Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

RSS
 
a Degtyarev
a Degtyarev
Пользователь
Сообщений: 1
Регистрация: 25.02.2016
Размещено 25.02.2016 16:48:09
Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети.
Файлы имеют имя вида <filename>.DOC.{[email protected]}.xtbl
Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал.
С уважением, и огромной надеждой,
Андрей.

---------
По CrySiS есть хорошие новости.
Получены мастер ключи по вариантам CrySiS (в частности, [email protected]/ {[email protected]}.xtbl/[email protected]/[email protected] и др.),
думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.


ссылка на дешифратор в общем доступе:
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryp­tor.exe

ссылку на
How do I clean a Crysis infection using the ESET Crysis decryptor?
http://support.eset.com/kb6274/

Ответы

Пред. 1 ... 5 6 7 8 9 ... 14 След.
 
Александр Марков
Александр Марков
Пользователь
Сообщений: 1
Регистрация: 11.05.2016
Размещено 11.05.2016 12:21:08
Добрый день!.
Сегодня секретарь словил вирус, шифрует файлы с расширением [email protected], потом он похоже распространился на другие компьютеры, вопрос как предотвратить распространение так как антивирус ESET его как вирус не определяет. Прилагаю дамп автозапуска с ПК секретаря.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 11.05.2016 12:31:40
Александр,
судя по образу автозапуска система уже очищена от тела шифратора.

отправьте файл с телом шифратора в архиве в почту [email protected], файл будет немедленно отправлен в вирлаб если нет детектирования.
чтобы предупредить запуск исполняемых файлов из архивов настройте локальные политики, которые запрещают запуск исполняемых из архивов.
Поможет, хотя и  не на 100%, потому что секретари особенно изобретательны, и обязательно распакуют архив с исполняемым вложением на рабочий стол, и будут запускать шифратор с рабочего стола.
Изменено: santy - 11.05.2016 12:31:59
[ Как создать образ автозапуска? ]
 
reaviz Reaviz
reaviz Reaviz
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 18.07.2016
Размещено 18.07.2016 15:56:08
Добрый день!
В выходные поймали зловреда, зашифровал 3 папки.
К каждому файлу дописал  .id-58AE7F9C.{[email protected]}.xtbl
Пример зашифрованного файла прилагаю.
Антивирус никак не среагировал, проверка ничего не нашла.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 18.07.2016 16:06:35
@reaviz Reaviz,
добавьте образ автозапуска системы для проверки.
по классификации - это Crysis/Filecoder.NFY
Изменено: santy - 18.07.2016 16:08:36
[ Как создать образ автозапуска? ]
 
reaviz Reaviz
reaviz Reaviz
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 18.07.2016
Размещено 19.07.2016 08:06:37
Вот образ автозапуска.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 19.07.2016 08:55:14
@reaviz Reaviz,
при выполнении скрипта система будет перезагружена,
скрипт выполнить под учетной записью с правами администратора.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
OFFSGNSAVE
zoo %SystemDrive%\USERS\AUDIT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-58AE7F9C.{[email protected]}.XTBL
addsgn 1A4F759A5583CC8CF42BFB3A88230DFA508214BDAFFA1F210003B0AED3AB79B356102BBC38559DA22E6843994616B68F75372A5455DAE9A9ED0370720453A99F 8 filecoder.fly

zoo %SystemDrive%\USERS\AUDIT\APPDATA\ROAMING\PAYLOAD_C.EXE
zoo %SystemDrive%\USERS\AUDIT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PAYLOAD_C.EXE
del %SystemDrive%\USERS\AUDIT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-58AE7F9C.{[email protected]}.XTBL
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/7z)  отправить в почту [email protected]
------------
[ Как создать образ автозапуска? ]
 
reaviz Reaviz
reaviz Reaviz
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 18.07.2016
Размещено 19.07.2016 09:53:15
Архив отправил в почту, комп в ребут сам не ушел, крутил надпись перезагрузка минут 10, после чего я его принудительно перезагрузил.
Сейчас всё работает штатно.
А как быть с файлами? Есть ли возможность расшифровать их?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 19.07.2016 10:03:14
добавьте еще лог выполнения скрипта.
это файл лога дата_времяlog.txt, он должен быть в папке uVS после выполнения скрипта,
+ проверьте, не попали исполняемые файлы в карантин антивируса, поскольку в ZOO их нет, только текстовое описание.
ранние варианты [email protected] были с расшифровкой, возможно за это время вирусописатели модифицировали шифратор. надо проверять.

если у вас лицензированный продукт ESET, напишите в [email protected]
нужны будут:
несколько зашифрованных файлов,
чистые файлы, если есть точные копии для зашифрованных файлов,
тело шифратора.
лог ESET Log collector с компа, на котором произошло шифрование.
Изменено: santy - 19.07.2016 10:06:52
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 19.07.2016 10:28:41
payload_c.exe:
https://www.virustotal.com/ru/file/50b31ffb7aafdc0ec0275559ec96811ca76c706d798504b6­209984ed6f34c0c6/analysis/1468913212/

+
проверьте на virustotal.com этот файл
C:\USERS\ZHVA\DESKTOP\ACC2_RVZ_ФИЛЬТРID_ПРИКАЗ_ОТЧИСЛЕНИЕ_1207­16.EXE
Изменено: santy - 19.07.2016 10:35:16
[ Как создать образ автозапуска? ]
 
reaviz Reaviz
reaviz Reaviz
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 18.07.2016
Размещено 19.07.2016 14:26:01
Вот лог проверки, если он ещё нужен.
Файл я проверил, это не вирус, это SFX-архив с данными 1C.
В саппорт сейчас напишу, спасибо за помощь!
Изменено: reaviz Reaviz - 19.07.2016 15:56:57
 
Пред. 1 ... 5 6 7 8 9 ... 14 След.
Читают тему