файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu , Filecoder.Crysis; ransom_note: info.hta

Попал в сеть через открытый порт MSSQL . брутфорсом подобрал логин\пароль для пользовательской учетки на КД. Закинул файлик который просканил шары по сети и пошифровал все. теперь файл который был раньше  к примеру doc.txt стал doc.txt.id-9E6AA720.[WildMouse@cock.li].FUNNY  .



==================
добавьте на форум в ваше сообщение несколько зашифрованных документов + записку о выкупе.

расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: .FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu
на данный момент времени нет.
восстановление документов возможно из архивных копий.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
@viktor solodkiy,

добавьте образ автозапуска системы, в которой был запущен шифратор.
+
добавьте несколько зашифованных файлов и записку о выкупе. (можно предварительно поместить их в архивный файл)

возможно это вариант шифратора Crysis.
У меня вчера произошла такая же ситуация. Trojan.Encoder.3953 файлы с расширением id-8ADB6DDA.[WindyHill@cock.li].FUNNY. Если будет полезно выслал файлы как по вашей инструкции
@Артем а,
судя по наличию файла info.hta, по идентификатору, добавленному в заголовок зашифрованного файла,
а так же потому, что в конце файла добавлено имя оригинального файла,
(например, Port3NaPochtu.epf)
это свежий вариант Crysis, без расшифровки получается на данный момент.
активного шифрования уже нет, чуть позже напишу скрипт очистки.

посмотрите в системе, есть ли такие файлы:

FILES ENCRYPTED.txt

если есть такой файл, добавьте так же его в сообщение на форуме.
+
этот файл так же добавьте во вложение сообщения

C:\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA


Цитата
Полное имя                  C:\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA
Имя файла                   INFO.HTA
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      13916 байт
Создан                      17.10.2018 в 09:12:20
Изменен                     18.10.2018 в 12:53:11
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\MSHTA.EXE
SHA1                        E12E090BEEA1ECF54CC107A068B44470DCDD2A6C
MD5                         4B4032E5295129C3B4B2AB652E0D511B
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1650623945-3038832851-789751919-1007\Software\Microsoft\Windows\CurrentVersion\Run\C:\Users\Director\AppData\Roaming\Info.hta
C:\Users\Director\AppData\Roaming\Info.htamshta.exe "C:\Users\Director\AppData\Roaming\Info.hta"
                           


эти файлы: FILES ENCRYPTED.txt и Info.hta нужны для точной идентификации типа шифратора, которым зашифрованы ваши файлы
@Артем а,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-8ADB6DDA.[WINDYHILL@COCK.LI].FUNNY
apply

regt 27
deltmp
;-------------------------------------------------------------

quit

без перезагрузки, пишем о старых и новых проблемах.
------------
Вот эти файлы
В автозапуске был info.hta .
да, это Crysis

Цитата
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   sample_bytes: [0x5460 - 0x54A0] 0x00000000020000000CFE7A410000000000000000000000002000000000000000
   custom_rule: Original filename "Port3NaPochtu.epf" after filemarker
https://id-ransomware.malwarehunterteam.com/identify.php?case=5074e348aa45084830f06eb837a971236bb082f8

ESET обычно реагирует на файлы записок о выкупе,
https://www.virustotal.com/#/file-analysis/Y2M1NjM0NmFmYWVhZDFmNzdhZmU5NzkzYTY2MDZlNjI6MTUzOTk­zODM4NA==
в данном случае такая реакция:
ESET-NOD32: Win32/Filecoder.Crysis
Цитата
viktor solodkiy написал:
В автозапуске был info.hta .

Crysis/Dharma

Цитата
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   sample_bytes: [0x12A020 - 0x12A060] 0x00000000020000000CFE7A410000000000000000000000002000000000000000
   custom_rule: Original filename "dao360.dll" after filemarker
https://id-ransomware.malwarehunterteam.com/identify.php?case=03ac7878487f60fd2f205c4da5d29b897885899b

@viktor solodkiy,
нужен образ автозапуска, возможно  в системе (или в карантине антивируса) сохранилось тело файла шифратора.
У меня сегодня аналогичная картина,правда я похоже поймал сам шифровальщик,весь комплект файлов в архиве,так что открывать осторожно,может на основе их и получиться дешифровщик,еще есть зашифрованный файл и оригинал,то же пришлю
Читают тему (гостей: 1)