файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu , Filecoder.Crysis; r/n: info.hta

RSS
Попал в сеть через открытый порт MSSQL . брутфорсом подобрал логин\пароль для пользовательской учетки на КД. Закинул файлик который просканил шары по сети и пошифровал все. теперь файл который был раньше  к примеру doc.txt стал doc.txt.id-9E6AA720.[WildMouse@cock.li].FUNNY  .



==================
добавьте на форум в ваше сообщение несколько зашифрованных документов + записку о выкупе.

расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: .FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu
на данный момент времени нет.
восстановление документов возможно из архивных копий.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.


теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ответы

Цитата
Алексей Попович написал:
У меня сегодня аналогичная картина,правда я похоже поймал сам шифровальщик,
добавьте образ автозапуска системы, возможно в системе еще остались файлы шифратора.
пока что можем помочь вам с очисткой системы

исполняемые файлы детектируем
https://www.virustotal.com/#/file/046af53654b1fb8e0d61515a2f660b6f985c0ccb86e278a227dbd7­32577e43b4/detection
https://www.virustotal.com/#/file/3da3b704547f6f4a1497107e78856d434a408306b92ba7c6e270c7­c9790aa576/detection
анализ на hybrid-analysis.com
https://www.hybrid-analysis.com/sample/046af53654b1fb8e0d61515a2f660b6f985c0ccb86e278a22­7dbd732577e43b4/5bd70f247ca3e13393507146
Остались-флешки шифрует, вот образ автозапуска
по очистке системы:


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[WINDYHILL@COCK.LI].FUNNY
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[WINDYHILL@COCK.LI].FUNNY
delall %SystemDrive%\USERS\BATOVAE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[WINDYHILL@COCK.LI].FUNNY
delall %SystemDrive%\USERS\SMIRNOVAM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[WINDYHILL@COCK.LI].FUNNY
delall %SystemDrive%\USERS\GRYAZNOVAM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[WINDYHILL@COCK.LI].FUNNY
delall %SystemDrive%\USERS\1C8\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[WINDYHILL@COCK.LI].FUNNY
delall %SystemDrive%\USERS\1C8\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
zoo %SystemDrive%\USERS\1C8\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1N9M6V8_PAYLOAD.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Win32/Filecoder.Crysis.L 7

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1N9M6V8_PAYLOAD.EXE
zoo %Sys32%\1N9M6V8_PAYLOAD.EXE
chklst
delvir

apply

;-------------------------------------------------------------

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
по расшифровке не поможем.

на данный момент времени нет.
восстановление документов возможно из архивных копий.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
Чтобы защитить себя от Crysis (или от любых шифраторов), важно, чтобы вы использовали правила безопасности и надежное программное обеспечение для обеспечения безопасности. Прежде всего, вы всегда должны иметь надежную и проверенную резервную копию своих данных, которая может быть восстановлена ​​в случае возникновения чрезвычайной ситуации, например, при атаках шифраторов.

Вы также должны иметь программное обеспечение безопасности, которое содержит функции поведенческие обнаружения атаки шифраторов.

убедитесь, что вы выполняете правила безопасной работы в Интернете, которые во многих случаях являются наиболее важными для всех:

Резервное копирование, резервное копирование, резервирование
Не открывайте вложения, если вы не знаете, кто их отправил.
Не открывайте вложения, пока не убедитесь, что человек действительно отправил вам их,
Сканирование вложений с помощью таких инструментов, как VirusTotal.
Убедитесь, что все обновления Windows установлены, как только они выходят! Также убедитесь, что вы обновили все программы, особенно Java, Flash и Adobe Reader. Более старые программы содержат уязвимости безопасности, которые обычно используются злоумышленниками. Поэтому важно обновлять их.
Убедитесь, что вы используете надежное программное обеспечение безопасности.
Используйте сложные пароли для учетных записей и никогда не используйте один и тот же пароль.
Если вы используете службы удаленного рабочего стола, не подключайте его напрямую к Интернету. Вместо этого сделать это доступным только через VPN.
необходимо ограничить доступ из внешней сети, разрешить доступ только с определенных IP,
необходимо настроить доступ к RDP, ограничить число попыток с неверным вводом паролей.
Читают тему (гостей: 1)