Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer , Filecoder.Crysis / Encoder.3953; r/n: info.hta

RSS
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.11.2018 09:09:55
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
   .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
[ Как создать образ автозапуска? ]

Ответы

Пред. 1 2 3 4 5 ... 8 След.
 
Дмитрий Кривонос
Дмитрий Кривонос
Пользователь
Сообщений: 1
Регистрация: 05.12.2018
Размещено 05.12.2018 20:55:36
Добрый вечер, возможна ли расшифровка баз 1с с расширением .risk ?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 06.12.2018 05:13:50
Цитата
Дмитрий Кривонос написал:
Добрый вечер, возможна ли расшифровка баз 1с с расширением .risk ?
добавьте образ автозапуска системы, где произошло шифрование, возможно шифраторы еще активны
[ Как создать образ автозапуска? ]
 
Антон Девятилов
Антон Девятилов
Пользователь
Сообщений: 1
Регистрация: 16.12.2018
Размещено 16.12.2018 18:27:15
Добрый день! На нас напал шифровальщик  [[email protected]].adobe
Я снял диск с важными данными и подключил к другому компьютеру! Меня интересуют буквально несколько файлов  ....в любом случае выполнил все что выше было по правилам! Файлы с базами я не присылал...но вот их то мне и нужно расшифровать)
Если нужна лицензия eset она есть! или скажите как вам ее прислать я пришлю. Заранее спасибо
Изменено: Антон Девятилов - 16.12.2018 19:09:16
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 16.12.2018 19:25:43
@Антон Девятилов,

с расшифровкой не поможем.
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa

проверьте, возможно сохранились копии файлов в теневой копии.
так же сохраните важные зашифрованные документы на отдельный носитель, может в будущем будет дешифровщик.

Если система, где произошло шифрование не пролечена, то следует таки ее пролечить, чтобы не было файлов шифратора в системе.
(образ автозапуска лучше сделать из безопасного режима системы, если конечно, загрузится после шифрования)

при наличие лицензии на продукт ESET напишите обращение в [email protected]
[ Как создать образ автозапуска? ]
 
Тимур Абдусадыков
Тимур Абдусадыков
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 23.12.2018
Размещено 23.12.2018 02:20:11
Добрый день,

Пробился ко мне вирус, судя по всему через RDT 1vera.exe
Зашифровались все диски и даже сетевые. Срочно нужна помощь. Антивирус обнаружил шифровальщик уже после того как он зашифровал весь мой компьютер и множество сетевых.

Time;Scanner;Object type;Object;Threat;Action;User;Information;Hash;First seen here
12/22/2018 3:03:19 PM;Startup scanner;file;c:\programdata\microsoft\windows\start menu\programs\startup\1vera.exe;a variant of Win32/Filecoder.Crysis.P trojan;cleaned by deleting;;;3039663285BA1F7A5AF8F155726A0F6831F8DEDA;12/22/2018 3:01:18 PM
12/22/2018 3:03:24 PM;Startup scanner;file;c:\users\apetrov\appdata\roaming\microsoft\windows\start menu\programs\startup\1vera.exe;a variant of Win32/Filecoder.Crysis.P trojan;cleaned by deleting;;;3039663285BA1F7A5AF8F155726A0F6831F8DEDA;12/22/2018 3:01:18 PM
12/22/2018 3:03:37 PM;Startup scanner;file;c:\windows\system32\1vera.exe;a variant of Win32/Filecoder.Crysis.P trojan;cleaned by deleting;;;3039663285BA1F7A5AF8F155726A0F6831F8DEDA;12/22/2018 3:01:18 PM
12/22/2018 3:03:47 PM;Startup scanner;file;Operating memory » C:\Users\apetrov\Desktop\05\1Vera.exe;a variant of Win32/Filecoder.Crysis.P trojan;cleaned by deleting (after the next restart);;;3039663285BA1F7A5AF8F155726A0F6831F8DEDA;12/22/2018 3:01:06 PM
12/22/2018 8:32:54 PM;Real-time file system protection;file;C:\Windows\System32\1Vera.exe;a variant of Win32/Filecoder.Crysis.P trojan;cleaned by deleting;BUKA\timothy;Event occurred during an attempt to run the file by the application: C:\Windows\explorer.exe (408FE28868B5AC008B5DF98B9928A2FA6543D0D7).;3039663285BA1F7A5AF8F155726A0F6831F8DEDA;12/22/2018 3:03:59 PM
12/22/2018 8:32:55 PM;Real-time file system protection;file;C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\1Vera.exe;a variant of Win32/Filecoder.Crysis.P trojan;cleaned by deleting;BUKA\timothy;Event occurred during an attempt to run the file by the application: C:\Windows\explorer.exe (408FE28868B5AC008B5DF98B9928A2FA6543D0D7).;3039663285BA1F7A5AF8F155726A0F6831F8DEDA;12/22/2018 3:03:59 PM

Прикрепляю образ автозапуска
https://yadi.sk/d/mrqM40TP_Fj-aQ

и 2 файла -зашифрованый и нет
https://yadi.sk/d/jKx2VI-WuMRuAA

Возможно ли будет расшифровать?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 23.12.2018 05:37:38
@Тимур Абдусадыков,

1. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-02E6014B.[[email protected]].ADOBE
del %SystemDrive%\USERS\APETROV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-02E6014B.[[email protected]].ADOBE
del %SystemDrive%\USERS\TIMOTHY.BUKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-02E6014B.[[email protected]].ADOBE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.

2. экспортируйте в файл (txt) лог журнала событий, добавьте лог журнала на форум.

3. по расшифровке документов:
сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем будет дешифровщик.

4. восстановите один из файлов шифратора из карантина (используйте функцию "восстановить в")
этот например:
C:\Users\apetrov\Desktop\05\1Vera.exe
переименуйте его в 1Vera.vexe
добавьте 1Vera.vexe в архив с паролем infected, вышлите архив в почту [email protected]
[ Как создать образ автозапуска? ]
 
Тимур Абдусадыков
Тимур Абдусадыков
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 23.12.2018
Размещено 24.12.2018 13:13:46
Сделал все операции, как вы написали.
не могу отправить мейл с запакованными вирусом, т.к. gmail блокирует отправку.
могу ли я отправить с другого е-мейл?
 
Тимур Абдусадыков
Тимур Абдусадыков
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 23.12.2018
Размещено 24.12.2018 13:14:58
Ещё я вам отправлял ссылку на 2 файла зашифрованный и нет. Смогли ли вы на их основании сделать дешифровщик?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 24.12.2018 14:53:49
Цитата
Тимур Абдусадыков написал:
могу ли я отправить с другого е-мейл?
проверьте личные сообщения.

по расшифровке:
в данном случае пара зашифрованный - чистый не поможет созданию расшифровщика. только если в доступе будут приватные ключи.
[ Как создать образ автозапуска? ]
 
Тимур Абдусадыков
Тимур Абдусадыков
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 23.12.2018
Размещено 24.12.2018 16:05:26
Где проверить личные сообщения? На форуме не вижу, на почте тоже
Изменено: Тимур Абдусадыков - 24.12.2018 16:07:44
 
Пред. 1 2 3 4 5 ... 8 След.
Читают тему