файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

RSS
Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети.
Файлы имеют имя вида <filename>.DOC.{Vegclass@aol.com}.xtbl
Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал.
С уважением, и огромной надеждой,
Андрей.

---------
По CrySiS есть хорошие новости.
Получены мастер ключи по вариантам CrySiS (в частности, vegclass@aol.com.xtbl/ {meldonii@india.com}.xtbl/redshitline@india.com.xtbl/ecovector3@india.com.xtb и др.),
думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.



ссылка на дешифратор в общем доступе:
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryp­tor.exe

ссылку на
How do I clean a Crysis infection using the ESET Crysis decryptor?
http://support.eset.com/kb6274/

Ответы

Это Filecoder.NFY по ESET (Trojan-Ransom.Win32.Crysis по ЛК)
https://www.virustotal.com/ru/file/0df497d3e0637772eed7ffe3ec335d521ff4a1a7d707c8b4­48de55062480e356/...
Microsoft Ransom:Win32/Genasom
но информации пока мало о нем.
почта может быть разная:
https://www.virustotal.com/ru/file/b0892f28ecc1284228f6db5cc7a674bfb1fca60c807bcf3e­779367968a5088cb/analysis/1457071454/
для этого файлика:
keygpg.rar.ID*****.redshitline@india.com.xtbl
Цитата
santy написал:
Microsoft Ransom:Win32/Genasom
но информации пока мало о нем.
Ну .xtbl это уже бренд, видимо решили воспользоваться.
Поскольку истинный .xtbl развивается несколько в другом направлении.
блокируем адрес:
*teddyandalex.com*
Цитата
santy написал:
Microsoft Ransom:Win32/Genasom
но информации пока мало о нем.
Хотелось бы периодически получать от Вас информацию, в какой стадии находится борьба между вашей антивирусной лабораторией и этим вирусом.
А то создаётся впечатление, что сигнатуры просто добавили в антивирусную базу, и на этом успокоились.
Что делать тем, у кого вирус зашифровал данные, жизненно важные для работы организации? Как лечить компьютеры и восстанавливать базы 1С?
все что будет известно по теме этого шифровальщика будет добавлено здесь на форуме.
Олег Бордзиховский на VirusInfo пишите.

Цитата
Что делать тем, у кого вирус зашифровал данные, жизненно важные для работы организации?
Задуматься о резервном копировании ценной информации.  
Михаил
mike_1,
задумываться уже поздно, надо делать это.
проблема стала актуальной не сегодня и не вчера.
перекладывать целостность и сохранность баз данных на антивирус (защитит или не защитит) это просто разгильдяйство.
сегодня и завтра может и защитит, послезавтра пропустит.
Изменено: santy - 09.03.2016 14:20:59
Доброго дня.
Буквально на днях супруга получила письмо "счастья" и открыла вложение (архив).
Практически все файлы зашифрованы и имеют вид НАЗВАНИЕ.РАСШИРЕНИЕ.DB46C56C5.redshitline@india.com.xtbl Но не все файлы оказались зашифрованы по какой-то причине.
Осталось письмо и тот архив.  
Изменено: Алексей Кохно - 11.03.2016 18:01:13
Читают тему (гостей: 2)