Форум esetnod32.ru [тема: файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro] http://forum.esetnod32.ru Новое в теме файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 17 Apr 2026 09:35:27 +0300 файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
anton shalapskyi написал:
Поскажите те кто сталкивалися з етим шифровщиком удалось разшифровать??
=============
Напишите в техподдержку support@esetnod32.ru при наличие лицензии на продукты ESET.
Это Scarab, есть шанс что файлы могут быть расшифрованы
28.11.2019 19:40:29, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message107687/ http://forum.esetnod32.ru/messages/forum35/topic14926/message107687/ Thu, 28 Nov 2019 19:40:29 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
Поскажите те кто сталкивалися з етим шифровщиком удалось разшифровать??
28.11.2019 16:40:17, anton shalapskyi.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message107681/ http://forum.esetnod32.ru/messages/forum35/topic14926/message107681/ Thu, 28 Nov 2019 16:40:17 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
судя по образу система уже очищена от тел шифратора.
по расшифровке файлов, при наличие лицензии на продукт ESET напишите в техническую поддержку support@esetnod32.ru
по некоторым вариантам Scarab у ESET есть расшифровка.
20.09.2019 11:31:26, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message107313/ http://forum.esetnod32.ru/messages/forum35/topic14926/message107313/ Fri, 20 Sep 2019 11:31:26 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
Спасибо за ответ, отправляю вам образ автозапуска.
Вирус скорее всего конечно уже удалили, возможно ещё остались какие-либо следы.
Но часть файлов на заражённом компьютере нам удалось восстановить, используя стандартные возможность Windows (в свойствах файла вкладка "предыдущие версии"), для группового восстановления файлов и папок использовали программу Shadow Explorer, но для расшифровки сетевого диска NAS необходим дешифровщик.
E7_2019-09-20_12-30-16_v4.1.6.7z
20.09.2019 10:41:26, Владимир Ермаков.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message107312/ http://forum.esetnod32.ru/messages/forum35/topic14926/message107312/ Fri, 20 Sep 2019 10:41:26 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
судя по детекту на ID Ransomware - это Scarab
https://id-ransomware.malwarehunterteam.com/identify.php?case=19a0b411ccbea717ee33f161a0ef7109a37f888a


====quote====
Опознан как

   custom_rule: Encrypted size marker [0x00 - 0x08] 0x0440000000000000

=============

добавьте образ автозапуска с зашифрованной системы
19.09.2019 04:47:27, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message107296/ http://forum.esetnod32.ru/messages/forum35/topic14926/message107296/ Thu, 19 Sep 2019 04:47:27 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
Здравствуйте, пожалуйста помогите!

Поймали шифровальщика, файлы с расширением .scary.
Во вложении зашифрованные и дешифрованные файлы, а также текстовый файл вымогателя.
Сообщите пожалуйста, возможна ли расшифровка файлов?
crypto_virus.zip
18.09.2019 21:38:09, Владимир Ермаков.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message107291/ http://forum.esetnod32.ru/messages/forum35/topic14926/message107291/ Wed, 18 Sep 2019 21:38:09 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Сергей Солодков написал:
Такая же ситуация, как у Александра. Помогите пожалуйста.Файл с данными во вложении.
=============
судя по детекту это Scarab

====quote====
Опознан как

   ransomnote_email: zoro4747@gmx.de
   sample_extension: .[zoro4747@gmx.de].zoro
   custom_rule: victim ID format in ransom note
=============
https://id-ransomware.malwarehunterteam.com/identify.php?case=e5b40dbda8c6f763efcd44b1b313dc0a3f5ef1b3

