Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da , Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

RSS
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ответы

по очистке системы выполните (без перезагрузки системы) :

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[THEBLACKARROW@FIREMAIL.CC].HARMA
delall %SystemDrive%\USERS\USER18\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[THEBLACKARROW@FIREMAIL.CC].HARMA
delall %SystemDrive%\USERS\USER9\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[THEBLACKARROW@FIREMAIL.CC].HARMA
delall %SystemDrive%\USERS\USER26\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[THEBLACKARROW@FIREMAIL.CC].HARMA
delall %SystemDrive%\USERS\MAKS\APPDATA\ROAMING\FUCKEDUP.EXE
delall %Sys32%\FUCKEDUP.EXE
delall %SystemDrive%\USERS\MAKS\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
apply
REGT 35

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
+
сделайте еще логи в FRST

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
по логу FRST:
проверьте этот файл на virustotal.com
2020-02-20 21:12 - 2020-02-20 21:12 - 000094720 _____ C:\Users\Администратор\Downloads\FuckedUp.exe
(если он еще живой)
+
дайте ссылку нам на результат проверки
затем файл можно удалить.
Логи
Цитата
ООО Рембытстройсервис написал:
что можно предпринять? если полностью удалить шифратор возможна ли дешифровка если мы заплатим этим хакерам?
активного шифрования в настоящий момент нет, файлы шифратора удалены, но есть опасность повторного шифрования.

если взломали доступ к серверу, то атака может повториться через время, в том числе и другими шифраторами, например операторами Cryakl,

дешифровать документы в настоящее время невозможно, только за выкуп ключа у злоумышленников, но мы не можем дать вам никакой гарантии, что они помогут вам с расшифровкой, даже если вы заплатите  выкуп ключа, в том числе и по причине низкой квалификации операторов Crysis.

вот, пожалуйста, свежий пример:
Цитата
Заплатили, перестал сразу отвечать


обратите внимание на рекомендации 1-8 выше, их нужно обязательно выполнить в кратчайшее время, чтобы избежать повторного шифрования, и защитить данные вашей компании от дальнейших атак.

------------
эти файлы так же можно удалить, это записка о выкупе.

2020-02-21 08:14 - 2020-02-21 11:02 - 000000236 _____ C:\Users\maks\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\FILES ENCRYPTED.txt
+ обратите внимание, что поддержка сервера Windows 2008 R2 прекращена
uVS v4.0 [http://dsrt.dyndns.org]: Windows Server 2008 R2 Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]
следует в дальнейшем планировать переход в работе на актуальные серверные решения.
+
В системе нет антивируса...
Цитата
RP55 RP55 написал:
+В системе нет антивируса...
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз
Добрый день! Прошу помощи в расшифровке файлов.

Вирус harma зашифровал sql базы 1с и другие файлы на server 2012r2 standart x64.
Теперь файлы выглядят примерно так - "Счет на оплату 11 от ХХ марта 2020 г.pdf.Email=[Filedecryptor@protonmail.com]ID=[ХХХХХХХХХХХХХХХ].odveta.id-ХХХХХХХХ.[MrRdx@cock.li]".HARMA
Восстановление бекапов не сработало (бекапы не читаемы после восстановления), админ не позаботился про актуальные выгрузки БД 1С в разные места.

Подскажите что можно сделать, и есть ли какие-то варианты дешифровки?

Если это будет полезно, то злоумышленник после переписки расшифровал один файл как образец.

Образец текст файла записки c названием "FILES ENCRIPTED.TXT":
all your data has been locked us
You want to return?
Write emeil MrRdx@coc.li or MrRDX@protonmail.com
Юрий,
добавьте образ автозапуска из зашифрованной системы,
возможно файлы шифратора еще активны в данной системе,
+
добавьте несколько зашифрованных файлов в архиве,
судя по заголовку зашифрованного файла у вас здесь двойное шифрование *.odveta + *.harma
+
судя по этой теме
https://forum.kasperskyclub.ru/index.php?showtopic=64879
помощь в очистке системы вам уже оказана хелперами на форуме kasperskyclub

по расшифровке помочь вам не сможем, нет расшифровки по odveta и harma

восстановить документы возможно лишь из надежных бэкапов.
Читают тему (гостей: 1)