Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da , Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

RSS
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ответы

у меня на удаленке вирус работает дальше. можно с ним бороться? вот ключи шифрования. расширение файлов .harma
Изменено: Мирослав Герко - 26.06.2019 14:10:23
Мирослав Герко,
выгрузите из процессов вредоносные файлы
сделайте и добавьте в ваше сообщение образ автозапуска системы
Здравствуйте. Несмотря на наличие установленной лицензионной версии продукта NOD32 Antivirus на всех пк в сети, на сетевых папках с открытым полным доступом обнаружились зашифрованные файлы вида price.xls.id-B8E48228.[bitcoin1@foxmail.com].harma. Зараженный компьютер пока обнаружить не удалось (в сети порядка 50 пк). Шифрование происходит постепенно и нерегулярно - в одной папке могут зашифроваться все файлы, в другой - один-два. Пример зашифрованного файла прилагаю на облачном сервисе. Очень надеюсь на Вашу помощь.  
Это Crysis. harma.
Расшифровки на текущий момент по этому варианту шифратора нет.
файлы шифруются по сети, антивирус, установленный на рабочем ПК  здесь не может достать источник шифрования, которым видимо заражен один из ПК вашей сети. Искать источник надо в сети.
можно смотреть свойства зашифрованного файла на одном из компьютеров, и определить, кто является владельцем файла, таким образом можно узнать учетную запись под которой выполнено шифрование, и определить источник заражения.

Если на всех ПК установлен антивирус ESET то, он должен определить Crysis.
скорее всего был взлом вашей сети из вне, возможно на нем был отключен антивирус, и затем был запуск шифрования.
Вы можете определить, к каким компьютерам есть доступ из внешней сети. Подключились, скорее всего по RDP

можете так же сделать образы автозапуска подозрительных компов из сети, мы проверим по образу, есть ли реальное заражение на нем или нет.
(или только файлы шифруются по сети)
Добрый День!

Файлы зашифровались [bitcoin1@foxmail.com].harma
Можете помочь?

Надежда убивает последней...
Цитата
Алексей Гулак написал:
Добрый День!
Файлы зашифровались [ bitcoin1@foxmail.com ].harma
Можете помочь?

с расшифровкой *.harma помочь не сможем.

по очистке системы выполните скрипт в uVS без перезагрузки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv5.2
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-CC1C99B8.[BITCOIN1@FOXMAIL.COM].HARMA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\1BITC.EXE
apply

QUIT

без перезагрузки системы, пишем о старых и новых проблемах.
------------
Цитата
santy написал:
с расшифровкой *.harma помочь не сможем.
а ребята из Др-Шифро знают как. Расшифровали мне один файл.
Что вы о них знаете?
Цитата
Алексей Гулак написал:
Цитата
 santy  написал:
с расшифровкой *.harma помочь не сможем.
а ребята из Др-Шифро знают как. Расшифровали мне один файл.
Что вы о них знаете?
Я думаю, вам дорого выйдет помощь Др-Шифро в расшифровке, поскольку они контактируют со злоумышленниками и выкупают у них ключи. Попросите расшифровать их несколько файлов. бесплатно.
Злоумышленники, как правило расшифровывают 1-3 файла не более, для того чтобы показать, что у них есть ваш ключ.
За все остальное придется платить, и немалые деньги.
В нашем случае, мы говорим о возможности (или невозможности) расшифровать файлы бесплатно.
Шифратор .id-7966CC04.[astral771@protonmail.com ].harma
Злоумышленник зашёл через RDP и зашифровал штатными средствами Windows все файлы (в кол-ве около 23 тысяч) doc, jpeg, txt, mp3  и прочие расширения. Есть дешифратор для этого типа?
Цитата
Петр Петрович написал:
Шифратор .id-7966CC04.[astral771@protonmail.com ].harma Злоумышленник зашёл через RDP и зашифровал штатными средствами Windows все файлы (в кол-ве около 23 тысяч) doc, jpeg, txt, mp3 и прочие расширения. Есть дешифратор для этого типа?
зашифровано шифратором Crysis
добавьте образ автозапуска зашифрованной системы, возможно  в системе остались тела шифратора.
Читают тему (гостей: 5)