по очистке системы выполните,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://SEARCHS-PAISI.RU
delref WLCONTROL.DLL
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\NEWSI_1799\S_INST.EXE
addsgn A7679B235F6A4C7261D4C4B12DBDEB5476DCAB4EFD0E5D786D9CA441AF5D4C907254C364FE00F5091DC384FBB9262D735D379E0BA8253BDCA881D8678135F9FE 21 Trojan.Fakealert.47029 7

zoo %SystemDrive%\PROGRAM FILES (X86)\SEARCHPROTECT\SEARCHPROTECT\BIN\SPVC32LOADER.DLL
addsgn A7679B1928664D070E3C71F464C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323DF53529906CB06C1649C9BD9F6307595F4659214E91076E04327C 64 SearchProtect 7

zoo %SystemDrive%\PROGRAM FILES (X86)\SEARCHPROTECT\MAIN\BIN\CLTMNGSVC.EXE
addsgn 1A50909A5583338CF42BFB3A884BFE1DA8C714A5768F1390F23F3A43DB8B79CDD817C2573E26FDC2666807E6321737EEF09A00223FD8E3C4269EA42F4C4BCAF0 8 Win32/Conduit.SearchProtect.H 7

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR

delref WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM2_ITIMER
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\IEXPLORE.BAT
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\INTЕRNЕT ЕХPLОRЕR.LNK
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\SYSTEM TOOLS\INTЕRNЕT ЕХPLОRЕR (NО АDD-ОNS).LNK
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\LАUNСH INTЕRNЕT ЕХPLОRЕR ВRОWSЕR.LNK
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTЕRNЕT ЕХPLОRЕR (2).LNK
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTЕRNЕT ЕХPLОRЕR (3).LNK
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTЕRNЕT ЕХPLОRЕR.LNK
delref %SystemDrive%\FIREFOX.BAT
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\МОZILLА FIRЕFОХ.LNK
delref %SystemDrive%\USERS\PUBLIC\DESKTOP\МОZILLА FIRЕFОХ.LNK
apply

regt 27
regt 28
regt 29
; Surfing Protection
exec  C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe

; Search Protect
exec  C:\PROGRA~2\SearchProtect\Main\bin\uninstall.exe" /S

deltmp
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\APPLE SOFTWARE UPDATE\SOFTWAREUPDATE.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE7\BIN\JP2IEXP.DLL
delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\ITUNES\MOZILLA PLUGINS\NPITUNES.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\HEWLETT-PACKARD\SMARTPRINT\QPEXTENSION
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.65536.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemRoot%\TEMP\CPUZ135\CPUZ135_X64.SYS
delref %Sys32%\DRIVERS\DCDBAS64.SYS
delref %Sys32%\DRIVERS\DGIVECP.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\DELTAFIX\DELTAFIX.DLL
delref %Sys32%\DRIVERS\ISODRV64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\REALTEK\USB WIRELESS LAN UTILITY\RTLSERVICE.EXE
delref %Sys32%\DRIVERS\RTLSS.SYS
delref %Sys32%\DRIVERS\VBOXNETFLT.SYS
delref %Sys32%\DRIVERS\VMCI.SYS
delref %Sys32%\DRIVERS\VMNETADAPTER.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_5B2A_86.TMP
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\PSUSER.DLL
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_DEFA_15.TMP
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.57.1\PSUSER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\1CV8\8.3.5.1248\BIN\COMCNTR.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\DROPBOXUPDATE.EXE
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_625F_49.TMP
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_1FD5_8C.TMP
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_43AB_1C.TMP
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\DROPBOXUPDATEONDEMAND.EXE
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\CONSULTANTPLUS\LIB\SCONS.DLL
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.29\PSUSER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_101\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.51.1\PSUSER.DLL
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\DROPBOX\BIN\DROPBOX.EXE
delref %SystemDrive%\USERS\836D~1\APPDATA\LOCAL\TEMP\9572A32FEAC27\TEMP\WIN 8.1 ACTIVATOR.EXE
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.57.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.29\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.51.1\PSUSER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref H:\AUTOCAT.EXE
delref %SystemRoot%\SYSWOW64\PLASRV.EXE
delref %Sys32%\MCTADMIN111.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWS SIDEBAR\SIDEBAR111.EXE
delref K:\SETUP.EXE
delref G:\AUTORUN.EXE
delref I:\AUTORUN.EXE
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\ICQM\ICQ.EXE
delref {10DB41A2-8A81-4788-B635-ABA6749A7D87}\[CLSID]
delref {086C8477-4F71-4550-87FB-AF0AE8DF3E98}\[CLSID]
delref {22CC3EBD-C286-43AA-B8E6-06B115F74162}\[CLSID]
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VIRTUAL PC\VIRTUAL PC.EXE
delref K:\СПС\CONSULTANTPLUS_BUH\CONS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SCANCODE\КОМПОНЕНТА 1С ДЛЯ ТСД CIPHERLAB\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARLOADER.EXE
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов,
при наличие лицензии на продукт ESET напишите обращение в техническую поддержку support@esetnod32.ru
(ESET умеет расшифровать некоторые варианты Scarab)
09.05.2019 05:37:59, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message106600/ http://forum.esetnod32.ru/messages/forum35/topic14926/message106600/ Thu, 09 May 2019 05:37:59 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день.
Такая же ситуация, как у Александра. Помогите пожалуйста.
Файл с данными во вложении.
Спасибо.
XTREME-GKRRKDC8_2019-05-08_19-46-37_v4.1.5.rar
08.05.2019 20:19:33, Сергей Солодков.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message106598/ http://forum.esetnod32.ru/messages/forum35/topic14926/message106598/ Wed, 08 May 2019 20:19:33 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
Александр,
добавьте образ автозапуска системы,
+ записку о выкупе и пару зашифрованный и оригинал файл добавьте в архив и поместите в ваше сообщение
07.05.2019 11:59:23, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message106593/ http://forum.esetnod32.ru/messages/forum35/topic14926/message106593/ Tue, 07 May 2019 11:59:23 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день! Абсолютно все файлы на компьютере зашифрованы с расширением zoro, есть ли у кого-то похожее и было ли решение?
07.05.2019 08:48:46, Александр Коновальчук Коновальчук.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message106592/ http://forum.esetnod32.ru/messages/forum35/topic14926/message106592/ Tue, 07 May 2019 08:48:46 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
YY Miko

