файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer , Filecoder.Crysis / Encoder.3953; r/n: info.hta

RSS
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
   .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer

Ответы

Да знаю я все это. и бакапы у нас есть. Но факт остается фактом, у вас нет дешифратора.
последняя дешифровка от вирлабов по Crysis была в мае 2017, два года назад.
благодаря тому, что были получены ключи по указанным ниже расширениям.

Цитата
[2017.05.19 19:18:43.577] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.4.0
[2017.05.19 19:18:43.577] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: May 19 2017
[2017.05.19 19:18:43.577] - .::EE:::::::::::::SS:.EE..........TT......
[2017.05.19 19:18:43.587] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o.
[2017.05.19 19:18:43.587] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.
[2017.05.19 19:18:43.587] - ....................................
[2017.05.19 19:18:43.587] -
[2017.05.19 19:18:43.587] - [2017.05.19 19:18:43.587] -
[2017.05.19 19:18:43.587] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .onion, .wallet

список новых расширений без расшифровки внушителен, и продолжает расти.

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

Цитата
   .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com

Если вирлаб получит новые ключи, дешифратор будет обновлен, и предоставлен в доступ бесплатно для всех пострадавших за это время,
Добрый день.
Помогите расшифровать файлы вида *.id-787A4C75.[veracrypt@foxmail.com].adobe
Файл образа разместили тут: https://www.sendspace.com/file/ic6196
с расшифровкой помочь не получится по *.adobe, восстановление после Crysis.adobe возможно только c бэкапа.

по очистке системы выполните скрипт, т.к. в системе остались еще файлы шифратора.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.3 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
delall %SystemDrive%\USERS\1S\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\1S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
zoo %SystemDrive%\USERS\1S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1FLINT.EXE
addsgn A7679B72CD97B38D5617627DA804DEC97001109C89050AA83485C53715DE21B336DB72113E3D944D2B407B8A92A70FFA2D20FDAAE49CB071EEBB68E30BCAEEBF 8 email-gcaesar2@aol.com  7

zoo %SystemDrive%\USERS\1S\APPDATA\ROAMING\1FLINT.EXE
zoo %SystemDrive%\USERS\1S\DESKTOP\CLEARLOCK.EXE
addsgn 925277AA1C6AC1CC0B34584E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 OpenCandy.A [ESET-NOD32] 7

chklst
delvir

czoo
apply
QUIT


без перезагрузки, пишем о старых и новых проблемах.

архив из каталога uVS (по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/7z)  отправить в почту safety@chklst.ru, sendvirus2011@gmail.com, support@esetnod32.ru  
------------
+
скорее всего, учетная запись users\1s  взломана,
необходимо установить сложный пароль.
Установите ограничение по кол-ву неверных попыток входа,
разрешите доступ по RDP к серверу, только с доверенных ip-адресов,
+
добавьте новый образ автозапуска для контроля.
Спасибо. Очистку произвели. Новый образ https://www.sendspace.com/file/501d82
этот файл можно еще удалить вручную.
C:\USERS\1S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-787A4C75.[VERACRYPT@FOXMAIL.COM].ADOBE
более следов активности шифратора нет.
видимо прав не хватило.
мог бы прописаться еще и в system32, и тогда уже все пользователи столкнулись бы с активностью шифратора, при входе в терминальную сессию.
без препятствий, поскольку антивирусная защита отсутствует
Читают тему (гостей: 1)