файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer , Filecoder.Crysis / Encoder.3953; r/n: info.hta

RSS

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.11.2018 09:09:55

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[ Как создать образ автозапуска? ]

Ответы

Пред. 1 ... 4 5 6 7 8 След.

Сообщений: 11

Баллов: 5

Регистрация: 23.12.2018

Размещено 13.03.2019 18:02:35

Да знаю я все это. и бакапы у нас есть. Но факт остается фактом, у вас нет дешифратора.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.03.2019 18:46:48

последняя дешифровка от вирлабов по Crysis была в мае 2017, два года назад.
благодаря тому, что были получены ключи по указанным ниже расширениям.

Цитата
[2017.05.19 19:18:43.577] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.4.0 [2017.05.19 19:18:43.577] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: May 19 2017 [2017.05.19 19:18:43.577] - .::EE:::::::::::::SS:.EE..........TT...... [2017.05.19 19:18:43.587] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o. [2017.05.19 19:18:43.587] - ..::::::::::::::::::.................... 1992-2017. All rights reserved. [2017.05.19 19:18:43.587] - .................................... [2017.05.19 19:18:43.587] - [2017.05.19 19:18:43.587] - [2017.05.19 19:18:43.587] - [2017.05.19 19:18:43.587] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .onion, .wallet

Цитата

[2017.05.19 19:18:43.577] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.4.0
[2017.05.19 19:18:43.577] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: May 19 2017
[2017.05.19 19:18:43.577] - .::EE:::::::::::::SS:.EE..........TT......
[2017.05.19 19:18:43.587] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o.
[2017.05.19 19:18:43.587] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.
[2017.05.19 19:18:43.587] - ....................................
[2017.05.19 19:18:43.587] -
[2017.05.19 19:18:43.587] - [2017.05.19 19:18:43.587] -
[2017.05.19 19:18:43.587] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .onion, .wallet

список новых расширений без расшифровки внушителен, и продолжает расти.

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com

Если вирлаб получит новые ключи, дешифратор будет обновлен, и предоставлен в доступ бесплатно для всех пострадавших за это время,

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 21.03.2019

Размещено 21.03.2019 03:46:56

Добрый день.
Помогите расшифровать файлы вида *.id-787A4C75.[[email protected]].adobe
Файл образа разместили тут: https://www.sendspace.com/file/ic6196

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.03.2019 05:39:58

с расшифровкой помочь не получится по *.adobe, восстановление после Crysis.adobe возможно только c бэкапа.

по очистке системы выполните скрипт, т.к. в системе остались еще файлы шифратора.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.3 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE delall %SystemDrive%\USERS\1S\APPDATA\ROAMING\INFO.HTA delall %SystemDrive%\USERS\1S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA zoo %SystemDrive%\USERS\1S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1FLINT.EXE addsgn A7679B72CD97B38D5617627DA804DEC97001109C89050AA83485C53715DE21B336DB72113E3D944D2B407B8A92A70FFA2D20FDAAE49CB071EEBB68E30BCAEEBF 8 [email protected] 7 zoo %SystemDrive%\USERS\1S\APPDATA\ROAMING\1FLINT.EXE zoo %SystemDrive%\USERS\1S\DESKTOP\CLEARLOCK.EXE addsgn 925277AA1C6AC1CC0B34584E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 OpenCandy.A [ESET-NOD32] 7 chklst delvir czoo apply QUIT

Код


;uVS v4.1.3 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
delall %SystemDrive%\USERS\1S\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\1S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
zoo %SystemDrive%\USERS\1S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1FLINT.EXE
addsgn A7679B72CD97B38D5617627DA804DEC97001109C89050AA83485C53715DE21B336DB72113E3D944D2B407B8A92A70FFA2D20FDAAE49CB071EEBB68E30BCAEEBF 8 [email protected]  7

zoo %SystemDrive%\USERS\1S\APPDATA\ROAMING\1FLINT.EXE
zoo %SystemDrive%\USERS\1S\DESKTOP\CLEARLOCK.EXE
addsgn 925277AA1C6AC1CC0B34584E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 OpenCandy.A [ESET-NOD32] 7

chklst
delvir

czoo
apply
QUIT

без перезагрузки, пишем о старых и новых проблемах.

архив из каталога uVS (по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/7z) отправить в почту [email protected], [email protected], [email protected]
------------
+
скорее всего, учетная запись users\1s взломана,
необходимо установить сложный пароль.
Установите ограничение по кол-ву неверных попыток входа,
разрешите доступ по RDP к серверу, только с доверенных ip-адресов,
+
добавьте новый образ автозапуска для контроля.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 21.03.2019

Размещено 21.03.2019 14:53:50

Спасибо. Очистку произвели. Новый образ https://www.sendspace.com/file/501d82

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.03.2019 16:20:12

этот файл можно еще удалить вручную.
C:\USERS\1S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-787A4C75.[[email protected]].ADOBE
более следов активности шифратора нет.
видимо прав не хватило.
мог бы прописаться еще и в system32, и тогда уже все пользователи столкнулись бы с активностью шифратора, при входе в терминальную сессию.
без препятствий, поскольку антивирусная защита отсутствует

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 22.04.2019

Размещено 22.04.2019 16:46:32

есть ли спасение от данного шифровальщика? из системы вроде бы удалил, файлы не шифруются, но натворил делов не мало (((

Прикрепленные файлы

151.pdf.id-2202D61C.[[email protected]].zip (345.73 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 22.04.2019 16:50:27

@Andrei Sverzh,

добавьте таки образ автозапуска для проверки системы.
(спасения файлов для этого варианта Crysis/Dharma c расширением *.adobe в настоящее время нет, спасение возможно только из бэкапов, или если теневые копии уцелели, что маловероятно).

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 14.05.2019

Размещено 14.05.2019 10:33:40

Доброго времени суток! Нужна ваша помощь! Вирус шифровальщик (.id-15E3731A.[[email protected]].adobe) зашифровал файлы. Сначала определялся как Crysis после вывода из карантина для архивации на desktop начал определяться как Phobos. Было принято решение заархивировать папку карантин и приложить
Образ автозапуска
Файлы из карантина
Зашифрованные файлы
Изображение ра. стола

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 14.05.2019 11:18:18

Айдар Билалов

1) После завершения лечения Антивирус нужно обязательно обновить. ( и всегда следить за актуальностью версий )
У вас: 4.5.12017.0
Актуальная версия: 5 < > 7

2) По поводу лечения напишет: santy

Пред. 1 ... 4 5 6 7 8 След.