файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer , Filecoder.Crysis / Encoder.3953; r/n: info.hta

RSS
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
   .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ответы

https://id-ransomware.malwarehunterteam.com/identify.php?case=83c161c722b58f3b967989730208b87b5915e579
Цитата
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   sample_extension: .id-<id>.[<email>].adobe
   sample_bytes: [0x7D20 - 0x7D60] 0x00000000020000000CFE7A410000000000000000000000002000000000000000
   custom_rule: Original filename "Readme_SG.txt" after filemarker

добавьте образ автозапуска системы для проверки и очистки системы.
Понятно. Пока ждём... Спасибо. Образ
по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
unload %Sys32%\MSHTA.EXE
zoo %Sys32%\INFO.HTA
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TERMINAL\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VERA.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\COMPUTER3\APPLICATION DATA\VERA.EXE
;---------command-block---------
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-B08BBCD6.[VERACRYPT@FOXMAIL.COM].ADOBE
del %SystemDrive%\DOCUMENTS AND SETTINGS\COMPUTER3\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-B08BBCD6.[VERACRYPT@FOXMAIL.COM].ADOBE
del %Sys32%\INFO.HTA
del %SystemDrive%\DOCUMENTS AND SETTINGS\TERMINAL\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VERA.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\COMPUTER3\APPLICATION DATA\VERA.EXE
apply
CZOO
QUIT

без перезагрузки, пишем о старых и новых проблемах.
восстанавливаем зашифрованные документы из архивных копий.
если копий нет, сохраните важные зашифрованные документы на отдельный носитель на случай возможной расшифровки.
+
вопрос:
VERA_PASSWORD_VERA.ZIP.ID-B08BBCD6.[VERACRYPT@FOXMAIL.COM].ADOBE
этот файл какое имеет назначение в незашифрованном виде?
Цитата
santy написал:
VERA_PASSWORD_VERA.ZIP.ID-B08BBCD6.[VERACRYPT@FOXMAIL.COM].ADOBEэтот файл какое имеет назначение в незашифрованном виде
Нет, не имеет. Это архивировали файлши фровальщика vera.exe.
Спасибо.
Добрый день.

Нет ли случайно обновления по теме? Не появился дешифратор?
Похоже, пока нет.
"Добрый" день. Расшифровки пока нет?
Цитата
Никита Король написал:
"Добрый" день. Расшифровки пока нет?
"пока" - это очень оптимистично,
ее может не быть никогда.
в любом случае, если вы пострадали от шифратора по данному списку,
обращайтесь в support@esetnod32.ru или support@eset.ua (какой к вам ближе),
при наличие реальной лицензии на продукт ESET
Цитата
santy написал:
Цитата
"пока" - это очень оптимистично,
ее может не быть никогда.
в любом случае, если вы пострадали от шифратора по данному списку,
обращайтесь в support@esetnod32.ru или support@eset.ua (какой к вам ближе),
при наличие   реальной лицензии   на продукт ESET

А толку писать в вашу поддержку. У меня официальная лицензия и пользюсь вашим антивирусом уже много лет. А вот случилась проблема и вы помочь не смогли, нет у вас дешифратора.
Цитата
Тимур Абдусадыков написал:
А толку писать в вашу поддержку. У меня официальная лицензия и пользюсь вашим антивирусом уже много лет. А вот случилась проблема и вы помочь не смогли, нет у вас дешифратора.
не вы один пострадали от этого шифратора. Crysis один из наиболее активных и распространенных шифраторов в мире. Чтобы обезопасить свои документы от атак шифратора, недостаточно иметь антивирусную защиту. Необходимо иметь всегда свежие бэкапы данных,
+
как защитить и обезопасить компьютер от атак вымогателей
https://chklst.ru/discussion/1579/kak-zaschitit-i-obezopasit-kompyuter-ot-vymogateley#latest
+
Что такое Dharma Ransomware и как защитить свой бизнес от этого
https://forum.esetnod32.ru/messages/forum35/topic11658/message105262/#message105262
Читают тему (гостей: 11)