Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da , Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
Второй раз за месяц ловлю шифровальщика, email  - .[MR.CRYPT@AOL.COM]
Порты с мира все закрыты, нечего не проброшено в сеть. Шифрует только одну машину с Win2008 R2 и все сетевые расшареные папки. Расскатал копию файлов по быстрому, файлы зашифрованые не сохранял, благо копия есть. Помогите пожалуйста вычислить дырку откуда оно залазит. С установленного это сама система с последними обновлениями, 1С, Medoc, Acronis ну и nod32 file security. Поднят сервер терминалов. Вчера уходили все отлично было. Как найти дырку через которую оно лезет(
С чего начать?
Изменено: Сергей Жало - 23.04.2019 13:16:17
Сергей,
надо таки знать, какой это был шифратор. ((наличие одной почты вымогателя - слишком мало информации, чтобы сделать вывод).
Как он распознается антивирусными компаниями, какие расширение было у зашифрованных файлов.
Если установлен антивирус, то возможно в логах журнала угроз есть информация,
добавьте лог журнала угроз
+
добавьте образ автозапуска системы
+
сделайте лог по проверке уязвимостей.
Цитата
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
как минимум, известно три случая, когда шифрование было по причине установленного MeDOC: *.repairfiles365@gmail_com, ~xdata~, NotPetya
может опять через его обновление что-то проникает и запускается в системе?
проверьте так же время начала шифрования, кто авторизовался на сервере терминалов примерно в это время, какие пароли (надежные, слабые) установлены на аккаунтах, входящих в группу RDP на указанном сервере, настроены ли политики безопасности для защиты от перебора пароля к этим учеткам (блокировать после трех неверных вводах пароля)
Файлы по шифровало с расширением *.id-EF.[mr.crypt@aol.com].ldpr
Загрузил машину еще зараженную, пока копии копируются, eset сразу начал ругаться, что он молодец и что то нашел)
Говорит win32/filecoder.crysis найден в файле к которому приложение eqxhwn
Образ автозапуска пока делается, выложу логи вместе с  SecurityCheck by glax24 & Severnyj и журналом.
Есть образ системы который делался на выходных, буду к нему откатываться, может и с него потом скинуть логи?
SecurityCheck by glax24 & Severny отказался запускаться на Win 2008 x64
Логи eset
Образ автозапуска
Сергей,

судя по логу серверные данные пострадали от шифратора Crysis c расширением LDPR
очистка файлов сработала только сегодня. 23.04.2019 3:08:23
отсюда можно предположить, что взлом был из внешней сети.
либо подобрали пароль во время атаки к какой либо учетной записи, либо, предварительно эти данные были у злоумышленников
на руках на момент атаки. (ранее провели всю подготовительную работу, или купили доступ к учетной записи на черном рынке,
увы и такое возможно сейчас. разделение труда)

Цитата
="Время">23.04.2019 3:08:23</COLUMN>
<COLUMN NAME="Модуль сканирования">Модуль сканирования файлов, исполняемых при запуске системы</COLUMN>
<COLUMN NAME="Тип объекта">файл</COLUMN>
<COLUMN NAME="Объект">Оперативная память = C:\Users\alina\Videos\notepad.exe</COLUMN>
<COLUMN NAME="Обнаружение">модифицированный Win32/Filecoder.Crysis.P троянская программа</COLUMN>
<COLUMN NAME="Действие">очищен</COLUMN>
<COLUMN NAME="Пользователь"/>
<COLUMN NAME="Информация"/>
<COLUMN NAME="Хэш">CA83FFE07145A9CDD53AD45A61E1CF46C7BC2AA8</COLUMN>­

Цитата
<COLUMN NAME="Время">23.04.2019 7:06:46</COLUMN>
<COLUMN NAME="Модуль сканирования">Модуль сканирования файлов, исполняемых при запуске системы</COLUMN>
<COLUMN NAME="Тип объекта">файл</COLUMN>
<COLUMN NAME="Объект">c:\users\alina\videos\notepad.exe</COLUMN>
следуют как минимум,
поменять все пароли к учетным записям на более сложные,
установить политику защиты паролей от перебора,
запретить доступ из внешней сети к серверу, за исключением только доверенных ip
------------
образ сейчас посмотрю.
1. предположительно, была взломана эта учетная запись
C:\USERS\ALINA\APPDATA\ROAMING\INFO.HTA

2. возможно, что антивирус (если был установлен на момент атаки) был отключен на момент запуска, потому что этот вариант Crysis детектируется уже давно, проверьте, возможно ли это, чтобы под учетной записью пользователя, можно было отключить антивир.
(установлен ли пароль защиты доступа к настройкам антивируса, работают ли обычные пользователи на терминальном сервере с правами администратора - если это  так, то надо у них эти права отнять, и настроить их работу под обычными правами)


3. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[MR.CRYPT@AOL.COM].LDPR
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[MR.CRYPT@AOL.COM].LDPR
delall %SystemDrive%\USERS\KOT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[MR.CRYPT@AOL.COM].LDPR
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.
Цитата
Сергей Жало написал:
Файлы по шифровало с расширением *.id-EF.[ mr.crypt@aol.com ].ldprЗагрузил машину еще зараженную, пока копии копируются, eset сразу начал ругаться, что он молодец и что то нашел)Говорит win32/filecoder.crysis найден в файле к которому приложение eqxhwnОбраз автозапуска пока делается, выложу логи вместе с SecurityCheck by glax24 & Severnyj и журналом.Есть образ системы который делался на выходных, буду к нему откатываться, может и с него потом скинуть логи?

да, можно и с него.
но имейте ввиду, предположительно атака была в воскресение,
(судя по темам на других форумах, поэтому и образ может быть уже зараженным).
по мерам безопасности, я расписал выше.
Цитата
santy написал:
да, можно и с него.но имейте ввиду, предположительно атака была в воскресение, (судя по темам на других форумах, поэтому и образ может быть уже зараженным).по мерам безопасности, я расписал выше.



Расскатывается образ, как заончит сделаю и сделаю свежие логи.
Вот пока сделал логи той машины на которой пользователь вышеуказанный работает. Ссылка
Получается с под нее через буфер на сервер вошло. Блок паролей стоял, но пароли слабые(
Читают тему (гостей: 5)