Тех. поддержка помогает только тем у кого есть _оплаченная лицензия.
А на форуме мы вам помочь не можем.
22.02.2019 13:58:12, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message105962/ http://forum.esetnod32.ru/messages/forum35/topic14926/message105962/ Fri, 22 Feb 2019 13:58:12 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
YY Miko написал:
Реальной лицензии нет, просто установлен антивирус Eset. Как в таком случае быть? Писать на поддержку? Здесь не помогут?
=============
вы можете приобрести лицензию, и затем написать в support@esetnod32.ru, поскольку вирлабы сейчас оказывают помощь в расшифровке документов бесплатно только своим лицензированным пользователям.
22.02.2019 13:57:14, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message105961/ http://forum.esetnod32.ru/messages/forum35/topic14926/message105961/ Fri, 22 Feb 2019 13:57:14 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
Реальной лицензии нет, просто установлен антивирус Eset. Как в таком случае быть? Писать на поддержку? Здесь не помогут?
22.02.2019 13:04:58, YY Miko.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message105960/ http://forum.esetnod32.ru/messages/forum35/topic14926/message105960/ Fri, 22 Feb 2019 13:04:58 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
YY Miko,

При наличие _реальной лицензии ESET по расшифровке обращайтесь в support@esetnod32.ru
21.02.2019 12:52:32, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message105949/ http://forum.esetnod32.ru/messages/forum35/topic14926/message105949/ Thu, 21 Feb 2019 12:52:32 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
Здравствуйте!
На  компьютер попал вирус, зашифровал офисные документы, резервной копии нет. Очень нужна помощь в расшифровке. Прикрепляю образ автозапуска, зашифрованные файлы и письмо от вымогателей.
READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.rar
Files.rar
LYUDA_2019-02-20_15-59-25_v4.1.2.7z
21.02.2019 11:54:20, YY Miko.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message105945/ http://forum.esetnod32.ru/messages/forum35/topic14926/message105945/ Thu, 21 Feb 2019 11:54:20 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
судя по детекту на ID Ransomware ваши файлы зашифрованы шифратором Scarab


====quote====
Scarab
Этот вымогатель дешифруем при некоторых обстоятельствах.

Изучите руководство для дополнительной информации.

