Вход
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS
 
рыбка рыбка
рыбка рыбка
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 18.08.2017
Размещено 18.08.2017 13:05:49
Здравствуйте.
Зашифровали файлы, расширение у файлов .[garryhelpyou@qq.com].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============


расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Ответы

Пред. 1 ... 11 12 13 14 15
 
santy
santy
Администратор
Сообщений: 17002
Баллов: 13601
Регистрация: 16.03.2010
Размещено 11.10.2018 13:12:04
@Константин Паращенко,
добавьте образ автозапуска зараженной системы. (можно из безопасного режима системы.)
[ Как создать образ автозапуска? ]
 
Константин Паращенко
Константин Паращенко
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 11.10.2018
Размещено 11.10.2018 13:41:44
Цитата
santy написал:
@Константин Паращенко,
добавьте образ автозапуска зараженной системы. (можно из безопасного режима системы.)
Отправил вам личное сообщение.
Получили?
 
santy
santy
Администратор
Сообщений: 17002
Баллов: 13601
Регистрация: 16.03.2010
Размещено 11.10.2018 14:40:31
активного шифрования уже нет, хотя есть внедренные потоки

если перезагрузка сервера возможна,
выполните указанный скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

[CODE];uVS v4.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;---------command-block---------
delall %SystemDrive%\USERS\SOKOLOV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-906D3000.[BITPANDACOM@QQ.COM].COMBO
delall %SystemDrive%\HAV\GO.EXE
apply

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска.
[ Как создать образ автозапуска? ]
 
Константин Паращенко
Константин Паращенко
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 11.10.2018
Размещено 11.10.2018 15:55:06
Цитата
добавьте новый образ автозапуска.
Спасибо! Отправил вам ссылку личным письмом
 
santy
santy
Администратор
Сообщений: 17002
Баллов: 13601
Регистрация: 16.03.2010
Размещено 11.10.2018 16:20:41
шифрования нет, но есть подозрение на скрытый запуск майнера.

если есть такая возможность, сделайте образ автозапуска с помощью загрузочного диска.
т.е. загрузить систему с загрузочного диска или флэшки, запустить uVS и создать образ автозапуска системы на сервере.
по данной методике:
https://forum.esetnod32.ru/forum27/topic2102/
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 11 12 13 14 15
Читают тему (гостей: 2)