Размещено 02.04.2018 09:09:22
Пока слегло 2 ПК, люди добрые, хелп! Файлы зашифрованы, антивирус удален. Сетку отключил от этих ПК. Если ляжет еще один, буду рубить сервак. Есть дешефратор?
файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro , Scarab/Filecoder.FS
Размещено 02.04.2018 09:29:53
| Цитата |
|---|
| Дмитрий Корзун написал: Пока слегло 2 ПК, люди добрые, хелп! Файлы зашифрованы, антивирус удален. Сетку отключил от этих ПК. Если ляжет еще один, буду рубить сервак. Есть дешефратор? |
добавьте по каждому ПК где произошло шифрование, образ автозапуска системы, записку о выкупе + несколько зашифрованных файлов. (желательно с оригинальными_чистыми версиями этих файлов.)
Размещено 02.04.2018 12:15:20
Записку о выкупе прикрепить не удается, так же как и открыть. Антивирус убивает ее, без антивируса боязно ее запускать.
Размещено 02.04.2018 15:58:08
возможно в этом файле был шифратор, сейчас его нет
Полное имя C:\USERS\1C\APPDATA\ROAMING\MICROSOFT\WMON32.EXE
Имя файла WMON32.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Удовлетворяет критериям
RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов
Ссылки на объект
Ссылка HKLM\dgbdswaul\Software\Microsoft\Windows\CurrentVersion\Run
wmon C:\Users\1c\AppData\Roaming\Microsoft\wmon32.exe
---------------
записку о выкупе можно извлечь в безопасном режиме системы.
Полное имя C:\USERS\1C\APPDATA\ROAMING\MICROSOFT\WMON32.EXE
Имя файла WMON32.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Удовлетворяет критериям
RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов
Ссылки на объект
Ссылка HKLM\dgbdswaul\Software\Microsoft\Windows\CurrentVersion\Run
wmon C:\Users\1c\AppData\Roaming\Microsoft\wmon32.exe
---------------
записку о выкупе можно извлечь в безопасном режиме системы.
Размещено 02.04.2018 17:17:16
| Цитата |
|---|
| Дмитрий Корзун написал: Спасибо! а как дешифровать? |
Размещено 03.04.2018 07:04:33
| Цитата |
|---|
| Для этого вымогателя пока нет способа дешифровки данных. Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик. Опознан как custom_rule: Encrypted size marker [0x00 - 0x08] 0x827B000000000000 |
---------------
если у вас есть лицензия на продукты ESET, напишите в [email protected],
возможно вирлаб найдет решение про расшифровке
в сообщение вы можете добавить зашифрованные, оригинальные файлы, записку о выкупе, + если сохранился источник заражения.
Размещено 26.06.2018 13:23:21
| Цитата |
|---|
| Vasiliy Chumakov написал: если у вас есть лицензия на продукты ESET, напишите в [email protected], возможно вирлаб найдет решение про расшифровкев сообщение вы можете добавить зашифрованные, оригинальные файлы, записку о выкупе, + если сохранился источник заражения. |
если у вас есть лицензия на продукты ESET, напишите в [email protected],
возможно вирлаб найдет решение про расшифровке
в сообщение вы можете добавить зашифрованные, оригинальные файлы, записку о выкупе, + если сохранился источник заражения.
Читают тему