Опознан как

   sample_extension: .DD
   custom_rule: Encrypted size marker [0x00 - 0x08] 0x0440000000000000

=============

Если вы являетесь лицензионным пользвателем ESET, вы можете обратиться с запросом на расшифровку данных в support@esetnod32.ru

для расшифровки файлов, может потребоваться следующая информация:


====quote====
For any Scarab ransomware request we need :

- the  ransom note file HOW TO RECOVER ENCRYPTED FILES.TXT

- 3-4 crypted files if possible .doc or docx, xls or pdf
- The registry files HKEY_CURRENT_USER & HKEY_USERS of the infected machine. You must run regedit.exe to export these files.
=============

28.10.2018 13:04:31, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message104843/ http://forum.esetnod32.ru/messages/forum35/topic14926/message104843/ Sun, 28 Oct 2018 13:04:31 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
Прикладываю
ADMIN_2018-10-28_10-11-29_v4.1.1.7z
HOW TO RETURN FILES.TXT
ГИС РО.7z
28.10.2018 10:19:49, Дмитри Рудаков.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message104842/ http://forum.esetnod32.ru/messages/forum35/topic14926/message104842/ Sun, 28 Oct 2018 10:19:49 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
добавьте несколько зашифрованных файлов архиве + записку о выкупе,
+
сделайте образ автозапуска системы, где произошло шифрование.
27.10.2018 14:31:12, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message104839/ http://forum.esetnod32.ru/messages/forum35/topic14926/message104839/ Sat, 27 Oct 2018 14:31:12 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
При работающем антивирусе ESET Endpoint вирусом шифровальщиком зашифрованы все данные. Что делать?
27.10.2018 13:21:46, Дмитри Рудаков.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message104838/ http://forum.esetnod32.ru/messages/forum35/topic14926/message104838/ Sat, 27 Oct 2018 13:21:46 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
vlad postnov написал:
Загрузил образ

Прикрепленные файлы
BUHGALTERIA_2018-09-05_10-48-44.7z  (436.96 КБ)
=============
здесь так же не видны следы запуска шифратора
05.09.2018 11:57:24, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message104324/ http://forum.esetnod32.ru/messages/forum35/topic14926/message104324/ Wed, 05 Sep 2018 11:57:24 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
Загрузил образ
BUHGALTERIA_2018-09-05_10-48-44.7z
05.09.2018 10:52:01, vlad postnov.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message104323/ http://forum.esetnod32.ru/messages/forum35/topic14926/message104323/ Wed, 05 Sep 2018 10:52:01 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
vlad postnov написал:
Просмотрел все компы в локальной сети, ничего не обнаружил, чтобы напоминало о шифровальщике
=============
по третьему компутеру можно еще посмотреть образ автозапуска
04.09.2018 17:21:08, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message104320/ http://forum.esetnod32.ru/messages/forum35/topic14926/message104320/ Tue, 04 Sep 2018 17:21:08 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
Просмотрел все компы в локальной сети, ничего не обнаружил, чтобы напоминало о шифровальщике
04.09.2018 11:22:46, vlad postnov.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message104319/ http://forum.esetnod32.ru/messages/forum35/topic14926/message104319/ Tue, 04 Sep 2018 11:22:46 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
на  admin, apz9 следов активности omerta нет. возможно с других компутеров был запуск шифратора, который достал в сети расшаренные папки




====quote====
Scarab
Этот вымогатель дешифруем при некоторых обстоятельствах.

Изучите руководство для дополнительной информации.

