файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS

Сообщений: 3

Баллов: 1

Регистрация: 18.08.2017

Размещено 18.08.2017 13:05:49

Здравствуйте.
Зашифровали файлы, расширение у файлов .[[email protected]].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============

расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Прикрепленные файлы

Цена.xlsx.id-3A18F9A4.[[email protected]].cesar.zip (11.5 КБ)
NEWFISH-SRV1_2017-08-18_12-48-49.7z (445.16 КБ)

Ответы

Пред. 1 ... 8 9 10 11 12 ... 15 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.04.2018 02:34:54

Цитата
Андрей Олениченко написал: 13.04.2018 меня зашифровали

По очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.11 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE zoo %SystemDrive%\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA ;------------------------autoscript--------------------------- delall %SystemDrive%\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA delall %SystemDrive%\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1204.EXE.ID-78033D7F.[[email protected]].JAVA delall %SystemDrive%\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-78033D7F.[[email protected]].JAVA delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\BUH\DESKTOP\1204.EXE delref %SystemDrive%\USERS\BUH\APPDATA\ROAMING\1204.EXE apply ;------------------------------------------------------------- QUIT

Код


;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1204.EXE.ID-78033D7F.[[email protected]].JAVA
delall %SystemDrive%\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-78033D7F.[[email protected]].JAVA
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\BUH\DESKTOP\1204.EXE
delref %SystemDrive%\USERS\BUH\APPDATA\ROAMING\1204.EXE
apply

;-------------------------------------------------------------

QUIT

без перезагрузки.
------------
по расшифровке документов смотрите наш комментарий к первому сообщению.
нет по Crysis.java расшифровки на текущий момент. к сожалению.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 29.05.2018

Размещено 29.05.2018 15:47:52

Посмотрел на файлы от криптера [email protected]. Исходные файлы небольшого размера (около мегабайта) он шифрует целиком, а крупные повреждает в трех местах по 256 килобайт. В результате, удалось извлечь интересующие данные из шифрованного бэкапа.

Сообщений: 3

Баллов: 1

Регистрация: 31.05.2018

Размещено 31.05.2018 08:22:27

Здравствуйте.
Были зашифрованы все файлы, троян Win32/Filecoder.Crysis, добавленное расширение: id-40DCD218.[[email protected]].bip
Нужен только декодировщик для файлов, систему восстанавливать нет необходимости.
Стандартные декодеры не могут справиться, либо не нашел подходящий.

образ автозапуска
Пример зашифрованного файла PDF

Изменено: Ирек Галимуллин - 31.05.2018 08:41:37

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 31.05.2018 10:29:56

здравствуйте,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[[email protected]].BIP delall %SystemDrive%\USERS\TEZ1ASU2\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[[email protected]].BIP delall %SystemDrive%\USERS\TEZ1ASU2.TEZ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[[email protected]].BIP delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[[email protected]].BIP delall %SystemDrive%\USERS\TEZ1ASU2\APPDATA\ROAMING\INFO.HTA delall %Sys32%\INFO.HTA ZOO %Sys32%\WINHOST.EXE delall %Sys32%\WINHOST.EXE delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE delall %SystemDrive%\USERS\TEZ1ASU2\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE czoo apply QUIT

Код

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE

;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[[email protected]].BIP
delall %SystemDrive%\USERS\TEZ1ASU2\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[[email protected]].BIP
delall %SystemDrive%\USERS\TEZ1ASU2.TEZ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[[email protected]].BIP
delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[[email protected]].BIP
delall %SystemDrive%\USERS\TEZ1ASU2\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
ZOO %Sys32%\WINHOST.EXE
delall %Sys32%\WINHOST.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE
delall %SystemDrive%\USERS\TEZ1ASU2\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE
czoo
apply
QUIT

без перезагрузки, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) отправить в почту [email protected], [email protected]
------------
расшифровать .BIP в настоящее время не получится.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 31.05.2018

Размещено 31.05.2018 11:44:49

Скрипт выполнил с другого ПК
В момент работы UVS, ESS обнаружил Win32/Filecoder.Crysis.P и положил в карантин файл \UVS\ZOO\WINHOST.EXE._AC240398AF8E6EDBCB20A979497C1786F78E4983
Больше в директории UVS\ZOO\ ничего нет
Система работает без видимых изменений, файлы шифруются на лету

Изменено: Ирек Галимуллин - 31.05.2018 11:45:23

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 31.05.2018 13:49:04

поясните, как вы создали образ автозапуска: с winpe
или подключали зараженный диск к чистому компу и запускали uVS соответственно в чистой системе?
+
следует добавить, что систему скорее всего взломали удаленно по RDP.
необходимо исключить возможность подключения из внешней сети к рабочим столам ваших компьютеров кроме доверенных адресов.
остальные подключения заблокировать через фаерволл.
+
обратите внимание, чтобы пароли к учетным записям были сложные,
+
настройте политики безопасности, которые ограничивают возможность перебора паролей.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 31.05.2018

Размещено 01.06.2018 05:01:21

Подключал зараженный диск к чистому компу и запускал uVS на чистой системе выбрав папку system зараженного диска, применив данный скрипт, после чего ~~подозрительные~~ файлы с автозапуска исчезли.

Да, мне тоже кажется что взлом был по RDP, надо будет глянуть логи подключений если их не потерли.

Исходя из политики старшего администратора сети, пароли очень слабые. Остается использовать дополнительный пароль для входа.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 01.06.2018 05:29:40

посмотрите примеры политики блокировки учетных записей при неверном вводе пароля. (защита от подбора паролей)
http://tavalik.ru/izmenenie-politiki-parolej-v-windows-server-2012-r2/

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 04.06.2018

Размещено 04.06.2018 08:04:11

Доброго времени суток. Попали под шифровальщик. Расширение: id-2E5DE559.[[email protected]].arrow. Помогите, пожалуйста, с дешифровкой? Или все таки сообщение в шапке по поводу отсутствия лечения arrow - окончательный вердикт? :-(

Изменено: John Berkut - 04.06.2018 09:00:56

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 04.06.2018 11:12:06

@John Berkut,
расшифровки по Crysis.arrow нет. Остальное уже написано в первом сообщении.
если необходима помощь в очистке системы, добавьте образ автозапуска.

[ Как создать образ автозапуска? ]

Пред. 1 ... 8 9 10 11 12 ... 15 След.