Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS
Здравствуйте.
Зашифровали файлы, расширение у файлов .[[email protected]].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============


расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Ответы

Цитата
Vics Vics написал:
После выполнения скрипта пусто в  Панель управления-Администрирование
возможно, это результат шифрования lnk файлов.
Добрый день,
продолбилась такая же зараза. Вовремя заметили подозрительную нагрузку, удалось часть данных спасти, но 30% все же зашифровано. Систему от вируса очистили. Удалось схватить исполняемый файл in.exe(во вложении архив с паролем 123) и пример зашифрованного файла в архиве setup.rar без пароля, в нем находится оригинальный файл и зашифрованный.
Каковы шансы на расшифровку?  
Цитата
Danila Bagrov написал:
Добрый день,
продолбилась такая же зараза. Вовремя заметили подозрительную нагрузку, удалось часть данных спасти, но 30% все же зашифровано. Систему от вируса очистили. Удалось схватить исполняемый файл in.exe(во вложении архив с паролем 123) и пример зашифрованного файла в архиве setup.rar без пароля, в нем находится оригинальный файл и зашифрованный.
Каковы шансы на расшифровку?  
добрый,
добавьте таки образ автозапуска для проверки системы, и возможно необходима еще очистка системы.

ESET-NOD32
Win32/Filecoder.Crysis.L
https://www.virustotal.com/#/file/8a3ce808ac369c618dd84df41a30f5d728d310548eb8be23c7a5f6­a6ec5613ea/detection
---------
шансы на расшифровку есть, но не в настоящем, а в будущем.
пока что только актуальные архивы помогут вам восстановить те 30% что было зашифровано.
(проверьте так же теневые копии, возможно не успел шифратор их очистить).
Добрый день.
Есть проблема в виде работы шифровальщика, определяемого как a variant of Win32/Filecoder.Crysys.L. Зашифрованы базы, расположенные локально, и в расшареных папках в локальной сети. Файлы получили расширение .[[email protected]].arena. Так же, есть, предположительно виновник торжества, .exe файл, по имени [email protected].exe. Пораженный комп с тех пор не выключался, просто выдернут из сети. Образ автозапуска сделаю по прибытии на место. Нужна помощь по очистке системы, и, по возможности, расшифровке файлов.
С уважением,
A. Degtyarev.
A Degtyarev,
если шифрование еще не закончилось, то при включении компа в сеть, шифрование может быть продолжено,
поэтому, или снять системный диск и подключить к чистой машине, и снять образ с зашифрованной системы,
или сделать образ автозапуска используя загрузочный диск Winpe&uVS
загрузочный диск можно скачать отсюда.
https://mega.nz/#!pAtgTCLL!-xrFBQDh42PUW8BDxxDtJt9o5WLohwyaBwHPKHLhBGA

после того как будет выложен образ, сразу напишем скрипт очистки от шифратора.
с расшифровкой все сложнее, но возможно теневые копии сохранились.
(после очистки можно проверить: живые они или нет)
Этот сайт не может обеспечить безопасное соединение
Сайт mega.nz отправил недействительный ответ.ERR_SSL_PROTOCOL_ERROR
К компу просто подключу монитор, и сниму образ автозапуска обычным uvs_latest, который уже скачал. В сеть ему, без очистки и удаления, ещё рано.
Шифрование, скорей всего, уже закончено. Есть просто слабая надежда, что в системе остались ключи шифрования.
Цитата
A Degtyarev написал:
Шифрование, скорей всего, уже закончено. Есть просто слабая надежда, что в системе остались ключи шифрования.
ок, можно и так, отключить комп от сети, и сделать образ автозапуска
минут через 30 буду
Образ автозапуска uvs_latest в аттаче
Читают тему