файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS
Здравствуйте.
Зашифровали файлы, расширение у файлов .[garryhelpyou@qq.com].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============


расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Ответы

Пред. 1 ... 11 12 13 14 15
@Константин Паращенко,
добавьте образ автозапуска зараженной системы. (можно из безопасного режима системы.)
Цитата
santy написал:
@Константин Паращенко,
добавьте образ автозапуска зараженной системы. (можно из безопасного режима системы.)
Отправил вам личное сообщение.
Получили?
активного шифрования уже нет, хотя есть внедренные потоки

если перезагрузка сервера возможна,
выполните указанный скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

[CODE];uVS v4.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;---------command-block---------
delall %SystemDrive%\USERS\SOKOLOV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-906D3000.[BITPANDACOM@QQ.COM].COMBO
delall %SystemDrive%\HAV\GO.EXE
apply

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска.
Цитата
добавьте новый образ автозапуска.
Спасибо! Отправил вам ссылку личным письмом
шифрования нет, но есть подозрение на скрытый запуск майнера.

если есть такая возможность, сделайте образ автозапуска с помощью загрузочного диска.
т.е. загрузить систему с загрузочного диска или флэшки, запустить uVS и создать образ автозапуска системы на сервере.
по данной методике:
https://forum.esetnod32.ru/forum27/topic2102/
Пред. 1 ... 11 12 13 14 15
Читают тему (гостей: 5)