файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

1 2 3 4 5 ... 14 След.
RSS
Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети.
Файлы имеют имя вида <filename>.DOC.{Vegclass@aol.com}.xtbl
Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал.
С уважением, и огромной надеждой,
Андрей.

---------
По CrySiS есть хорошие новости.
Получены мастер ключи по вариантам CrySiS (в частности, vegclass@aol.com.xtbl/ {meldonii@india.com}.xtbl/redshitline@india.com.xtbl/ecovector3@india.com.xtb и др.),
думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.



ссылка на дешифратор в общем доступе:
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryp­tor.exe

ссылку на
How do I clean a Crysis infection using the ESET Crysis decryptor?
http://support.eset.com/kb6274/
по ASSEL:

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

del %SystemDrive%\USERS\TAMARA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.{VEGCLASS@AOL.COM}.XTBL

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\TAMARA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_1\ПОИСК MAIL.RU

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по DAUREN все чисто.

по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Добрый день!
Сегодня поймали вирус который зашифровал файлы. Сначала на ПК пользователя, потом на сервере. Это очень критично для нас. У нас установлена корпоративная лицензия. Антивирус не помог, пропустил вирус.
выкладываю файлы автозапуска.
Прошу помочь нам расшифровать данные файлы.
образы сейчас посмотрю,
добавьте несколько зашифрованных файлов
по первому образу: Priputnikova.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 1ABE399A5583C58CF42BC4BD0CB82A472562DEBA89FA9C1D61C3F67CDBA379C9D5185697BB95E851C31A809F46D149EC7DDFE89A51DEB02CAEBF5BC677062273 8 Ransom:Win32/Genasom [Microsoft]

zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\LOCAL\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\REMOTE DESKTOP CONNECTION.LNK.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\REMOTE DESKTOP CONNECTION.LNK.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL

delref %Sys32%\NEFTPDZVCNORKO.EXE
del %Sys32%\NEFTPDZVCNORKO.EXE

deltmp
delnfr

;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

архив из каталога uVS (по формату: ZOO_****.rar/7z)  отправить в почту safety@chklst.ru
------------
по второму образу все чисто.
скорее всего шифрануло расшаренные на сервере NTPAGE0 диски и каталоги.
шифратор запустился с Priputnikova
Изменено: santy - 29.02.2016 16:44:06
Файлы расшифруются при применении скрипта?
нет, не расшифруются. это только скрипт очистки системы от вирусных тел.
по расшифровке отдельный разговор.
так просто не решается эта проблема, тем более с новым шифратором.
--------
необходимо проанализировать тело шифратора, зашифрованные файлы, определить тип шифратора,
и далее уже смотреть: есть по нему на сегодня дешифраторы или нет.
поскольку вирусописатели меняют заголовки зашифрованных файлов,
при этом возможно что алгоритм шифрования не меняется.
--------
здесь например добавили xtbl, хотя предыдущие варианты действительно xtbl совершенно иначе формируют заголовок файла.

этот вариант шифратора как минимум неделя уже в ходу.
Изменено: santy - 29.02.2016 16:54:32
Выполнил все как писали выше. Дальнейшие действия какие по расшифровке?
1 2 3 4 5 ... 14 След.
Читают тему (гостей: 1)