Форум esetnod32.ru [тема: файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo] http://forum.esetnod32.ru Новое в теме файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 12:35:45 +0300 файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
шифрования нет, но есть подозрение на скрытый запуск майнера.

если есть такая возможность, сделайте образ автозапуска с помощью загрузочного диска.
т.е. загрузить систему с загрузочного диска или флэшки, запустить uVS и создать образ автозапуска системы на сервере.
по данной методике:
https://forum.esetnod32.ru/forum27/topic2102/
11.10.2018 16:20:41, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message104649/ http://forum.esetnod32.ru/messages/forum35/topic14185/message104649/ Thu, 11 Oct 2018 16:20:41 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
добавьте новый образ автозапуска.
=============
Спасибо! Отправил вам ссылку личным письмом
11.10.2018 15:55:06, Константин Паращенко.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message104648/ http://forum.esetnod32.ru/messages/forum35/topic14185/message104648/ Thu, 11 Oct 2018 15:55:06 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
активного шифрования уже нет, хотя есть внедренные потоки

если перезагрузка сервера возможна,
выполните указанный скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

[CODE];uVS v4.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;---------command-block---------
delall %SystemDrive%\USERS\SOKOLOV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-906D3000.[BITPANDACOM@QQ.COM].COMBO
delall %SystemDrive%\HAV\GO.EXE
apply

restart
============= [/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска.
11.10.2018 14:40:31, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message104647/ http://forum.esetnod32.ru/messages/forum35/topic14185/message104647/ Thu, 11 Oct 2018 14:40:31 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
@Константин Паращенко,
добавьте образ автозапуска зараженной системы. (можно из безопасного режима системы.)
=============
Отправил вам личное сообщение.
Получили?
11.10.2018 13:41:44, Константин Паращенко.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message104646/ http://forum.esetnod32.ru/messages/forum35/topic14185/message104646/ Thu, 11 Oct 2018 13:41:44 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
@Константин Паращенко,
добавьте образ автозапуска зараженной системы. (можно из безопасного режима системы.)
11.10.2018 13:12:04, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message104645/ http://forum.esetnod32.ru/messages/forum35/topic14185/message104645/ Thu, 11 Oct 2018 13:12:04 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день!
Наш компания является вашим лицензионным клиентом.
Сервер поймал вирус, файлы зашифровались - Счет с НДС_X.xls.id-906D3000.[bitpandacom@qq.com].combo

Подскажите пож-ста актуальные методы очистки сервера?
Восстановить файлы как я понимаю уже не удастся?
11.10.2018 13:08:06, Константин Паращенко.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message104644/ http://forum.esetnod32.ru/messages/forum35/topic14185/message104644/ Thu, 11 Oct 2018 13:08:06 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
@Деньга Большов,
добавьте образ автозапуска для проверки и очистки системы,
возможно остались вредоносные тела

====quote====
Файлы прикрепить не могу... - пишет "При сохранении файла произошла ошибка."
=============
несколько зашифрованных файлов лучше добавить в архив
03.10.2018 07:45:18, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message104565/ http://forum.esetnod32.ru/messages/forum35/topic14185/message104565/ Wed, 03 Oct 2018 07:45:18 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день. Тоже подхватил этот вирус :(

Основную часть данных восстановил.

Но есть то, что осталось зашифрованное :(

Помогите найти дешифровщик для  Имя_Файла.txt.id-EEE9CE92.[help@decrypt-files.info].combo



Файлы прикрепить не могу... - пишет "При сохранении файла произошла ошибка."
02.10.2018 11:35:13, Деньга Большов.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message104554/ http://forum.esetnod32.ru/messages/forum35/topic14185/message104554/ Tue, 02 Oct 2018 11:35:13 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:

====quote====
 Edward Kan  написал:
Антивирус не обновлялся с 1.12.2017гЕсли обновлю его он не удалит файлы зараженные?В карантине  MARVEL.EXE отсутствует.
=============
обновите антивирусные базы, выполните полное сканирование системы.
активных шифраторов, судя по второму образу в системе нет.

по зашифрованным файлам:
при наличие лицензии на антивирус ESET вы можете сделать запрос по расшифровке в техподдержку support@esetnod32.ru
возможна ли расшифровка в вашем случае - ответить смогут только в вирлабе.

если есть архивные копии документов - восстановите файлы из копии.

