Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS
Здравствуйте.
Зашифровали файлы, расширение у файлов .[[email protected]].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============


расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Ответы

Пред. 1 ... 5 6 7 8 9 ... 15 След.
Добрый день, помогите!
Вчера непонятным образом зашифровались файлы и стали с расширением [[email protected]].java - вечером оставил комп, а с утра пришел у меня табличка - Ваши файлы зашифрованы. В системе стоял eset NOD 32 c последними обновлениями лицензия 3ab-e46-c6c обновления от 31.01.2018 версия продукта 6.3.2016.1  база данных 16825, модуль реагирования 11549 ( данное сообщение продублировано в службе добрых дел под номером 0001228829)  Файлы при копировании выдают ошибку, по этому предварительно заархивированы
Изменено: Николай Смирнов - 01.02.2018 12:47:00
Николай Смирнов
Если нужна помощь в очистке системы от вируса:
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
+
добавьте, если есть такая возможность лог журнала обнаружения угроз.
http://forum.esetnod32.ru/forum9/topic1408/
Николай Смирнов,

По текущему детекту вредоносного тела.
https://www.virustotal.com/#/file/493d11836a6064abbf0d04b24bd62beeccdae24341c6dd676398ec­5f99bc171d/detection
ESET-NOD32
a variant of Win32/Filecoder.Crysis.P

просьба, вредоносные файлы в архиве без пароля не публиковать на форуме.

форма для отправки вредносных тел в вирлаб ESET
https://forum.esetnod32.ru/forum6/topic994/
------------
по Crysis.Java к сожалению, расшифровки нет. ни у кого.
восстановить документы вы сможете только из бэкапов.
Если зашифрованы важные документы, сохраните их на отдельный носитель, возможно через время расшифровка станет возможной.
как это было с предыдущими версиями Crysis.
Добрый день!
Помогите, случайно заметили процесс шифрования файлов.
Сняли лог утилитой uVS. Как почистить?
Есть ли возможность расшифровать это безобразие?
Не хочется терять остальные файлы.
Изменено: Алексей Тарасов - 15.02.2018 15:23:38
Алексей,

судя по обоим образам следов шифратора в автозапуске нет. Так что если вы что-то нашли, выгрузили из памяти и удалили,
то процесс шифрования остановлен.
расшифровать этот вариант Crysis.java нет возможности.
восстановление документов возможно только из бэкапов.
зашифрованные документы можно сохранить, возможно в будущем у кого нибудь появится расшифровка
этого варианта.
К сожалению, при повторном включении, шифрование продолжается...
И ничего для меня не понятно. Перед снятием логов, я отключил от машинки SCSI полку. Это могло повлиять? Шифровальщик взялся первым делом за архив фотографий.
Процесс идет от пользователя system. И касается только сетевых дисков или расшаренных каталогов.
обычно, шифровальщик для данного типа прописывается в автозапуск, в system32, довольно быстро после начала шифрования.
в вашем случае подобных файлов нет ни в процессах, ни в автозапуске.

может быть шифрование идет с другой машины? есть еще компутеры в локальной сети?
----------
вот пример размещения в папках  файлов шифратора после завершения шифрования.

Цитата
C:\USERS\JULIA\DESKTOP\[email protected]
C:\USERS\PUBLIC\DOCUMENTS\BARTENDER\[email protected]
C:\WINDOWS\SYSTEM32\[email protected]
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]
C:\USERS\JULIA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]

этот комп виден из внешней сети? возможно его повторно взламывают из внешней сети, и запускают процесс шифрования.

судя по образу - этот комп является сервером
uVS v4.0.10 [http://dsrt.dyndns.org]: Windows Server 2008 R2 Standard x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

и система была запущена под system
uVS запущен под пользователем: NT AUTHORITY\система

потому и файл шифратора, если он запущен, так же запускается с этими правами
Да, конечно есть. Вот только как искать откуда приходит это зловред.
если есть такая возможность, запретите временнно подключение к этому компу из внешней сети,
установите разрешение на подключение только с определенных (безпасных) айпишников
смените пароли от учетных записей, в том числе, Администратора,
закройте доступ фаерволлом.
+
большая ошибка с вашей стороны, что вы на сервере, к которому есть доступ из внешней сети не установили антивирус.
(хотя возможно что он был деинсталлирован злоумышленниками после взлома).
Crysis в настоящее время запускается вручную, после взломов доступа к рабочему столу.
Пред. 1 ... 5 6 7 8 9 ... 15 След.
Читают тему