файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

RSS
Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети.
Файлы имеют имя вида <filename>.DOC.{Vegclass@aol.com}.xtbl
Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал.
С уважением, и огромной надеждой,
Андрей.

---------
По CrySiS есть хорошие новости.
Получены мастер ключи по вариантам CrySiS (в частности, vegclass@aol.com.xtbl/ {meldonii@india.com}.xtbl/redshitline@india.com.xtbl/ecovector3@india.com.xtb и др.),
думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.



ссылка на дешифратор в общем доступе:
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryp­tor.exe

ссылку на
How do I clean a Crysis infection using the ESET Crysis decryptor?
http://support.eset.com/kb6274/

Ответы

по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
+
жду от вас архив после выполнения скрипта
архив из каталога uVS (по формату: ZOO_****.rar/7z) отправить в почту safety@chklst.ru
если нет такого архива в папке uVS, тогда самостоятельно заархивируйте папку ZOO с паролем infected
и вышлите в почту
Изменено: santy - 29.02.2016 17:42:22
Цитата
santy написал:
по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
+
жду от вас архив после выполнения скрипта
архив из каталога uVS (по формату: ZOO_****.rar/7z) отправить в почту safety@chklst.ru
если нет такого архива в папке uVS, тогда самостоятельно заархивируйте папку ZOO с паролем infected
и вышлите в почту
Написал в техподдержку нод32. Выслал им архив с самим вирусом. Также зараженные файлы. Жду от них ответа.
Также отправил архив ZOO на указанную вами почту
Похоже, у нас такая же проблема.
Файлы переименовываются в *.IDFA3800E1.Vegclass@aol.com.xtbl, шифруются только базы 1С.
Запрос в техподдержку через форму уже отправили, нашли чистые копии нескольких зашифрованных файлов. Сейчас компьютеры стоят выключенные, что дальше делать, не знаю. Надо как-то побороть заразу, она ещё сидит в памяти и шифрует файлы при попытке восстановить из копий.
Некоторое время назад антивирус (NOD32) не хотел обновляться, позавчера наконец-то починили его (ввели логин и пароль, присланный от техподдержки), а вчера бухгалтер умудрилась запустить вложение из письма якобы из налоговой, и угробить все базы 1С.
Подскажите, как быть дальше?
добавьте образ автозапуска системы с рабочего стола
http://forum.esetnod32.ru/forum9/topic2687/

или из под Winpe&uVS
http://chklst.ru/forum/discussion/61/winpeuvs
+
для таких бухгалтеров надо  настроить политики ограничения запуска исполняемых файлов из архивов.
Изменено: santy - 01.03.2016 09:13:22
Цитата
Олег Бордзиховский написал:
Похоже, у нас такая же проблема.
Файлы переименовываются в * .IDFA3800E1.Vegclass@aol.com.xtbl , шифруются только базы 1С.
Запрос в техподдержку через форму уже отправили, нашли чистые копии нескольких зашифрованных файлов. Сейчас компьютеры стоят выключенные, что дальше делать, не знаю. Надо как-то побороть заразу, она ещё сидит в памяти и шифрует файлы при попытке восстановить из копий.
Некоторое время назад антивирус (NOD32) не хотел обновляться, позавчера наконец-то починили его (ввели логин и пароль, присланный от техподдержки), а вчера бухгалтер умудрилась запустить вложение из письма якобы из налоговой, и угробить все базы 1С.
Подскажите, как быть дальше?
Проблема такая же заразилась вся база 1с 7.7 , бухгалтер запустила из письма файл с вирусом. База 1с лежит, надеемся только на техподдержку нод32...
Цитата
santy написал:
добавьте образ автозапуска системы с рабочего стола
http://forum.esetnod32.ru/forum9/topic2687/

или из под Winpe&uVS
http://chklst.ru/forum/discussion/61/winpeuvs
+
для таких бухгалтеров надо  настроить политики ограничения запуска исполняемых файлов из архивов.
насчет политики согласен, ещё бы знать как это сделать...
uVS нашла четыре явно вирусных файла, ничего лечить/удалять не стал, жду дальнейших инструкций.
Телефон названивает каждые 5 минут. Необходимо что то предпринять для борьбы...
santy , вы еще не рассматривали нашу проблему?
Александр,
все что в наших силах мы уже сделали. очистили систему, провели тестовое шифрование, отправили зашифрованные, чистые файлы + тело шифратора в вирлаб.
ждем ответ от вирлаба, от специалистов.
---------
поверьте, возможно теневые копии остались живые,
Изменено: santy - 01.03.2016 11:08:36
Цитата
Олег Бордзиховский написал:
uVS нашла четыре явно вирусных файла, ничего лечить/удалять не стал, жду дальнейших инструкций.
судя по образу, файл шифратора в автозапуске удален.

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
Имя файла                   ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя файла                   Двойное расширение
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\документы­ для подписи на 29.02.2016.doc
документы для подписи на 29.02.2016.docC:\Windows\System32\документы для подписи на 29.02.2016.doc.exe
                           

сейчас добавлю скрипт очистки.
Читают тему (гостей: 1)