Здравствуйте. Зашифровали файлы, расширение у файлов .[garryhelpyou@qq.com].cesar, Есть ли возможность их расшифровать. Во вложении пример файла и образ автозапуска. Спасибо. =============
расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет. Восстановление документов возможно в данный момент только из архивных или теневых копий.
добавьте на форум в ваше сообщение несколько зашифрованных документов.
если нет архивных копий, сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[castor-troy-restore@protonmail.com].java это не Crysis, какой-то другой вариант шифратора.
у Crysis.java друго шаблон шифрованного файла, с добавлением ID: inf.txt.id-E8F4FE5C.[decrypthelp@qq.com].java
т.е. имя файла+расширение + ID-Hex8+mail+.java
если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве. + добавьте файл записки о выкупе.
santy написал: судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[castor-troy-restore@protonmail.com].java это не Crysis, какой-то другой вариант шифратора.
у Crysis.java друго шаблон шифрованного файла, с добавлением ID: inf.txt. id-E8F4FE5C .[decrypthelp@qq.com].java
т.е. имя файла+расширение + ID-Hex8+mail+.java
если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве. + добавьте файл записки о выкупе
santy написал: судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[ castor-troy-restore@protonmail.com ].java это не Crysis, какой-то другой вариант шифратора.
у Crysis.java друго шаблон шифрованного файла, с добавлением ID: inf.txt. id-E8F4FE5C .[ decrypthelp@qq.com ].java
т.е. имя файла+расширение + ID-Hex8+mail+.java
если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве. + добавьте файл записки о выкупе
нужны: 1. линк проверки на vt указанного выше файла 2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования. 3. если есть записка о выкупе в виде файла, то нужен именно такой файл. -------------- добавлю так же, что если у вас есть лицензия на продукт ESET, отправьте сообщение с просьбой о расшифровке файлов в support@esetnod32.ru
нужны: 1. линк проверки на vt указанного выше файла 2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования. 3. если есть записка о выкупе в виде файла, то нужен именно такой файл. -------------- добавлю так же, что если у вас есть лицензия на продукт ESET, отправьте сообщение с просьбой о расшифровке файлов в support@esetnod32.ru
1. Что такое VT 2. Чистых файлов нету. 3. Файла нет.
нужны: 1. линк проверки на vt указанного выше файла 2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования. 3. если есть записка о выкупе в виде файла, то нужен именно такой файл. -------------- добавлю так же, что если у вас есть лицензия на продукт ESET, отправьте сообщение с просьбой о расшифровке файлов в support@esetnod32.ru
1. Что такое VT 2. Чистых файлов нету. 3. Файла нет.
1. этот файл вам знаком? C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE если нет, проверьте здесь http://virustotal.com и дайте нас ссылку проверки в вашем сообщении.
2. проверьте в этой папке есть зашифрованные файлы? C:\Users\Public\Pictures\Sample Pictures если есть, тогда добавьте несколько зашифрованных файлов из этой папки
нужны: 1. линк проверки на vt указанного выше файла 2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования. 3. если есть записка о выкупе в виде файла, то нужен именно такой файл. -------------- добавлю так же, что если у вас есть лицензия на продукт ESET, отправьте сообщение с просьбой о расшифровке файлов в support@esetnod32.ru
1. Что такое VT 2. Чистых файлов нету. 3. Файла нет.
1. этот файл вам знаком? C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE если нет, проверьте здесь http://virustotal.com и дайте нас ссылку проверки в вашем сообщении.
2. проверьте в этой папке есть зашифрованные файлы? C:\Users\Public\Pictures\Sample Pictures если есть, тогда добавьте несколько зашифрованных файлов из этой папки
судя по образу был активен в момент создания образа.
Цитата
Полное имя C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE Имя файла MARVEL.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Удовлетворяет критериям RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске Процесс 32-х битный File_Id 5B30D956A2000 Linker 14.11 Размер 260608 байт Создан 17.07.2018 в 03:24:58 Изменен 25.06.2018 в 21:00:24
TimeStamp 25.06.2018 в 12:00:22 EntryPoint + OS Version 5.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов
Доп. информация на момент обновления списка pid = 3616 IRAS\iraira1234 CmdLine "C:\Users\iraira1234\AppData\Roaming\Marvel.exe" Процесс создан 16:06:12 [2018.07.17] С момента создания 00:40:12 parentid = 3752 pid = 3716 IRAS\iraira1234 CmdLine "C:\Users\iraira1234\AppData\Roaming\Marvel.exe" Процесс создан 16:06:10 [2018.07.17] С момента создания 00:40:15 parentid = 2684 SHA1 A33551836E5284132CC9AEDC28D9EA3450AA0128 MD5 96C3139F571A36A1E8968208D40A4FC1
Ссылки на объект Ссылка HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\MarvelHost MarvelHost C:\Users\iraira1234\AppData\Roaming\Marvel.exe
santy написал: судя по образу был активен в момент создания образа.
Цитата
Полное имя C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE Имя файла MARVEL.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Удовлетворяет критериям RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске Процесс 32-х битный File_Id 5B30D956A2000 Linker 14.11 Размер 260608 байт Создан 17.07.2018 в 03:24:58 Изменен 25.06.2018 в 21:00:24
TimeStamp 25.06.2018 в 12:00:22 EntryPoint + OS Version 5.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов
Доп. информация на момент обновления списка pid = 3616 IRAS\iraira1234 CmdLine "C:\Users\iraira1234\AppData\Roaming\Marvel.exe" Процесс создан 16:06:12 [2018.07.17] С момента создания 00:40:12 parentid = 3752 pid = 3716 IRAS\iraira1234 CmdLine "C:\Users\iraira1234\AppData\Roaming\Marvel.exe" Процесс создан 16:06:10 [2018.07.17] С момента создания 00:40:15 parentid = 2684 SHA1 A33551836E5284132CC9AEDC28D9EA3450AA0128 MD5 96C3139F571A36A1E8968208D40A4FC1
Ссылки на объект Ссылка HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\R un\MarvelHost MarvelHost C:\Users\iraira1234\AppData\Roaming\Marvel.exe
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах. архив из каталога uVS (по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/7z) отправить в почту safety@chklst.ru, support@esetnod32.ru ------------