файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

RSS
Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети.
Файлы имеют имя вида <filename>.DOC.{Vegclass@aol.com}.xtbl
Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал.
С уважением, и огромной надеждой,
Андрей.

---------
По CrySiS есть хорошие новости.
Получены мастер ключи по вариантам CrySiS (в частности, vegclass@aol.com.xtbl/ {meldonii@india.com}.xtbl/redshitline@india.com.xtbl/ecovector3@india.com.xtb и др.),
думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.



ссылка на дешифратор в общем доступе:
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryp­tor.exe

ссылку на
How do I clean a Crysis infection using the ESET Crysis decryptor?
http://support.eset.com/kb6274/

Ответы

Здравствуйте, такая же проблема, заражено этим шифровальщиком несколько машин, сделал образ автозапуска непосредственно с компьютера источника заразы по инструкции http://forum.esetnod32.ru/forum9/topic2687/  Во вложении.
С уважением, Виктор
Олег,
выполните скрипт очистки, без перезагрузки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE

regt 27
deltmp
delnfr
;-------------------------------------------------------------

QUIT

без перезагрузки, пишем о старых и новых проблемах.

+
добавьте выполните этот reg файл, этот ключ будет защищать от запуска исполняемых файлов из архивов. для win7
http://rghost.ru/7GFPTJtyv
для XP
http://rghost.ru/6QNlh54PX
Виктор
Цитата
пїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅпїЅ написал:
Здравствуйте, такая же проблема, заражено этим шифровальщиком несколько машин, сделал образ автозапуска непосредственно с компьютера источника заразы по инструкции  http://forum.esetnod32.ru/forum9/topic2687/   Во вложении.
С уважением, Виктор

выполните скрипт очистки, поскольку шифратор сейчас в автозапуске.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
addsgn 1ABE399A5583C58CF42BC4BD0CB82A472562DEBA89FA9C1D61C3F67CDBA379C9D5185697BB95E851C31A809F46D149EC7DDFE89A51DEB02CAEBF5BC677062273 8 Win32/Filecoder.NFY [ESET-NOD32]

zoo %Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\7ZO0B536F9B\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID7C03019D.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID7C03019D.VEGCLASS@AOL.COM.XTBL
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------
на xtbl не похоже:
судя по hex конечный блок повторяется во всех файлах с одним ID, за исключением заголовка файла.

6B00650079006700700067002E00720061007200000030303656474C50CC­9C69FB4CD37B6CC8B78E0CD4CCF10A0047351AEFFAC1C0E8A81390EE4841­72438A41080000000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAFF­72F767ED5C1E43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72D­385765735BA6118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EFD­A5736E1695612402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53E­93D8D5579E22D3C6CDB2D113F693736A16000000

72006500610064006D0065002E00740078007400000030303656474C50CC­9C69FB4CD37B6CC8B78E0CD4CCF10A004735589FDEF8FF6105F8DAD13CA7­4107F0DC070000000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAFF­72F767ED5C1E43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72D­385765735BA6118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EFD­A5736E1695612402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53E­93D8D5579E22D3C6CDB2D113F693736A16000000

69006E0066002E00740078007400000030303656474C50CC9C69FB4CD37B­6CC8B78E0CD4CCF10A004735AD2F9B44EB3C3BDDAB8EB04D3451DAB90900­00000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAFF72F767ED5C1E­43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72D385765735BA6­118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EFDA5736E169561­2402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53E93D8D5579E22­D3C6CDB2D113F693736A10000000
Изменено: santy - 01.03.2016 12:00:06
Цитата
santy написал:
Олег,
выполните скрипт очистки, без перезагрузки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
 
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE

regt 27
deltmp
delnfr
;-------------------------------------------------------------

QUIT
 

без перезагрузки, пишем о старых и новых проблемах.

+
добавьте выполните этот reg файл, этот ключ будет защищать от запуска исполняемых файлов из архивов. для win7
http://rghost.ru/7GFPTJtyv
для XP
http://rghost.ru/6QNlh54PX
Выполнил скрипт. судя по тому, что при копировании файлов в каталоги с базой 1С шифрование прекратилось, скорее всего автозапуск троянов больше не происходит. Написал вчера письмо в техподдержку, приложил все подозрительные файлы, несколько зашифрованных файлов и их чистые копии. Пока что ответа нет, сижу, жду.
Теневых копий нет, бэкапов теперь тоже нет, потому как при попытке восстановить базы вирус зашифровал и их тоже :(
Олег,
этот файл был в автозапуске, и после перезагрузки мог выполнить дошифрование новых файлов.
%Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
на момент создания вами образа автозапуска он был уже удален.
-----------
восстановление документов имеет смысл делать только после полной очистки системы.

