Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS
Здравствуйте.
Зашифровали файлы, расширение у файлов .[[email protected]].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============


расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Ответы

Пред. 1 ... 11 12 13 14 15
@Константин Паращенко,
добавьте образ автозапуска зараженной системы. (можно из безопасного режима системы.)
Цитата
santy написал:
@Константин Паращенко,
добавьте образ автозапуска зараженной системы. (можно из безопасного режима системы.)
Отправил вам личное сообщение.
Получили?
активного шифрования уже нет, хотя есть внедренные потоки

если перезагрузка сервера возможна,
выполните указанный скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

[CODE];uVS v4.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;---------command-block---------
delall %SystemDrive%\USERS\SOKOLOV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-906D3000.[[email protected]].COMBO
delall %SystemDrive%\HAV\GO.EXE
apply

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска.
Цитата
добавьте новый образ автозапуска.
Спасибо! Отправил вам ссылку личным письмом
шифрования нет, но есть подозрение на скрытый запуск майнера.

если есть такая возможность, сделайте образ автозапуска с помощью загрузочного диска.
т.е. загрузить систему с загрузочного диска или флэшки, запустить uVS и создать образ автозапуска системы на сервере.
по данной методике:
https://forum.esetnod32.ru/forum27/topic2102/
Пред. 1 ... 11 12 13 14 15
Читают тему