Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

RSS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.07.2015 16:04:42
+ этот файл еще проверьте
Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE
[ Как создать образ автозапуска? ]

Ответы

Пред. 1 ... 56 57 58 59 60 ... 72 След.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 25.04.2016 21:36:10
Доброго времени суток,

Для возможности или невозможности расшифровки обратитесь по адресу [email protected]
При наличии лицензии.

Спасибо.
 
Михаил Иванов
Михаил Иванов
Пользователь
Сообщений: 1
Регистрация: 04.05.2016
Размещено 04.05.2016 14:32:38
Добрый день, кто то из сотрудников поймал вирус и видимо по почте, теперь ряд файлов на сетевом диске зашифрованы и имеют имена вида:
[email protected] 1.2.0.0.id-ORVYCFILOSVYBEHKORUXBDGKNQTWZCGJMPSV-23.03.2016 14@[email protected]

Подскажите возможно ли их как то расшифровать?
Изменено: Михаил Иванов - 22.02.2020 14:56:21
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.05.2016 15:32:23
Михаил,
добавьте образ автозапуска системы, где было запущено шифрование. (возможно, шифратор  до сих пор в автозапуске)
если сохранилось в почте сообщение с вредоносным вложением,
пришлите в почту [email protected]
вложение можно добавить в архив с паролем infected
[ Как создать образ автозапуска? ]
 
Степан Слепцов
Степан Слепцов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 12.05.2016
Размещено 12.05.2016 06:05:12
Здр! Мне интересна Ваша работа по дешифровке зашифрованных файлов, в общем дело такое - года 2 или чуть больше назад сотрудники нашей организации с клиентского ПК (на клиентском стоял антивир KAV 6.0 WinWorkStation с актуальными базами, сейчас подняты на всех клиентских KES 10 с KSC 10 и фаерволом проф. роутера для усиления безопасности) умудрились заразить служебные файлы - часто используемые (doc, docx, xls, xlsx, zip, rar, jpg, png, gif, cdr, bmp, key) вирусом шифровальщиком сетевого хранилища NAS D-Link DNS-343 и имеют вид т.е. надпись в зашифрованных файлах - после названия файла и вида расширения пишется id-0882234127(номера разные)[email protected]
Вирус-шифровальщик как заметил я называют по-разному антивирусные компании, т.е. в Касперском его называют Trojan-Ransom.Win32.Aura (мы к ним обращались в техподдержку по лицензии корпоративной конечно же, они к сожалению затягивают с дешифровкой - вот отрывок от ихнего ответа: "Данная модификация трояна использует обновлённые криптографически стойкие алгоритмы, к сожалению, восстановить ключ не удалось. Мы продолжаем работы по расшифровке. В случае успеха декриптор будет предоставлен в рамках запроса.").
Обращался к компании Dr.Web за помощью как обычный пользователь без лицензии (у них есть такая скажем функция бесплатной помощи по расшифровке на сайте), они определили вирус шифровальщик Trojan.Encoder 741 третьей модификации и сообщили что увы, пока не могут расшифровать файлы, если появится декриптор, то сообщили что пришлют...
Насчет самого вируса, думаю что он удалился после заражения (зашифровки) часто используемых файлов на ПК и на сетевом хранилище, так вот, клиентский ПК был поднят скажем заново, а почти все файлы в сетевом хранилище остались зашифрованными, стоит пылится...
Возможно ли у Вас это получится расшифровать? Если да то я могу без труда приобрести лицензию Вашего продукта и обратиться в полной мере... Просто есть сомнения что возможно опять не получится расшифровать и получается зря приобретал лицензию...
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.05.2016 11:07:29
Степан Слепцов,
если у вас установлены антивирусная защита от ЛК, почему вы не можете обратиться по расшифровке в техподдержку ЛК?
[ Как создать образ автозапуска? ]
 
Степан Слепцов
Степан Слепцов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 12.05.2016
Размещено 12.05.2016 12:15:08
Я обращался, но толку видимо мало, в смысле они работают над дешифратором, но исходя из ихнего ответа, следует выводить что ожидать расшифровку бессмысленно, вот и обратился к Вам, возможно и у Вас расшифровывают неплохо...
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.05.2016 12:34:07
по расшифровке файлов вам только в техподдержке ответят: есть ли расшифровка или нет.
[ Как создать образ автозапуска? ]
 
Юрий Майбуров
Юрий Майбуров
Пользователь
Сообщений: 1
Регистрация: 19.05.2016
Размещено 19.05.2016 19:40:35
Здравствуйте!подскажите пожалуйста по аналогичной проблеме, работал шифровальшик, оставил после себя зашифрованные файлы с расширенем *.cbf, файлы были зашифрованы 9 мая 2015 года, т.е. больше года назад сделал образ автозапуска, так же прилагаю сами зашифрованные файлы, подскажите пожалуйста возможно ли их расшифровать эти файлы
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.05.2016 04:02:36
Юрий,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\ALAWAR ELEMENTS\SCRIPTHOST.DLL
addsgn 79132211B9E9317E0AA1AB59EFA31205DAFFF47DC4EA942D892B2942AF292811E11BC33D363D4D242E906C124616491266CAE872DE9AC8A9ED03B2ACA2FA228C 64 Besttoolbars.H [ESET-NOD32]

zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\SAVESENSELIVE\UPDATE

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCD...

deldirex %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA6873\CH

deldirex %SystemDrive%\PROGRAM FILES\MEDIABUZZV1\MEDIABUZZV1MODE8581\CH

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGC...

deldirex %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA2985\CH

deldirex %SystemDrive%\PROGRAM FILES\RICHMEDIAVIEWV1\RICHMEDIAVIEWV1RELEASE371\CH

deldirex %SystemDrive%\PROGRAM FILES\MEDIAWATCHV1\MEDIAWATCHV1HOME765\CH

deldirex %SystemDrive%\PROGRAM FILES\SAVESENSELIVE\UPDATE\1.3.23.0

deldirex %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA2985\FF

deldirex %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA6873\FF

deldirex %SystemDrive%\PROGRAM FILES\MEDIAWATCHV1\MEDIAWATCHV1HOME765

deldirex %SystemDrive%\PROGRAM FILES\MEDIABUZZV1\MEDIABUZZV1MODE8581

deldirex %SystemDrive%\PROGRAM FILES\RICHMEDIAVIEWV1\RICHMEDIAVIEWV1RELEASE371

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP://WWW.SWEET-PAGE.COM/?TYPE=HP&TS=1394907652&FROM=COR&UID=ST3320418AS_9VM4RDCCXXXX9VM4RDCC

deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE

deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE

regt 27
; etranslator
exec C:\Users\User\AppData\Roaming\etranslator\etranslator.exe" /uninstall
deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
------------
Изменено: santy - 22.02.2020 14:56:21
[ Как создать образ автозапуска? ]
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 03.06.2016 11:51:10
Добрый день, словили шифровальщик, зашифровало все вот такого плана
[email protected] 1.3.0.0.id-QYZBEFFFFFFFGGGGGGHHHHHIIIJJJJIIJJJJ-02.06.2016 12@[email protected]

Файлик пришел на почту, прикрепил. Систему просканировали вроде пусто.
Изменено: Сергей Жало - 22.02.2020 14:56:21
 
Пред. 1 ... 56 57 58 59 60 ... 72 След.
Читают тему