файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; , Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

RSS
День добрый!
На терминале подхватили шифровальщика, просьба помочь с расшифровкой файлов.


-----------
теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

Цитата

  .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; .NEWS; wrar; 2NEW; .msh; .CU; .rajar; .blend; .WHY; .crown; .ncov; self; .PAY; .qbix; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB;

Ответы

Сегодня случилась беда.
Комп в принципе никогда не выключается, включаю монитор, ввожу пароль, а там http://joxi.ru/12M3WJBF0n6zBr
Все файлы на компе и сетевом ресурсе (у меня NAS хранилище), зашифрованы следующим видом
Имя_файла.doc.id-********.[btckeys@aol.com].2020 у файла, соответственно, расширение 2020
Применимо ко всем файлам, любого расширения pdf, avi, mp3, lnk, xls и т.д.

При этом, заметил, что вирус отключает антивирус.
Включил антивирус, просканировал, кучу файлов FILES ENCRYPTED.txt
После перезагрузки компа, антивирус вновь оказался выключенным, а вирус запустил туже картинку, что указано в начале.

Кто сталкивался?
Изменено: Евгений Бычков - 04.04.2020 03:29:43
Евгений,
сделайте образ автозапуска системы,
возможно, что файлы шифратора еще активны в системе.
+
добавьте во вложение несколько зашифрованных файлов и записку о выкупе (info.hta, FILES ENCRYPTED.txt),
лучше все упаковать в архив.
прежде чем приступить к восстановлению документов и приложений, необходимо будет проверить и очистить систему от файлов шифратора.
Поймали шифратор, все файлы зашифровались с рашинерением dop, файлы имеют вид -
имя_файла.txt.id-960F735F.[dayonpay@aol.com].DOP
ну и файл созданный текстовый файл с текстом:
all your data has been locked us
You want to return?
write email dayonpay@aol.com or dayonpay@goat.si

кто нить с таким уже сталкивался? можно ли дешифровать как то?
Константин,
на первый взгляд похоже но новый вариант Crysis

добавьте несколько зашифрованных файлов+ файл записки о выкупе в архиве в ваше сообщение
+
добавьте образ автозапуска из зашифрованной системы, +
логи FRST
http://forum.esetnod32.ru/forum9/topic2798/

возможно там еще сохранились тела шифратора
вроде все сделал.
Цитата
Константин Дубовицкий написал:
вроде все сделал.
да, судя по характерному маркеру в зашифрованном файле
00000000020000000CFE7A41000000000000000000000000200000000000­0000
а так же по шаблону имени зашифрованного файла и записке о выкупе FILES ENCRYPTED.txt
это Crysis/Dharma - новый вариант с расширением .dop
https://id-ransomware.malwarehunterteam.com/identify.php?case=f961513a5506d3922bd0bdbf2c16437a0b591f0d

образ автозапуска и FRST сейчас посмотрю.

активного шифрования в системе уже нет, файлы шифратора скорее всего уже зачищены, и лежат в карантинах антивирусов.

по очистке системы в uVS выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-960F735F.[DAYONPAY@AOL.COM].DOP
delall %SystemDrive%\USERS\KOSTYA.GOU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-960F735F.[DAYONPAY@AOL.COM].DOP
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://UTORRENT.COM/PRODNEWS?UID=UE1-71CA653C51E74B00A7E63535812D83D6&SID=&V=3%2E5%2E5%2E1%2E45628
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOMEKMIDLODGLBBMALCNEEGIEACBDMKI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
по очистке в FRST выполните:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
HKU\S-1-5-21-1337099864-1586314783-2463288544-1109\...\MountPoints2: {c5ed6c88-dca7-11e8-81e5-9c5c8ecd9193} - F:\startme.exe
HKU\S-1-5-18\...\Run: [] => [X]
Startup: C:\Users\Kostya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MEGAsync.lnk.id-960F735F.[dayonpay@aol.com].DOP [2020-04-11]
Startup: C:\Users\Kostya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mozilla Thunderbird.lnk.id-960F735F.[dayonpay@aol.com].DOP [2020-04-11]
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
2020-04-11 17:18 - 2020-04-11 17:18 - 000007210 _____ C:\Windows\system32\Info.hta
2020-04-11 17:18 - 2020-04-11 17:18 - 000007210 _____ C:\Users\kostya.GOU\AppData\Roaming\Info.hta
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\Users\kostya.GOU\Desktop\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000007210 _____ () C:\Users\kostya.GOU\AppData\Roaming\Info.hta

----------------------
если сохранились файлы шифратора в карантине антивируса, добавьте файлы в архив с паролем infected и вышлите в почту safety@chklst.ru
(или загрузите на этот сайт для анализа, разрешите доступ к файлу и дайте ссылку на результат анализа)
https://www.hybrid-analysis.com/

по расшифровке файлов к сожалению помочь не сможем. нет расшифровки для последних версий Crysis (уже в течение нескольких лет).

восстановить документы возможно только из чистых архивных копий.
так же примите меры безопасности по защите вашего ПК

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
файлы шифратора к сожалению не остались.
как был получен доступ к вашему компьютеру?
Kostya (S-1-5-21-634283673-3470961786-1386641149-1000 - Administrator - Enabled) => C:\Users\Kostya
сменит пароль администратора, возможно был взломан пароль от данной учетной записи.
Читают тему (гостей: 2)