файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS

Сообщений: 3

Баллов: 1

Регистрация: 18.08.2017

Размещено 18.08.2017 13:05:49

Здравствуйте.
Зашифровали файлы, расширение у файлов .[[email protected]].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============

расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Прикрепленные файлы

Цена.xlsx.id-3A18F9A4.[[email protected]].cesar.zip (11.5 КБ)
NEWFISH-SRV1_2017-08-18_12-48-49.7z (445.16 КБ)

Ответы

Пред. 1 ... 6 7 8 9 10 ... 15 След.

Сообщений: 5

Баллов: 2

Регистрация: 09.10.2017

Размещено 15.02.2018 16:11:34

Цитата
большая ошибка с вашей стороны, что вы на сервере, к которому есть доступ из внешней сети не установили антивирус. (хотя возможно что он был деинсталлирован злоумышленниками после взлома).

Так исторически сложилось.
Когда-то была проблема с настройкой, уж чего не помню. И пришлось деинсталировать антивирусник. Теперь то уж чего...

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.02.2018 16:22:29

Цитата
Алексей Тарасов написал: Так исторически сложилось. Когда-то была проблема с настройкой, уж чего не помню. И пришлось деинсталировать антивирусник. Теперь то уж чего...

теперь надо закрыться от произвольного доступа из внешней сети, установить актуальные обновления, установить надежные пароли, разрешить доступ только с определенных IP, + установить антивирусную программу для защиты от запуска вредоносных программ.

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 09.10.2017

Размещено 16.02.2018 07:13:59

Спасибо. Будем бороться.

Сообщений: 1

Регистрация: 18.02.2018

Размещено 18.02.2018 10:44:35

Добрый день. Пострадали от данного вируса. Расширение файлов *.java. Образ автозапуска во вложении.

Прикрепленные файлы

BRD01_2018-02-18_10-36-01.7z (441.55 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2018 11:14:13

Цитата
Yan Gerasimov написал: Добрый день. Пострадали от данного вируса. Расширение файлов *.java. Образ автозапуска во вложении.

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA ;------------------------autoscript--------------------------- delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA delall %SystemDrive%\USERS\BRDUSER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA delall %SystemDrive%\USERS\BRDUSER\APPDATA\ROAMING\INFO.HTA delall %Sys32%\INFO.HTA delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-BE5BB535.[[email protected]].JAVA delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-BE5BB535.[[email protected]].JAVA delall %SystemDrive%\USERS\BRDUSER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-BE5BB535.[[email protected]].JAVA zoo %SystemDrive%\USERS\BRDUSER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1702.EXE addsgn 1A530F9A5583348CF42BC4BD0C588E46256201FE89FA9C1D61C34EC958ED44681553C3201C3F99A1C8BB849F1F952C067D890070D4DAB075A43240E882FADC8C 8 Crysis.java 7 zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1702.EXE zoo %Sys32%\1702.EXE chklst delvir apply ;------------------------------------------------------------- czoo QUIT

Код


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\USERS\BRDUSER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\USERS\BRDUSER\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-BE5BB535.[[email protected]].JAVA
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-BE5BB535.[[email protected]].JAVA
delall %SystemDrive%\USERS\BRDUSER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-BE5BB535.[[email protected]].JAVA
zoo %SystemDrive%\USERS\BRDUSER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1702.EXE
addsgn 1A530F9A5583348CF42BC4BD0C588E46256201FE89FA9C1D61C34EC958ED44681553C3201C3F99A1C8BB849F1F952C067D890070D4DAB075A43240E882FADC8C 8 Crysis.java 7

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1702.EXE
zoo %Sys32%\1702.EXE
chklst
delvir

apply

;-------------------------------------------------------------

czoo
QUIT

без перезагрузки системы, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------
+
добавьте на форум несколько зашифрованных файлов. лучше предварительно поместить их в один архив.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 01.07.2017

Размещено 25.02.2018 20:22:06

Не определяет nomoreransom
Все файлы зашифрованы расширение .java

Прикрепленные файлы

FILES ENCRYPTED.txt (166 Б)
files.rar (40.33 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.02.2018 01:45:26

@Vladislav Gudilov,
если необходима помощь в очистке системы, добавьте образ автозапуска системы.

по расшифровке:
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 31.03.2018

Размещено 31.03.2018 21:01:18

Доброго времени суток. Подхватили шифровальщик, почти все файлы были зашифрованы. Имена файлов остались такими же, только добавилось [[email protected]].java .
Подскажите пожалуйста есть ли возможность их расшифровать?

Изменено: Kareec Kar - 01.04.2018 03:06:20

Сообщений: 6237

Баллов: 4989

Регистрация: 25.05.2010

Размещено 31.03.2018 21:12:38

1) Если нужна очистка системы от вируса
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

2) Добавьте в архиве, с паролем: virus несколько зашифрованных файлов, и соответствующие им оригиналы файлов.
Если есть записка о выкупе - добавьте так же и записку о выкупе.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.04.2018 03:10:25

@Kareec Kar,
образ автозапуска системы нужен в любом случае.
возможно в системе остался активный шифратор,
+
желательно добавить на форум файлы, которые перечислил RP55,
скорее всего файлы были зашифрованы вариантом Crysis.java

[ Как создать образ автозапуска? ]

Пред. 1 ... 6 7 8 9 10 ... 15 След.