Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
Цитата
santy написал:
Цитата
 Edward Kan  написал:
Антивирус не обновлялся с 1.12.2017гЕсли обновлю его он не удалит файлы зараженные?В карантине  MARVEL.EXE отсутствует.
обновите антивирусные базы, выполните полное сканирование системы.
активных шифраторов, судя по второму образу в системе нет.

по зашифрованным файлам:
при наличие лицензии на антивирус ESET вы можете сделать запрос по расшифровке в техподдержку [email protected]
возможна ли расшифровка в вашем случае - ответить смогут только в вирлабе.

если есть архивные копии документов - восстановите файлы из копии.

проверьте так же наличие теневых копий.

следите за актуальностью баз антивирусов.
Если антивир не обновляется более чем полгода, тогда вероятность того, что он защитит от актуальных угроз близка к 0.
Спасибо за помощь.
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
Цитата
santy написал:
проверьте,
возможно этот файл (marwel.exe) попал в карантин антивируса, поскольку ESET его детектирует как Filecoder.NPу
Антивирус не обновлялся с 1.12.2017г
Если обновлю его он не удалит файлы зараженные?
В карантине  MARVEL.EXE отсутствует.
Изменено: Edward Kan - 20.07.2018 02:45:34
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
Цитата
santy написал:
скрипт в данном случае только удаляет файл шифратора.
к сожалению файл шифратора  в архив не попал.
из за неточности в первом скрипте.

должно было быть так:
Цитата
ZOO %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
delall %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
apply
czoo
сделайте новый образ автозапуска для контроля.
http://rgho.st/7KGMTQzYS Новый образ.
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
Цитата
santy написал:
по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
 
;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
apply

czoo
restart
 

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/7z)  отправить в почту [email protected], [email protected]  
------------
Спасибо
Данный код не дал не каких изменений.
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
Цитата
santy написал:
судя по образу был активен в момент создания образа.
Цитата
Полное имя                  C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
Имя файла                   MARVEL.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Процесс                     32-х битный
File_Id                     5B30D956A2000
Linker                      14.11
Размер                      260608 байт
Создан                      17.07.2018 в 03:24:58
Изменен                     25.06.2018 в 21:00:24
                           
TimeStamp                   25.06.2018 в 12:00:22
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 3616                  IRAS\iraira1234
CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан              16:06:12 [2018.07.17]
С момента создания          00:40:12
parentid = 3752            
pid = 3716                  IRAS\iraira1234
CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан              16:06:10 [2018.07.17]
С момента создания          00:40:15
parentid = 2684            
SHA1                        A33551836E5284132CC9AEDC28D9EA3450AA0128
MD5                         96C3139F571A36A1E8968208D40A4FC1
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\R­ ­un\MarvelHost
MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe
                           
Ссылка                      HKEY_USERS\S-1-5-21-2137272904-2086164111-3768165105-1001\Software\Microsoft\Windows\CurrentVersion\Run\MarvelHos­ ­t
MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe
                           
Образы                      EXE и DLL
MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING
MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING
линк проверки нужен именно для этого файла.
https://www.virustotal.com/#/file/333ab4a2d64a023ce61d0c2f4ce109b3c08f8e50b34156b7f7613a­c575a97cd0/d... MARVEL.EXE
Нашелся.
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
Цитата
santy написал:
Цитата
 Edward Kan  написал:
Цитата
 santy  написал:
Цитата
 Edward Kan  написал:
Добрый день.2 файла:     http://rgho.st/8XPhMV4RW    Требование об оплате:     http://rgho.st/6S7kpfpT5    
нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в   [email protected]  
1. Что такое VT
2. Чистых файлов нету.
3. Файла нет.
1. этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com  и дайте нас ссылку проверки в вашем сообщении.

2. проверьте в этой папке есть зашифрованные файлы?
C:\Users\Public\Pictures\Sample Pictures
если есть, тогда добавьте несколько зашифрованных файлов из этой папки

3. можете самостоятельно попытаться идентифицировать шифратор
https://id-ransomware.malwarehunterteam.com/index.php
1. В данном месте нету файла.
https://www.virustotal.com/#/file/5d0ee7682690a644a2a3de8e2e4c747d135ebba6453b46dee14e01­ba80ed7502/d...
Проверил первый раз показал вирус trojan.Раздел Microsoft.
Проверил второй раз фай чистый, проверил другой файл тоже чистый.
2.В той папке нету файлов.
Изменено: Edward Kan - 19.07.2018 03:10:52
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
Цитата
santy написал:
Цитата
 Edward Kan  написал:
Добрый день.2 файла:   http://rgho.st/8XPhMV4RW  Требование об оплате:   http://rgho.st/6S7kpfpT5  
нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в [email protected]
1. Что такое VT
2. Чистых файлов нету.
3. Файла нет.
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
Цитата
Edward Kan написал:
Цитата
 santy  написал:
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[ [email protected] ].java
это не Crysis, какой-то другой вариант шифратора.

у Crysis.java друго шаблон шифрованного файла, с добавлением ID:
inf.txt. id-E8F4FE5C .[ [email protected] ].java

т.е. имя файла+расширение + ID-Hex8+mail+.java

если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве.
+
добавьте файл записки о выкупе
Хорошо.
Завтра добавлю.
Добрый день.
2 файла: http://rgho.st/8XPhMV4RW
Требование об оплате: http://rgho.st/6S7kpfpT5
Изменено: Edward Kan - 18.07.2018 03:26:00
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
Цитата
santy написал:
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[[email protected]].java
это не Crysis, какой-то другой вариант шифратора.

у Crysis.java друго шаблон шифрованного файла, с добавлением ID:
inf.txt. id-E8F4FE5C .[[email protected]].java

т.е. имя файла+расширение + ID-Hex8+mail+.java

если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве.
+
добавьте файл записки о выкупе
Хорошо.
Завтра добавлю.
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
Цитата
santy написал:
этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com  и дайте нас ссылку проверки в вашем сообщении.
Хорошо проверю.
спс