Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu , Filecoder.Crysis; r/n: info.hta

1 2 След.
RSS
 
viktor solodkiy
viktor solodkiy
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 17.10.2018
Размещено 18.10.2018 11:26:46
Попал в сеть через открытый порт MSSQL . брутфорсом подобрал логин\пароль для пользовательской учетки на КД. Закинул файлик который просканил шары по сети и пошифровал все. теперь файл который был раньше  к примеру doc.txt стал doc.txt.id-9E6AA720.[[email protected]].FUNNY  .



==================
добавьте на форум в ваше сообщение несколько зашифрованных документов + записку о выкупе.

расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: .FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu
на данный момент времени нет.
восстановление документов возможно из архивных копий.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 18.10.2018 13:10:40
@viktor solodkiy,

добавьте образ автозапуска системы, в которой был запущен шифратор.
+
добавьте несколько зашифованных файлов и записку о выкупе. (можно предварительно поместить их в архивный файл)

возможно это вариант шифратора Crysis.
[ Как создать образ автозапуска? ]
 
Артем а
Артем а
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 18.10.2018
Размещено 19.10.2018 09:11:10
У меня вчера произошла такая же ситуация. Trojan.Encoder.3953 файлы с расширением id-8ADB6DDA.[[email protected]].FUNNY. Если будет полезно выслал файлы как по вашей инструкции
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 19.10.2018 09:25:58
@Артем а,
судя по наличию файла info.hta, по идентификатору, добавленному в заголовок зашифрованного файла,
а так же потому, что в конце файла добавлено имя оригинального файла,
(например, Port3NaPochtu.epf)
это свежий вариант Crysis, без расшифровки получается на данный момент.
активного шифрования уже нет, чуть позже напишу скрипт очистки.

посмотрите в системе, есть ли такие файлы:

FILES ENCRYPTED.txt

если есть такой файл, добавьте так же его в сообщение на форуме.
+
этот файл так же добавьте во вложение сообщения

C:\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA


Цитата
Полное имя                  C:\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA
Имя файла                   INFO.HTA
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      13916 байт
Создан                      17.10.2018 в 09:12:20
Изменен                     18.10.2018 в 12:53:11
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\MSHTA.EXE
SHA1                        E12E090BEEA1ECF54CC107A068B44470DCDD2A6C
MD5                         4B4032E5295129C3B4B2AB652E0D511B
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1650623945-3038832851-789751919-1007\Software\Microsoft\Windows\CurrentVersion\Run\C:\Users\Director\AppData\Roaming\Info.hta
C:\Users\Director\AppData\Roaming\Info.htamshta.exe "C:\Users\Director\AppData\Roaming\Info.hta"
                           


эти файлы: FILES ENCRYPTED.txt и Info.hta нужны для точной идентификации типа шифратора, которым зашифрованы ваши файлы
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 19.10.2018 09:52:20
@Артем а,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-8ADB6DDA.[[email protected]].FUNNY
apply

regt 27
deltmp
;-------------------------------------------------------------

quit

без перезагрузки, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
 
Артем а
Артем а
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 18.10.2018
Размещено 19.10.2018 11:23:24
Вот эти файлы
 
viktor solodkiy
viktor solodkiy
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 17.10.2018
Размещено 19.10.2018 11:35:48
В автозапуске был info.hta .
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 19.10.2018 11:40:58
да, это Crysis

Цитата
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   sample_bytes: [0x5460 - 0x54A0] 0x00000000020000000CFE7A410000000000000000000000002000000000000000
   custom_rule: Original filename "Port3NaPochtu.epf" after filemarker
https://id-ransomware.malwarehunterteam.com/identify.php?case=5074e348aa45084830f06eb837a971236bb082f8

ESET обычно реагирует на файлы записок о выкупе,
https://www.virustotal.com/#/file-analysis/Y2M1NjM0NmFmYWVhZDFmNzdhZmU5NzkzYTY2MDZlNjI6MTUzOTk­zODM4NA==
в данном случае такая реакция:
ESET-NOD32: Win32/Filecoder.Crysis
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 19.10.2018 11:45:27
Цитата
viktor solodkiy написал:
В автозапуске был info.hta .

Crysis/Dharma

Цитата
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   sample_bytes: [0x12A020 - 0x12A060] 0x00000000020000000CFE7A410000000000000000000000002000000000000000
   custom_rule: Original filename "dao360.dll" after filemarker
https://id-ransomware.malwarehunterteam.com/identify.php?case=03ac7878487f60fd2f205c4da5d29b897885899b

@viktor solodkiy,
нужен образ автозапуска, возможно  в системе (или в карантине антивируса) сохранилось тело файла шифратора.
[ Как создать образ автозапуска? ]
 
Алексей Попович
Алексей Попович
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 29.10.2018
Размещено 29.10.2018 15:53:17
У меня сегодня аналогичная картина,правда я похоже поймал сам шифровальщик,весь комплект файлов в архиве,так что открывать осторожно,может на основе их и получиться дешифровщик,еще есть зашифрованный файл и оригинал,то же пришлю
 
1 2 След.
Читают тему