проверьте так же наличие теневых копий.

следите за актуальностью баз антивирусов.
Если антивир не обновляется более чем полгода, тогда вероятность того, что он защитит от актуальных угроз близка к 0.
=============
Спасибо за помощь.
20.07.2018 06:50:35, Edward Kan.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103918/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103918/ Fri, 20 Jul 2018 06:50:35 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Edward Kan написал:
Антивирус не обновлялся с 1.12.2017гЕсли обновлю его он не удалит файлы зараженные?В карантине  MARVEL.EXE отсутствует.

=============
обновите антивирусные базы, выполните полное сканирование системы.
активных шифраторов, судя по второму образу в системе нет.

по зашифрованным файлам:
при наличие лицензии на антивирус ESET вы можете сделать запрос по расшифровке в техподдержку support@esetnod32.ru
возможна ли расшифровка в вашем случае - ответить смогут только в вирлабе.

если есть архивные копии документов - восстановите файлы из копии.

проверьте так же наличие теневых копий.

следите за актуальностью баз антивирусов.
Если антивир не обновляется более чем полгода, тогда вероятность того, что он защитит от актуальных угроз близка к 0.
20.07.2018 05:25:35, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103916/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103916/ Fri, 20 Jul 2018 05:25:35 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
проверьте,
возможно этот файл (marwel.exe) попал в карантин антивируса, поскольку ESET его детектирует как Filecoder.NPу

=============
Антивирус не обновлялся с 1.12.2017г
Если обновлю его он не удалит файлы зараженные?
В карантине  MARVEL.EXE отсутствует.
20.07.2018 02:45:15, Edward Kan.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103914/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103914/ Fri, 20 Jul 2018 02:45:15 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
проверьте,
возможно этот файл (marwel.exe) попал в карантин антивируса, поскольку ESET его детектирует как Filecoder.NPI
19.07.2018 07:32:58, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103908/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103908/ Thu, 19 Jul 2018 07:32:58 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
скрипт в данном случае только удаляет файл шифратора.
к сожалению файл шифратора  в архив не попал.
из за неточности в первом скрипте.

должно было быть так:

====quote====
ZOO %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
delall %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
apply
czoo
=============
сделайте новый образ автозапуска для контроля.
=============
http://rgho.st/7KGMTQzYS Новый образ.
19.07.2018 07:22:01, Edward Kan.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103907/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103907/ Thu, 19 Jul 2018 07:22:01 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
скрипт в данном случае только удаляет файл шифратора.
к сожалению файл шифратора  в архив не попал.
из за неточности в первом скрипте.

должно было быть так:


====quote====
ZOO %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
delall %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
apply
czoo

=============
сделайте новый образ автозапуска для контроля.
19.07.2018 07:07:19, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103906/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103906/ Thu, 19 Jul 2018 07:07:19 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 
 
;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
apply

czoo
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/7z)  отправить в почту safety@chklst.ru, support@esetnod32.ru  
------------
=============
Спасибо
Данный код не дал не каких изменений.
19.07.2018 06:49:31, Edward Kan.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103905/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103905/ Thu, 19 Jul 2018 06:49:31 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
apply

czoo
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/7z)  отправить в почту safety@chklst.ru, support@esetnod32.ru  
------------
19.07.2018 06:29:04, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103904/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103904/ Thu, 19 Jul 2018 06:29:04 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
судя по образу был активен в момент создания образа.

====quote====
Полное имя                  C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
Имя файла                   MARVEL.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Процесс                     32-х битный
File_Id                     5B30D956A2000
Linker                      14.11
Размер                      260608 байт
Создан                      17.07.2018 в 03:24:58
Изменен                     25.06.2018 в 21:00:24
                           
TimeStamp                   25.06.2018 в 12:00:22
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 3616                  IRAS\iraira1234
CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан              16:06:12 [2018.07.17]
С момента создания          00:40:12
parentid = 3752            
pid = 3716                  IRAS\iraira1234
CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан              16:06:10 [2018.07.17]
С момента создания          00:40:15
parentid = 2684            
SHA1                        A33551836E5284132CC9AEDC28D9EA3450AA0128
MD5                         96C3139F571A36A1E8968208D40A4FC1
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\R­ ­un\MarvelHost
MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe
                           
Ссылка                      HKEY_USERS\S-1-5-21-2137272904-2086164111-3768165105-1001\Software\Microsoft\Windows\CurrentVersion\Run\MarvelHos­ ­t
MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe
                           
Образы                      EXE и DLL
MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING
MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING
                           
=============
линк проверки нужен именно для этого файла.
=============
https://www.virustotal.com/#/file/333ab4a2d64a023ce61d0c2f4ce109b3c08f8e50b34156b7f7613a­c575a97cd0/d... MARVEL.EXE
Нашелся.
19.07.2018 05:32:37, Edward Kan.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103903/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103903/ Thu, 19 Jul 2018 05:32:37 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
судя по образу был активен в момент создания образа.


