файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS

Сообщений: 3

Баллов: 1

Регистрация: 18.08.2017

Размещено 18.08.2017 13:05:49

Здравствуйте.
Зашифровали файлы, расширение у файлов .[[email protected]].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============

расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Прикрепленные файлы

Цена.xlsx.id-3A18F9A4.[[email protected]].cesar.zip (11.5 КБ)
NEWFISH-SRV1_2017-08-18_12-48-49.7z (445.16 КБ)

Ответы

Пред. 1 ... 11 12 13 14 15

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 11.10.2018 13:12:04

@Константин Паращенко,
добавьте образ автозапуска зараженной системы. (можно из безопасного режима системы.)

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 11.10.2018

Размещено 11.10.2018 13:41:44

Цитата
santy написал: @Константин Паращенко, добавьте образ автозапуска зараженной системы. (можно из безопасного режима системы.)

Отправил вам личное сообщение.
Получили?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 11.10.2018 14:40:31

активного шифрования уже нет, хотя есть внедренные потоки

если перезагрузка сервера возможна,
выполните указанный скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
[CODE];uVS v4.1 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE icsuspend ;---------command-block--------- delall %SystemDrive%\USERS\SOKOLOV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-906D3000.[[email protected]].COMBO delall %SystemDrive%\HAV\GO.EXE apply restart

Код


[CODE];uVS v4.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;---------command-block---------
delall %SystemDrive%\USERS\SOKOLOV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-906D3000.[[email protected]].COMBO
delall %SystemDrive%\HAV\GO.EXE
apply

restart

[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 11.10.2018

Размещено 11.10.2018 15:55:06

Цитата
добавьте новый образ автозапуска.

Спасибо! Отправил вам ссылку личным письмом

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 11.10.2018 16:20:41

шифрования нет, но есть подозрение на скрытый запуск майнера.

если есть такая возможность, сделайте образ автозапуска с помощью загрузочного диска.
т.е. загрузить систему с загрузочного диска или флэшки, запустить uVS и создать образ автозапуска системы на сервере.
по данной методике:
https://forum.esetnod32.ru/forum27/topic2102/

[ Как создать образ автозапуска? ]

Пред. 1 ... 11 12 13 14 15