ок, ждем ответ вирлаба.
Изменено: santy - 02.03.2016 11:35:14
Цитата
santy написал:
Олег,
этот файл был в автозапуске, и после перезагрузки мог выполнить дошифрование новых файлов.
%Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
на момент создания вами образа автозапуска он был уже удален.
-----------
восстановление документов имеет смысл делать только после полной очистки системы.

ок, ждем ответ вирлаба.
Если быть совсем точным, то указанный файл практически сразу был помещён антивирусом в карантин, а шифрованием скорее всего занимались "потомки" этой гадости, сидевшие в одной из папок C:\Users\1\AppData\Roaming\Microsoft\Installer\{*******}\ и тоже подключенные к автозапуску.

Я понимаю, что процесс исследования новых вирусов небыстрый, но хотелось бы узнать хоть какую-то информацию - есть смысл надеяться, или уже сносить всё и ставить чистую систему?
Изменено: Олег Бордзиховский - 02.03.2016 16:35:19
Цитата
santy написал:
Олег,
этот файл был в автозапуске, и после перезагрузки мог выполнить дошифрование новых файлов.
%Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
на момент создания вами образа автозапуска он был уже удален.
-----------
восстановление документов имеет смысл делать только после полной очистки системы.

ок, ждем ответ вирлаба.
Интересное кино получается. Антивирус NOD32 всё-таки опознал в этом файле трояна и переместил его в карантин. Так почему же он не запретил его запуск в тот момент, когда бухгалтер тыкнула по нему в письме? В чём тогда смысл антивируса, если он разрешает запускать заражённые программы?
Цитата
santy написал:
на xtbl не похоже:
судя по hex конечный блок повторяется во всех файлах с одним ID, за исключением заголовка файла.

6B00650079006700700067002E00720061007200000030303656474C50CC­ ­9C69FB4CD37B6CC8B78E0CD4CCF10A0047351AEFFAC1C0E8A81390EE484­1 ­72438A41080000000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAF­F ­72F767ED5C1E43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72­D ­385765735BA6118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EF­D ­A5736E1695612402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53­E ­93D8D5579E22D3C6CDB2D113F693736A16000000

72006500610064006D0065002E00740078007400000030303656474C50CC­ ­9C69FB4CD37B6CC8B78E0CD4CCF10A004735589FDEF8FF6105F8DAD13CA­7 ­4107F0DC070000000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAF­F ­72F767ED5C1E43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72­D ­385765735BA6118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EF­D ­A5736E1695612402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53­E ­93D8D5579E22D3C6CDB2D113F693736A16000000

69006E0066002E00740078007400000030303656474C50CC9C69FB4CD37B­ ­6CC8B78E0CD4CCF10A004735AD2F9B44EB3C3BDDAB8EB04D3451DAB9090­0 ­00000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAFF72F767ED5C1­E ­43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72D385765735BA­6 ­118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EFDA5736E16956­1 ­2402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53E93D8D5579E2­2 ­D3C6CDB2D113F693736A10000000
попалось в сети:
Трояны-вымогатели (ransomware) типа KEYHolder, CryptoLocker и CryptoWall  получили широкое распространение в последнее время. Некоторые из них  сильно лажают в плане криптографии, так что файлы можно расшифровать без всякого выкупа.
Например, троян-вымогатель DirCrypt записывает ключ RC4 в конец каждого зашифрованного файла.

Очень похоже.

Кстати, в моих зашифрованных файлах тоже присутствуют одинаковые сигнатуры в конце.
Изменено: Олег Бордзиховский - 03.03.2016 10:13:57
Цитата
Интересное кино получается. Антивирус NOD32 всё-таки опознал в этом файле трояна и переместил его в карантин. Так почему же он не запретил его запуск в тот момент, когда бухгалтер тыкнула по нему в письме? В чём тогда смысл антивируса, если он разрешает запускать заражённые программы?
Откуда знать как эти события между собой связаны: момент когда бухгалтер открыла письмо, и момент когда антивирус что-то удалил.

может быть он удалил файл после обновления баз, а на момент запуска еще не было детекта.

Тут явно не Cryptowall:

Цитата
Encrypted Filenames - CryptoWall 4.0 will now encrypt the actual filename of an encrypted file as well as the data contained in it. Each encrypted file will have a unique name that looks like random characters. Examples encrypted filenames look like 27p9k967z.x1nep or 9242on6c.6la9. You can see a screenshot of what a folder looks like after being encrypted by CryptoWall 4.0
Изменено: santy - 03.03.2016 10:11:57
Читают тему (гостей: 1)