Опознан как

   ransomnote_filename: READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
   ransomnote_email: XAVAX@PM.ME
   custom_rule: Encrypted size marker [0x00 - 0x08] 0x0480000000000000
=============

https://id-ransomware.malwarehunterteam.com/identify.php?case=644520cf38976f20df15915c5414a6e2c23a8e4b
30.08.2018 18:21:22, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message104273/ http://forum.esetnod32.ru/messages/forum35/topic14926/message104273/ Thu, 30 Aug 2018 18:21:22 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
второй комп, который затронуло шифрование
APZ9_2018-08-30_11-24-47.7z
30.08.2018 14:36:35, vlad postnov.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message104272/ http://forum.esetnod32.ru/messages/forum35/topic14926/message104272/ Thu, 30 Aug 2018 14:36:35 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
отправил образ автозапуска одного из компов + в архиве зашифрованные файлы
ADMIN_2018-08-30_13-06-06.7z
30.08.2018 13:23:59, vlad postnov.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message104270/ http://forum.esetnod32.ru/messages/forum35/topic14926/message104270/ Thu, 30 Aug 2018 13:23:59 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
добавьте образы автозапуска с пострадавших копьютеров.
если на пострадавших компьютерах были затронуты шифратором только расшаренные папки, тогда запуск был скорее всего с другого компа.
добавьте в архиве записку о выкупе и несколько зашифрованных файлов.
-----------
если взлом одного из компьютеров был по сети, то необязательно, чтобы кто-то при этом был на работе, достаточно того, чтобы компьютеры были включены и доступны для подключения извне.
30.08.2018 12:27:16, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message104269/ http://forum.esetnod32.ru/messages/forum35/topic14926/message104269/ Thu, 30 Aug 2018 12:27:16 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
Здравствуйте!
С воскресенья на понедельник, ночью, началось шифрование. Шифрование затронуло выборочно 3 компьютера и сетевое хранилище D-link/ Зашифрованы оказались файлы в папках, которые были расшарены по сети, остальные файлы оказались нетронутыми. Не можем найти откуда проник зловред, помогите пожалуйста Ночью на работе никого не было, письма никто никакие не открывал.
30.08.2018 11:58:18, vlad postnov.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message104268/ http://forum.esetnod32.ru/messages/forum35/topic14926/message104268/ Thu, 30 Aug 2018 11:58:18 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
@Павел м,

статус ваших файлов на ID Ransomware изменился.
This ransomware may be decryptable under certain circumstances.
(Это ransomware может быть дешифруемым при определенных обстоятельствах/условиях).
по возможности расшифровки обращайтесь в support@esetnod32.ru если вы являетесь лицензионным пользователем ESET
01.08.2018 13:05:00, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message103995/ http://forum.esetnod32.ru/messages/forum35/topic14926/message103995/ Wed, 01 Aug 2018 13:05:00 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro Scarab/Filecoder.FS в форуме Шифровальщики файлов и подбор дешифраторов.
похоже, свежий вариант Scarab
https://id-ransomware.malwarehunterteam.com/identify.php?case=1bd692ef3e3f6ca036eb30edf7dcd63ebecaedac
детект вредоноса:
Время;Сканер;Тип объекта;Объект;Угроза;Действие;Пользователь;Информация;Хэш;Первое обнаружение
25.07.2018 16:03:04;Фильтр HTTP;файл;Скан июль.gz;Win32/Filecoder.FS троянская программа;соединение прервано;;Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe (C32AB99A21DA3FB4985EEC0F9EB2499688A1E400).;128A5CDEFDC7FC7B1FA3A2629307670A60F4B918;
+
от Amigo-A & thyrex:
https://twitter.com/Amigo_A_/status/1022036778012864514
https://twitter.com/thyrex2002/status/1022031471316484096
+
Обновление от 24 июля 2018:
Расширение: .ukrain
Email: cr64@keemail.me, cr64@mail.ee
Файл с вредоносным вложением: реквизиты июль.gz
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT

Scarab with .ukrain extension https://www.sendspace.com/file/sh8vda  ransom note and encrypted file.
User run file "реквизиты июль.gz", which have received by email. Malware file name C:\Users\User\AppData\Roaming\osk.exe

https://id-ransomware.blogspot.com/2018/06/scarab-bomber-ransomware.html
--------------
по возможности расшифровки обращайтесь в support@esetnod32.ru если вы являетесь лицензионным пользователем ESET
25.07.2018 12:00:46, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14926/message103953/ http://forum.esetnod32.ru/messages/forum35/topic14926/message103953/ Wed, 25 Jul 2018 12:00:46 +0300 Шифровальщики файлов и подбор дешифраторов