Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro , Scarab/Filecoder.FS

1 2 3 4 5 След.
RSS
 
Дмитрий Корзун
Дмитрий Корзун
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 02.04.2018
Размещено 02.04.2018 09:09:22
Пока слегло 2 ПК, люди добрые, хелп! Файлы зашифрованы, антивирус удален. Сетку отключил от этих ПК. Если ляжет еще один, буду рубить сервак. Есть дешефратор?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.04.2018 09:29:53
Цитата
Дмитрий Корзун написал:
Пока слегло 2 ПК, люди добрые, хелп! Файлы зашифрованы, антивирус удален. Сетку отключил от этих ПК. Если ляжет еще один, буду рубить сервак. Есть дешефратор?
Дмитрий,
добавьте по каждому  ПК где произошло шифрование, образ автозапуска системы, записку о выкупе + несколько зашифрованных файлов. (желательно с оригинальными_чистыми версиями этих файлов.)
[ Как создать образ автозапуска? ]
 
Дмитрий Корзун
Дмитрий Корзун
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 02.04.2018
Размещено 02.04.2018 12:15:20
Записку о выкупе прикрепить не удается, так же как и открыть. Антивирус убивает ее, без антивируса боязно ее запускать.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.04.2018 15:58:08
возможно в этом файле был шифратор, сейчас его нет

Полное имя                  C:\USERS\1C\APPDATA\ROAMING\MICROSOFT\WMON32.EXE
Имя файла                   WMON32.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      HKLM\dgbdswaul\Software\Microsoft\Windows\CurrentVersion\Run­\wmon
wmon                        C:\Users\1c\AppData\Roaming\Microsoft\wmon32.exe
                           
---------------
записку о выкупе можно извлечь в безопасном режиме системы.
[ Как создать образ автозапуска? ]
 
Дмитрий Корзун
Дмитрий Корзун
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 02.04.2018
Размещено 02.04.2018 16:02:23
Спасибо! а как дешифровать?  
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.04.2018 17:17:16
Цитата
Дмитрий Корзун написал:
Спасибо! а как дешифровать?  
пока что надо точно идентифицировать вид шифратора.  запиской о выкупе идентификация будет точнее.
[ Как создать образ автозапуска? ]
 
Дмитрий Корзун
Дмитрий Корзун
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 02.04.2018
Размещено 03.04.2018 06:07:38
вот тут записка
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.04.2018 07:04:33
Цитата
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   custom_rule: Encrypted size marker [0x00 - 0x08] 0x827B000000000000

https://id-ransomware.malwarehunterteam.com/identify.php?case=b98e9997113869d5b76c0ae6f30781ed57349247

https://www.bleepingcomputer.com/forums/t/651855/mich78-ransomware-recoverytxt-mich78usacom-support-topic/
---------------
если у вас есть лицензия на продукты ESET, напишите в [email protected],
возможно вирлаб найдет решение про расшифровке
в сообщение вы можете добавить зашифрованные, оригинальные файлы, записку о выкупе, + если сохранился источник заражения.
[ Как создать образ автозапуска? ]
 
Vasiliy Chumakov
Vasiliy Chumakov
Пользователь
Сообщений: 1
Регистрация: 26.06.2018
Размещено 26.06.2018 10:15:18
Добрый день! Проверьте можно ли расшифровать  
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2018 13:23:21
Цитата
Vasiliy Chumakov написал:
если у вас есть лицензия на продукты ESET, напишите в [email protected], возможно вирлаб найдет решение про расшифровкев сообщение вы можете добавить зашифрованные, оригинальные файлы, записку о выкупе, + если сохранился источник заражения.

если у вас есть лицензия на продукты ESET, напишите в [email protected],
возможно вирлаб найдет решение про расшифровке
в сообщение вы можете добавить зашифрованные, оригинальные файлы, записку о выкупе, + если сохранился источник заражения.
[ Как создать образ автозапуска? ]
 
1 2 3 4 5 След.
Читают тему