт Создан 17.07.2018 в 03:24:58 Изменен 25.06.2018 в 21:00:24 TimeStamp 25.06.2018 в 12:00:22 EntryPoint + OS Version 5.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Доп. информация на момент обновления списка pid = 3616 IRAS\iraira1234 CmdLine "C:\Users\iraira1234\AppData\Roaming\Marvel.exe" Процесс создан 16:06:12 [2018.07.17] С момента создания 00:40:12 parentid = 3752 pid = 3716 IRAS\iraira1234 CmdLine "C:\Users\iraira1234\AppData\Roaming\Marvel.exe" Процесс создан 16:06:10 [2018.07.17] С момента создания 00:40:15 parentid = 2684 SHA1 A33551836E5284132CC9AEDC28D9EA3450AA0128 MD5 96C3139F571A36A1E8968208D40A4FC1 Ссылки на объект Ссылка HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\MarvelHost MarvelHost C:\Users\iraira1234\AppData\Roaming\Marvel.exe Ссылка HKEY_USERS\S-1-5-21-2137272904-2086164111-3768165105-1001\Software\Microsoft\Windows\CurrentVersion\Run\MarvelHost MarvelHost C:\Users\iraira1234\AppData\Roaming\Marvel.exe Образы EXE и DLL MARVEL.EXE C:\USERS\IRAIRA1234\APPDATA\ROAMING MARVEL.EXE C:\USERS\IRAIRA1234\APPDATA\ROAMING

Цитата

Полное имя C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
Имя файла MARVEL.EXE
Тек. статус АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Процесс 32-х битный
File_Id 5B30D956A2000
Linker 14.11
Размер 260608 байт
Создан 17.07.2018 в 03:24:58
Изменен 25.06.2018 в 21:00:24

TimeStamp 25.06.2018 в 12:00:22
EntryPoint +
OS Version 5.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
pid = 3616 IRAS\iraira1234
CmdLine "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан 16:06:12 [2018.07.17]
С момента создания 00:40:12
parentid = 3752
pid = 3716 IRAS\iraira1234
CmdLine "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан 16:06:10 [2018.07.17]
С момента создания 00:40:15
parentid = 2684
SHA1 A33551836E5284132CC9AEDC28D9EA3450AA0128
MD5 96C3139F571A36A1E8968208D40A4FC1

Ссылки на объект
Ссылка HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\MarvelHost
MarvelHost C:\Users\iraira1234\AppData\Roaming\Marvel.exe

Ссылка HKEY_USERS\S-1-5-21-2137272904-2086164111-3768165105-1001\Software\Microsoft\Windows\CurrentVersion\Run\MarvelHost
MarvelHost C:\Users\iraira1234\AppData\Roaming\Marvel.exe

Образы EXE и DLL
MARVEL.EXE C:\USERS\IRAIRA1234\APPDATA\ROAMING
MARVEL.EXE C:\USERS\IRAIRA1234\APPDATA\ROAMING

линк проверки нужен именно для этого файла.

[ Как создать образ автозапуска? ]

Сообщений: 12

Баллов: 6

Регистрация: 17.07.2018

Размещено 19.07.2018 05:32:37

Цитата

santy написал:
судя по образу был активен в момент создания образа.

Цитата

Полное имя C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
Имя файла MARVEL.EXE
Тек. статус АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Процесс 32-х битный
File_Id 5B30D956A2000
Linker 14.11
Размер 260608 байт
Создан 17.07.2018 в 03:24:58
Изменен 25.06.2018 в 21:00:24

TimeStamp 25.06.2018 в 12:00:22
EntryPoint +
OS Version 5.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
pid = 3616 IRAS\iraira1234
CmdLine "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан 16:06:12 [2018.07.17]
С момента создания 00:40:12
parentid = 3752
pid = 3716 IRAS\iraira1234
CmdLine "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан 16:06:10 [2018.07.17]
С момента создания 00:40:15
parentid = 2684
SHA1 A33551836E5284132CC9AEDC28D9EA3450AA0128
MD5 96C3139F571A36A1E8968208D40A4FC1

Ссылки на объект
Ссылка HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\R un\MarvelHost
MarvelHost C:\Users\iraira1234\AppData\Roaming\Marvel.exe

Ссылка HKEY_USERS\S-1-5-21-2137272904-2086164111-3768165105-1001\Software\Microsoft\Windows\CurrentVersion\Run\MarvelHos t
MarvelHost C:\Users\iraira1234\AppData\Roaming\Marvel.exe

Образы EXE и DLL
MARVEL.EXE C:\USERS\IRAIRA1234\APPDATA\ROAMING
MARVEL.EXE C:\USERS\IRAIRA1234\APPDATA\ROAMING

линк проверки нужен именно для этого файла.

https://www.virustotal.com/#/file/333ab4a2d64a023ce61d0c2f4ce109b3c08f8e50b34156b7f7613ac575a97cd0/d... MARVEL.EXE
Нашелся.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.07.2018 06:29:04

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE apply czoo restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/7z) отправить в почту [email protected], [email protected]
------------

[ Как создать образ автозапуска? ]

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

Ответы