====quote====
Полное имя                  C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
Имя файла                   MARVEL.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Процесс                     32-х битный
File_Id                     5B30D956A2000
Linker                      14.11
Размер                      260608 байт
Создан                      17.07.2018 в 03:24:58
Изменен                     25.06.2018 в 21:00:24
                           
TimeStamp                   25.06.2018 в 12:00:22
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 3616                  IRAS\iraira1234
CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан              16:06:12 [2018.07.17]
С момента создания          00:40:12
parentid = 3752            
pid = 3716                  IRAS\iraira1234
CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан              16:06:10 [2018.07.17]
С момента создания          00:40:15
parentid = 2684            
SHA1                        A33551836E5284132CC9AEDC28D9EA3450AA0128
MD5                         96C3139F571A36A1E8968208D40A4FC1
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\R­un\MarvelHost
MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe
                           
Ссылка                      HKEY_USERS\S-1-5-21-2137272904-2086164111-3768165105-1001\Software\Microsoft\Windows\CurrentVersion\Run\MarvelHos­t
MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe
                           
Образы                      EXE и DLL
MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING
MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING
                           

=============

линк проверки нужен именно для этого файла.
19.07.2018 05:25:05, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103901/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103901/ Thu, 19 Jul 2018 05:25:05 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:

====quote====
 Edward Kan  написал:

====quote====
 santy  написал:

====quote====
 Edward Kan  написал:
Добрый день.2 файла:     http://rgho.st/8XPhMV4RW    Требование об оплате:     http://rgho.st/6S7kpfpT5    
=============
нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в   support@esetnod32.ru  
=============
1. Что такое VT
2. Чистых файлов нету.
3. Файла нет.
=============
1. этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com  и дайте нас ссылку проверки в вашем сообщении.

2. проверьте в этой папке есть зашифрованные файлы?
C:\Users\Public\Pictures\Sample Pictures
если есть, тогда добавьте несколько зашифрованных файлов из этой папки

3. можете самостоятельно попытаться идентифицировать шифратор
https://id-ransomware.malwarehunterteam.com/index.php

=============
1. В данном месте нету файла.
https://www.virustotal.com/#/file/5d0ee7682690a644a2a3de8e2e4c747d135ebba6453b46dee14e01­ba80ed7502/d...
Проверил первый раз показал вирус trojan.Раздел Microsoft.
Проверил второй раз фай чистый, проверил другой файл тоже чистый.
2.В той папке нету файлов.
19.07.2018 03:10:11, Edward Kan.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103900/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103900/ Thu, 19 Jul 2018 03:10:11 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Edward Kan написал:

====quote====
 santy  написал:

====quote====
 Edward Kan  написал:
Добрый день.2 файла:    http://rgho.st/8XPhMV4RW   Требование об оплате:    http://rgho.st/6S7kpfpT5  
=============
нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в  support@esetnod32.ru
=============
1. Что такое VT
2. Чистых файлов нету.
3. Файла нет.
=============

1. этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com и дайте нас ссылку проверки в вашем сообщении.

2. проверьте в этой папке есть зашифрованные файлы?
C:\Users\Public\Pictures\Sample Pictures
если есть, тогда добавьте несколько зашифрованных файлов из этой папки

3. можете самостоятельно попытаться идентифицировать шифратор
https://id-ransomware.malwarehunterteam.com/index.php
18.07.2018 08:52:15, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103895/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103895/ Wed, 18 Jul 2018 08:52:15 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:

====quote====
 Edward Kan  написал:
Добрый день.2 файла:   http://rgho.st/8XPhMV4RW  Требование об оплате:   http://rgho.st/6S7kpfpT5  
=============
нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в support@esetnod32.ru
=============
1. Что такое VT
2. Чистых файлов нету.
3. Файла нет.
18.07.2018 07:38:03, Edward Kan.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103894/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103894/ Wed, 18 Jul 2018 07:38:03 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Edward Kan написал:
Добрый день.2 файла:  http://rgho.st/8XPhMV4RW Требование об оплате:  http://rgho.st/6S7kpfpT5
=============
нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в support@esetnod32.ru
18.07.2018 06:01:47, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103893/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103893/ Wed, 18 Jul 2018 06:01:47 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Edward Kan написал:

====quote====
 santy  написал:
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[ castor-troy-restore@protonmail.com ].java
это не Crysis, какой-то другой вариант шифратора.

