файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer , Filecoder.Crysis / Encoder.3953; r/n: info.hta

RSS
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
   .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ответы

Приватные ключи могут быть в вирусе? Вы сможете их оттуда извлечь?
Цитата
Тимур Абдусадыков написал:
Приватные ключи могут быть в вирусе? Вы сможете их оттуда извлечь?
приватные ключи (которые нужны для расшифровки ваших файлов), возможно и есть, но в зашифрованном виде (скорее всего в теле зашифрованных файлов). а ключи к их расшифровке есть только у злоумышленников.
Добрый день,

Я отправил заразивший мой компьютер файл через интерфейс вашей программы, но не пришло даже подтверждения, что его получили и делают что-то по этому поводу.
Есть ли какой-то прогноз когда у вас появится дешифровальщик для файлов с расширением .adobe?
сюда отправьте
https://www.hybrid-analysis.com/
и дайте ссылку на результат анализа в личное сообщение или в указанную почту

наберитесь терпения, сохраните важные зашифрованные документы на отдельный носитель и ждите, когда будет какое то движение по crysis/dharma
выслал в личные сообщения
Цитата
Тимур Абдусадыков написал:
выслал в личные сообщения
сейчас конечно его почти все детектируют,
https://www.virustotal.com/#/file/86f4c0a7ef3b324b93915579a6ef2a806c26fbf52130e1c8e14119­62b632653d/detection
но интересно было посмотреть журнал обновлений антивируса с клиента, где было шифрование.
обновился ли антивир на момент шифрования или нет. Если обновлялся регулярно, значит пропустил, если не обновлялся, то проблема на стороне клиента.
кроме того, важно, чтобы антивир был защищен паролем от изменения настроек.
потому что после получения доступа по RDP злоумышленники могут отключить постоянную защиту (если получен админский доступ), если настройки не защищены паролем.
Антивирус стоит на постоянном обновлении и я каждый день вижу что он обновляет базы данных. Как я уже показывал по логам, он поймал вирус  в 15:03, а первые шифрованые файлы появились в 15:01. А на весь винт у него ушло 6 мин. Компьютер выключили в 17:40 и когда я его включил в 20:39 вирус опять был обнаружен антивирусом.
судя по записи из журнала угроз, запуск шифратора был под этой учетной записью apetrov,
возможно ее и взломали,
проверьте надежен ли пароль для этой учетной записи или нет, следует так же сменить пароль

12/22/2018 3:03:47 PM;Startup scanner;file;Operating memory » C:\Users\apetrov\Desktop\05\1Vera.exe;a variant of Win32/Filecoder.Crysis.P trojan;cleaned by deleting (after the next restart);;;3039663285BA1F7A5AF8F155726A0F6831F8DEDA;12/22/2018 3:01:06 PM
Здравствуйте. Есть ли возможность расшифровать файлы, зашифрованные шифровальщиком vera? Пара файлов во вложении.

20151231_122732.jpg!@#$%^&-()_+.1C.id-B08BBCD6.[veracrypt@foxmail.com].adobe

Readme_SG.txt.id-B08BBCD6.[veracrypt@foxmail.com].adobe
Вложение.
Читают тему (гостей: 1)