Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da , Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

RSS
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ответы

у меня на удаленке вирус работает дальше. можно с ним бороться? вот ключи шифрования. расширение файлов .harma
Изменено: Мирослав Герко - 26.06.2019 14:10:23
Мирослав Герко,
выгрузите из процессов вредоносные файлы
сделайте и добавьте в ваше сообщение образ автозапуска системы
Здравствуйте. Несмотря на наличие установленной лицензионной версии продукта NOD32 Antivirus на всех пк в сети, на сетевых папках с открытым полным доступом обнаружились зашифрованные файлы вида price.xls.id-B8E48228.[bitcoin1@foxmail.com].harma. Зараженный компьютер пока обнаружить не удалось (в сети порядка 50 пк). Шифрование происходит постепенно и нерегулярно - в одной папке могут зашифроваться все файлы, в другой - один-два. Пример зашифрованного файла прилагаю на облачном сервисе. Очень надеюсь на Вашу помощь.  
Это Crysis. harma.
Расшифровки на текущий момент по этому варианту шифратора нет.
файлы шифруются по сети, антивирус, установленный на рабочем ПК  здесь не может достать источник шифрования, которым видимо заражен один из ПК вашей сети. Искать источник надо в сети.
можно смотреть свойства зашифрованного файла на одном из компьютеров, и определить, кто является владельцем файла, таким образом можно узнать учетную запись под которой выполнено шифрование, и определить источник заражения.

Если на всех ПК установлен антивирус ESET то, он должен определить Crysis.
скорее всего был взлом вашей сети из вне, возможно на нем был отключен антивирус, и затем был запуск шифрования.
Вы можете определить, к каким компьютерам есть доступ из внешней сети. Подключились, скорее всего по RDP

можете так же сделать образы автозапуска подозрительных компов из сети, мы проверим по образу, есть ли реальное заражение на нем или нет.
(или только файлы шифруются по сети)
Читают тему (гостей: 6)