у Crysis.java друго шаблон шифрованного файла, с добавлением ID:
inf.txt. id-E8F4FE5C .[ decrypthelp@qq.com ].java

т.е. имя файла+расширение + ID-Hex8+mail+.java

если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве.
+
добавьте файл записки о выкупе

=============
Хорошо.
Завтра добавлю.

=============
Добрый день.
2 файла: http://rgho.st/8XPhMV4RW
Требование об оплате: http://rgho.st/6S7kpfpT5
18.07.2018 03:22:37, Edward Kan.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103891/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103891/ Wed, 18 Jul 2018 03:22:37 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[castor-troy-restore@protonmail.com].java
это не Crysis, какой-то другой вариант шифратора.

у Crysis.java друго шаблон шифрованного файла, с добавлением ID:
inf.txt. id-E8F4FE5C .[decrypthelp@qq.com].java

т.е. имя файла+расширение + ID-Hex8+mail+.java

если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве.
+
добавьте файл записки о выкупе


=============
Хорошо.
Завтра добавлю.
17.07.2018 12:51:54, Edward Kan.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103888/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103888/ Tue, 17 Jul 2018 12:51:54 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[castor-troy-restore@protonmail.com].java
это не Crysis, какой-то другой вариант шифратора.

у Crysis.java друго шаблон шифрованного файла, с добавлением ID:
inf.txt.id-E8F4FE5C.[decrypthelp@qq.com].java

т.е. имя файла+расширение + ID-Hex8+mail+.java

если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве.
+
добавьте файл записки о выкупе.
17.07.2018 12:21:50, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103887/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103887/ Tue, 17 Jul 2018 12:21:50 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com  и дайте нас ссылку проверки в вашем сообщении.
=============
Хорошо проверю.
спс
17.07.2018 12:18:53, Edward Kan.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103886/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103886/ Tue, 17 Jul 2018 12:18:53 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com и дайте нас ссылку проверки в вашем сообщении.
---------
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[castor-troy-restore@protonmail.com].java
это не Crysis, какой-то другой вариант шифратора.
17.07.2018 12:17:52, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103885/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103885/ Tue, 17 Jul 2018 12:17:52 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
@Edward Kan,
Шифрование давно было?
после java было еще несколько свежих вариантов: write, arrow, bip
ни по одному варианту (в том числе и по java) в настоящее время нет расшифровки/
сохраните важные документы на отдельный носитель, возможно в будущем наступит время расшифровки.
(если станут доступны приватные ключи по данным вариантам).

=============
Сегодня Зашифровали.
Спасибо
17.07.2018 12:14:08, Edward Kan.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103884/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103884/ Tue, 17 Jul 2018 12:14:08 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
@Edward Kan,
Шифрование давно было?
после java было еще несколько свежих вариантов: write, arrow, bip
ни по одному варианту (в том числе и по java) в настоящее время нет расшифровки/
сохраните важные документы на отдельный носитель, возможно в будущем наступит время расшифровки.
(если станут доступны приватные ключи по данным вариантам).
17.07.2018 12:11:26, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103883/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103883/ Tue, 17 Jul 2018 12:11:26 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
дравствуйте.
Зашифровали файлы, расширение у файлов .castor-troy-restore@protonmail.com.java, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
http://rgho.st/8LRwq6vKR Зашифрованный файл.
http://rgho.st/6Jnp6BbMS Образ.
17.07.2018 11:32:16, Edward Kan.]]> http://forum.esetnod32.ru/messages/forum35/topic14185/message103882/ http://forum.esetnod32.ru/messages/forum35/topic14185/message103882/ Tue, 17 Jul 2018 11:32:16 +0300 Шифровальщики файлов и подбор дешифраторов