Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано с расширением *filesos*; *backyourfiles*; *[email protected]_* , Filecoder.NDE

RSS
 
omsk_mail
omsk_mail
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 05.06.2012
Размещено 18.03.2014 15:17:17
Ваши файлы зашифрованы.
Расшифровать файлы можно купив дешифратор и уникальный для вашего компьютера пароль.
Стоимость дешифратора 5000 рублей, чтобы купить дешифратор напишите нам на email - [email protected]
Если вам нужно убедится в нашей возможности расшифровки файлов, можете приложить к письму любой, кроме баз данных файл и мы вышлем его оригинальную версию.

Теперь все файлы такого типа [email protected]_bM2e8TT

Что нужно предоставить логи что бы мне помогли?

Ответы

Пред. 1 ... 6 7 8 9 10 ... 12 След.
 
Александр Новиков
Александр Новиков
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 24.02.2015
Размещено 24.02.2015 15:33:30
Пришло письмо из налоговой!!! (типа) После файлы зашифровались, есть-ли возможность,  помогите расшифровать файлы.

фаил загрузки прикреплен.


заранее спасибо.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 24.02.2015 16:20:48
1. настройки прокси в браузерах сами прописывали? если нет, то скорее всего троянский прокси.

Цитата
Полное имя                  HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI
Имя файла                   HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
AUTOCONFIGURL               (ССЫЛКА ~ AUTOCONFIGURL)(1)   AND   (AUTOCONFIGURL ~ HTTP)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               http://ecastats.com/rows/unimported2.rui
                           
Ссылка                      HKEY_USERS\S-1-5-21-1645522239-606747145-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               http://ecastats.com/rows/unimported2.rui

2. восстановить зашифрованные данные из теневой копии не получится.

3. по расшифровке документов обращайтесь в технические поддержки вирлабов. ДрВеб, ESET, ЛК.
при себе иметь запас терпения, несколько зашифрованных файлов, а так же лицензию на соответствующий антивирус.
Изменено: santy - 02.06.2016 12:59:47
[ Как создать образ автозапуска? ]
 
Александр Новиков
Александр Новиков
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 24.02.2015
Размещено 24.02.2015 16:40:21
Понятно спасибо.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 24.02.2015 17:25:20
+
выполните скрипт для очистки от прокси

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI

delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
 
Антон Собянин
Антон Собянин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 16.03.2015
Размещено 16.03.2015 11:36:07
Добрый день, возможно ли дешифровать файлы зараженные [email protected]
http://rghost.ru/6z8wXHvYV 2 шифрованных файла и 2 оригинальных.

Теневое копирование не настроено, резервные копии есть только 1/3 зараженных файлов. Лицензия Нод32 есть, лицензии доктора веба нет, вся надежда только на ESET.
Изменено: Антон Собянин - 02.06.2016 16:22:31
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 16.03.2015 12:06:39
добавьте образ автозапуска для проверки системы.
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
Антон Собянин
Антон Собянин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 16.03.2015
Размещено 16.03.2015 12:55:15
Вот, пожалуйста.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 16.03.2015 13:16:59
по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delall %SystemDrive%\PROGRAM FILES\QIPGUARD\QIPGUARD.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\УЧЕБНЫЙ ЦЕНТР\APPLICATION DATA\QIPGUARD\QIPGUARD.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\УЧЕБНЫЙ ЦЕНТР\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QSTATSRV.DLL
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\УЧЕБНЫЙ ЦЕНТР\LOCAL SETTINGS\APPLICATION DATA\WEBALTA TOOLBAR
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL

delref HTTP://SIMSIMOTKROYSIA.RU/

delref HTTP://QIP.RU

; etranslator
exec C:\Documents and Settings\Учебный центр\Application Data\eTranslator\eTranslator.exe" /uninstall
;deltmp
;delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов обращайтесь в техподдержку: [email protected]
Изменено: santy - 02.06.2016 16:22:31
[ Как создать образ автозапуска? ]
 
Антон Собянин
Антон Собянин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 16.03.2015
Размещено 16.03.2015 13:21:30
В саппорт по расшифровке писал ещё чуть не месяц назад, ответа нет. Вот и решил уже тут написать.
Первый запрос был 2 февраля.
Решил напомнить о себе 12 марта, пришел ответ:
"Здравствуйте, Антон!К сожалению от вирусной лаборатории ответа пока что не поступало."
Я так понимаю что с расшифровкой всё печально?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 16.03.2015 13:29:59
обратитесь в вирлаб ДрВеб, скорее всего у них есть расшифровка по данному энкодеру, но соответственно нужна для этого лицензия ДрВеба.
по их классификации, это скорее всего Trojan.Encoder.398
Изменено: santy - 02.06.2016 16:22:32
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 6 7 8 9 10 ... 12 След.
Читают тему