файлы зашифрованы с расширением .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

RSS

Сообщений: 1

Регистрация: 25.02.2016

Размещено 25.02.2016 16:48:09

Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети.
Файлы имеют имя вида <filename>.DOC.{[email protected]}.xtbl
Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал.
С уважением, и огромной надеждой,
Андрей.

---------
По CrySiS есть хорошие новости.
Получены мастер ключи по вариантам CrySiS (в частности, [email protected]/ {[email protected]}.xtbl/[email protected]/[email protected] и др.),
думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.

ссылка на дешифратор в общем доступе:
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryptor.exe

ссылку на
How do I clean a Crysis infection using the ESET Crysis decryptor?
http://support.eset.com/kb6274/

Прикрепленные файлы

DAUREN_2016-02-25_19-37-33.7z (350.06 КБ)
ASSEL-HP_2016-02-25_19-32-39.rar (718.97 КБ)

Ответы

Пред. 1 ... 4 5 6 7 8 ... 14 След.

Сообщений: 5

Баллов: 2

Регистрация: 28.03.2016

Размещено 28.03.2016 12:54:47

Цитата
santy написал: Евгений, добавьте образ автозапуска. и несколько зашифрованных файлов если сохранилось вредоносное вложение из почты, вышлите в архиве с паролем infected на адрес [email protected]

Все отправил, Вам на почту.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.03.2016 13:25:58

образ автозапуска добавьте здесь

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 28.03.2016

Размещено 28.03.2016 13:47:47

Цитата
santy написал: образ автозапуска добавьте здесь

Прикрепленные файлы

WS01_2016-03-28_11-54-26.7z (634.22 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.03.2016 15:09:46

Евгений Клименко,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- hide %SystemDrive%\PROGRAM FILES\OPENVPN\UNINSTALL.EXE chklst delvir delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.6.0_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.15.0_0\СТАРТОВАЯ — ЯНДЕКС deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES\OPENVPN\UNINSTALL.EXE
chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.6.0_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.15.0_0\СТАРТОВАЯ — ЯНДЕКС

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 28.03.2016

Размещено 28.03.2016 15:29:06

Цитата

santy написал:
Евгений Клименко,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код

 
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES\OPENVPN\UNINSTALL.EXE
chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPD ATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPD ATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.6.0_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.15.0_0\СТАРТОВАЯ — ЯНДЕКС

deltmp
delnfr
;-------------------------------------------------------------

restart

Цитата

Код

 
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES\OPENVPN\UNINSTALL.EXE
chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.6.0_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.15.0_0\СТАРТОВАЯ — ЯНДЕКС

deltmp
delnfr
;-------------------------------------------------------------

restart

Все выполнил, подтверждение не требовало, ушел в перезагрузку, новых проблем нет, старая проблемы файлы зашифрованы

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.03.2016 15:35:43

понятно, что скрипт не расшифрует файлы, только очистит систему.

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 28.03.2016

Размещено 28.03.2016 15:47:15

Цитата
santy написал: понятно, что скрипт не расшифрует файлы, только очистит систему.

это понятно, просто описываю, то что новые файлы не шифрует

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.04.2016 07:55:23

Кстати, по [email protected] пробуйте обращаться в техподдержку [email protected], я расшифровал свои тестовые документы.
при наличие лицензии на продукт ESET, думаю, решение по расшифровке документов возможно.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 05.05.2016

Размещено 05.05.2016 13:14:34

Добрый день!
помогите удалить этот вирус

Прикрепленные файлы

ADM05_2016-05-05_11-46-42.7z (534.97 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.05.2016 13:26:32

@Бекзат Егизбаев,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE addsgn 1A4E439A5583C58CF42B254E3143FE8E60825FAE38BB1F2546483AE9DB3AF0A00B14C3579F4530082BB3411603EA1A7120D7BFF1AE25C42B7E9FA01AC7067BF0 8 Win32/Filecoder.NFY [ESET-NOD32] zoo %SystemDrive%\USERS\RECEPTION\APPDATA\ROAMING\АКТ СВЕРКИ.DOC.EXE zoo %SystemDrive%\USERS\RECEPTION\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected] delall %SystemDrive%\USERS\RECEPTION\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\АКТ СВЕРКИ.DOC.EXE delall %SystemDrive%\USERS\RECEPTION\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected] ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- czoo restart

Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 1A4E439A5583C58CF42B254E3143FE8E60825FAE38BB1F2546483AE9DB3AF0A00B14C3579F4530082BB3411603EA1A7120D7BFF1AE25C42B7E9FA01AC7067BF0 8 Win32/Filecoder.NFY [ESET-NOD32]

zoo %SystemDrive%\USERS\RECEPTION\APPDATA\ROAMING\АКТ СВЕРКИ.DOC.EXE
zoo %SystemDrive%\USERS\RECEPTION\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]
delall %SystemDrive%\USERS\RECEPTION\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\АКТ СВЕРКИ.DOC.EXE
delall %SystemDrive%\USERS\RECEPTION\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_**.rar/7z) отправить в почту [email protected]
------------
по расшифровке файлов, с лицензией на продукт ESET обращайтесь в техподдержку [email protected]

[ Как создать образ автозапуска? ]

Пред. 1 ... 4 5 6 7 8 ... 14 След.

файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

Ответы

файлы зашифрованы с расширением .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /