файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT , Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

День добрый!
На терминале подхватили шифровальщика, просьба помочь с расшифровкой файлов.


-----------
теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

Цитата

  .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; .NEWS; wrar; 2NEW; .msh; .CU; .rajar; .blend; .WHY; .crown; .ncov; self; .PAY; .qbix; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT
Александр,
это скорее всего Crysis,с расширением .ONION
давно было шифрование?
если свежее, добавьте образ автозапуска чтобы проверить не остались ли активные файлы шифратора.
по расшифровке отвечу чуть позже. необходимо выполнить проверку ваших файлов.
---------
судя по характерному маркеру в зашифрованном файле
00000000020000000CFE7A41000000000000000000000000200000000000­0000
это Crysis/Dharma с расширением .ONION
скорее всего это свежее шифрование с другим мастер-ключом, а значит и без возможности расшифровки в текущее время,
потому что прежнее шифрование Crysis/Dharma/onion было 2-3 года назад.
(по старой версии .onion есть расшифровка, но в вашем случае расшифровка происходит с ошибкой.

Цитата
[2020.03.16 18:45:52.394] - Begin
[2020.03.16 18:45:52.395] -
[2020.03.16 18:45:52.396] - ....................................
[2020.03.16 18:45:52.397] - ..::::::::::::::::::....................
[2020.03.16 18:45:52.399] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
[2020.03.16 18:45:52.401] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.4.0
[2020.03.16 18:45:52.402] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: May 19 2017
[2020.03.16 18:45:52.404] - .::EE:::::::::::::SS:.EE..........TT......
[2020.03.16 18:45:52.405] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o.
[2020.03.16 18:45:52.406] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.
[2020.03.16 18:45:52.406] - ....................................
[2020.03.16 18:45:52.407] -
[2020.03.16 18:45:52.407] - --------------------------------------------------------------------------------
[2020.03.16 18:45:52.407] -
[2020.03.16 18:45:52.408] - INFO: OS: 6.1.7601 SP1
[2020.03.16 18:45:52.408] - INFO: Product Type: Workstation
[2020.03.16 18:45:52.409] - INFO: WoW64: True
[2020.03.16 18:45:52.409] - INFO: Machine guid: 22011111-391F-421D-B12F-55ABB662839B

[2020.03.16 18:45:52.410] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .onion, .wallet

[2020.03.16 18:45:52.455] - INFO: Cleaning file [10\СМЕТА ПО ОТКРЫТОЙ СТОЯНКЕ НА 2020 ГОД.pdf.id-E0BC160B.[onioncrypt@aol.com].ONION]
[2020.03.16 18:45:52.456] - INFO: Can't get key for file.
[2020.03.16 18:45:52.457] - ERROR: Not cleaned.
[2020.03.16 18:45:52.458] - --------------------------------------------------------------------------------
[2020.03.16 18:45:52.459] - INFO: 6 infected files found.
[2020.03.16 18:45:52.460] - INFO: 0 file(s) cleaned.
[2020.03.16 18:46:09.523] - End
-----------жду от Вас образ автозапуска системы, здесь в теме
и возможно если сохранились файлы шифратора можно отправить в архиве с паролем infected в почту
safety@chklst.ru
или загрузить для анализа на https://www.hybrid-analysis.com/
и дать в вашем сообщении линк проверки
Прикрепляю файл образа автозапуска, файлы шифратора не уверен что остались.
по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
ZOO %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\USERS\BUH11\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\USERS\BUH5\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\USERS\BUH3\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[ONIONCRYPT@AOL.COM].ONION
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[ONIONCRYPT@AOL.COM].ONION
del %SystemDrive%\USERS\BUH11\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[ONIONCRYPT@AOL.COM].ONION
del %SystemDrive%\USERS\BUH7\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[ONIONCRYPT@AOL.COM].ONION
del %SystemDrive%\USERS\BUH5\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[ONIONCRYPT@AOL.COM].ONION
del %SystemDrive%\USERS\BUH3\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[ONIONCRYPT@AOL.COM].ONION
delall %SystemDrive%\USERS\BUH5\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\BUH3\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\BUH11\APPDATA\ROAMING\INFO.HTA
apply
CZOO
QUIT

без перезагрузки, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправьте в почту safety@chklst.ru

------------
+
добавьте логи проверки в FRST,
может быть через FRST еще можно найти какие то хвосты от шифатора.
+
проверьте карантины антивирусов, или сканеров, возможно там что-то есть.
вы наверняка уже отсканировали систему с помощью DrWeb или kvrt
+
обратите внимание на рекомендации, которые добавлены в ваше сообщение,
атака может повториться через некоторое время. в том числе и другим шифратором
Добрый день
У меня такая же проблема. Можете помочь с расшифровкой?
Цитата
Александр Бидюк написал:
Добрый день
У меня такая же проблема. Можете помочь с расшифровкой?
добавьте образ автозапуска,
возможно в системе еще остались файлы шифратора.
+
добавьте несколько зашифрованных файлов небольшого размера, лучше в архив,
и прикрепите к вашему сообщению
Файлы во вложении
шифрование именно на этом сервере было? добавьте еще логи FRST
http://forum.esetnod32.ru/forum9/topic2798/

судя по маркеру в зашифрованном файле
00000000020000000CFE7A41000000000000000000000000200000000000­0000
действительно Crysis. вариант C-VIR, один из последних вариантов:
Цитата
'.C-VIR' - 'coronavirus@foxmail.com' - https://virustotal.com/gui/file/e71a13f032bd6703a25524d4b036bd7c2577c1a764de4cf­d0f97ab17ecc3fed3/
#CrySiS #Dharma #ransomware
------------
расшифровки по данному варианту, а так же по всем указанным выше вариантам нет.
восстановить документы возможно только из бэкапов.
рекомендуем принять меры безопасности по защите вашего сервера, чтобы избежать повторного шифрования.
Добрый день
Да на этом. Также в одном профиле с автозапуска удалил файл GHOST.exe или как то так  
если сохранилась копия данного файла (GHOST.exe), возможно в карантинах сканеров, вышлите в архиве с паролем infected в почту safety@chklst.ru
шифрование было
2020-03-23 18:43 - 2020-03-23 18:43 - 000000410 ___SH C:\Program Files\desktop.ini.id-D8235182.[coronavirus@foxmail.com].C-VIR
к сожалению,
расшифровка по Crysis возможна только для вариантов 2-3летней давности,
даже свежий вариант .ONION без расшифровки, хотя старая версия .onion 3летней давности успешно расшифровывается.

судя по логам, система уже очищена от файлов шифратора, но если не принять мер безопасности, то может быть повторный взлом доступа к серверу, и новое шифрование.
Читают тему (гостей: 1)