файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS

Сообщений: 3

Баллов: 1

Регистрация: 18.08.2017

Размещено 18.08.2017 13:05:49

Здравствуйте.
Зашифровали файлы, расширение у файлов .[[email protected]].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============

расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Прикрепленные файлы

Цена.xlsx.id-3A18F9A4.[[email protected]].cesar.zip (11.5 КБ)
NEWFISH-SRV1_2017-08-18_12-48-49.7z (445.16 КБ)

Ответы

Пред. 1 ... 9 10 11 12 13 ... 15 След.

Сообщений: 2

Баллов: 1

Регистрация: 04.06.2018

Размещено 04.06.2018 12:54:15

Цитата
santy написал: @John Berkut, расшифровки по Crysis.arrow нет. Остальное уже написано в первом сообщении. если необходима помощь в очистке системы, добавьте образ автозапуска.

Печально.

Весь backup затерся свежими версиями закодированных файлов. Теперь и восстановить неоткуда. Говорила мама: держи яйца в разных штанинах - не послушал. Заранее спасибо за помощь в очистке.

Прикрепленные файлы

SERVER_2018-06-04_14-38-24.7z (687.39 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 04.06.2018 14:39:04

@John Berkut

по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-2E5DE559.[[email protected]].ARROW delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\INFO.HTA delall %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR\REI_AXCONTROL.DLL delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC apply QUIT

Код


;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-2E5DE559.[[email protected]].ARROW
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR\REI_AXCONTROL.DLL
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC
apply

QUIT

без перезагрузки системы
------------

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 13.06.2018

Размещено 13.06.2018 15:39:19

добрый, стоял eset internet security взломали судя по всему через rdp
удалили антивирусник, и запустили шифратор.
образ автозапуска, пример зашифрованного файла в архиве, пароль carantin
образ автозагрузки
пример зашифрованного файла

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.06.2018 18:22:00

Цитата
Евгений Русанов написал: добрый, стоял eset internet security взломали судя по всему через rdp удалили антивирусник, и запустили шифратор. образ автозапуска, пример зашифрованного файла в архиве, пароль carantin

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40F0112F.[[email protected]].BIP delall %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40F0112F.[[email protected]].BIP delall %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\INFO.HTA delall %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\DEGLTIY.DLL apply QUIT

Код


;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40F0112F.[[email protected]].BIP
delall %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40F0112F.[[email protected]].BIP
delall %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\DEGLTIY.DLL
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
расшифровки нет, подробнее в первом сообщении.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 13.06.2018

Размещено 14.06.2018 12:28:44

снес систему, добавил в архив зараженные файлы, будем ждать дешифратор

Сообщений: 4

Баллов: 2

Регистрация: 26.06.2018

Размещено 26.06.2018 17:26:12

Добрый день!

Зашифровал шифровальщик [email protected] файлы с расширением arrow

http://rgho.st/6pq2SnKLY

Сообщений: 4

Баллов: 2

Регистрация: 26.06.2018

Размещено 26.06.2018 18:39:21

образ автозапуска

Прикрепленные файлы

SRV1_2018-06-26_17-01-38.7z (488.64 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.06.2018 19:01:42

Цитата
Армен Кунтов написал: образ автозапуска

судя по образу, активных файлов шифратора нет в системе.
по расшифровке не поможем.

Цитата
расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip на текущий момент нет. Восстановление документов возможно в данный момент только из архивных или теневых копий.

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 26.06.2018

Размещено 29.06.2018 01:22:28

Цитата

santy написал:

Цитата
Армен Кунтов написал: образ автозапуска

судя по образу, активных файлов шифратора нет в системе.
по расшифровке не поможем.

Цитата
расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip на текущий момент нет. Восстановление документов возможно в данный момент только из архивных или теневых копий.

Огромное вам Спасибо!!!

Сообщений: 4

Баллов: 2

Регистрация: 26.06.2018

Размещено 29.06.2018 01:23:45

Доброе время суток!

Можете еще посмотреть один образ автозапуска?

Прикрепленные файлы

SRVARH_2018-06-28_22-26-32.7z (403.78 КБ)

Пред. 1 ... 9 10 11 12 13 ... 15 След.