Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da , Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

RSS
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ответы

Crysis на файловых серверах запускается, как правило, после взлома учетных записей.
Возможно, злоумышленники находят способ обойти защиту антивируса перед запуском шифратора с рабочего стола.

С Вашей стороны необходимо обезопасить доступ к рабочему столу установкой в системе  актуальных патчей, сложными паролями к учетным записям, политиками, которые ограничивают возможность брутфорса из внешней сети, установкой актуальных версий антивирусных программ,
разрешением доступа по RDP только для ip из белого списка, установкой 2FA и т.д.

Если вы используете версии защитных программ, в которых нет технологии защиты от Ransomware, риски шифрования ваших данных возрастают.
попал вирус на сервак

.[cho.dambler@yandex.com].id-2CBA7ACB.[harma277@gmx.de].harma




помогите весь 1с встал
Владислав,
добавьте образ автозапуска системы, возможно в системе еще активны файлы шифратора.
+
добавьте один зашифрованный файл, но лучше поместить его предварительно в архив.
Добрый вечер высылаю лог и меленький кусочек файла который зашифрован, для справки стоял официальный ключ esetnod32 был приобретён в начале года  
Изменено: Владислав Кадыров - 08.02.2020 18:47:54
активности шифратора уже нет,
по очистке системы выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код


;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-2CBA7ACB.[HARMA277@GMX.DE].HARMA
delall %SystemDrive%\USERS\123\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-2CBA7ACB.[HARMA277@GMX.DE].HARMA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\USERS\123\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
apply

QUIT

без перезагрузки системы, пишем о старых и новых проблемах.
------------
по расшифровке данных:
расшифровки к сожалению по данному варианту Crysis в настоящее время нет.
восстановление документов возможно только из архивных копий.

по рекомендациям на будущее:

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
Цитата
Владислав Кадыров написал:
esetnod32

В системе нет антивируса.
только хвосты от ESET 5. ESET ENDPOINT SECURITY
Видимо удалили: 08.02.2020 в 15:31:14
1) При новой установке применить
Удалите антивирус стандартным способном и по инструкции:
http://www.esetnod32.ru/support/knowledge_base/solution/?ELEMENT_ID=852896&sphrase_id=25964
Иначе могут быть проблемы при новой установке.

2) Желательно перейти\установить 7* актуальную версию антивируса ( корпоративная )
Цитата
RP55 RP55 написал:
2) Желательно перейти\установить 7* актуальную версию антивируса ( корпоративная )
поскольку это сервер
uVS v4.1.8 [http://dsrt.dyndns.org:8888]: Windows Server 2012 R2 Standard x64 (NT v6.3 SP0) build 9600  [C:\WINDOWS]
то лучше ставить File Security
+
добавьте логи FRST, картина шифрования системы буде более полной
http://forum.esetnod32.ru/forum9/topic2798/
Добрый день. На днях на одном из компьютеров в сети было все зашифровано и теперь имеет расширение .harma
Причем на данном компьютере стоял антивирусник ЛИЦЕНЗИОННЫЙ (покупаем каждый год), но это не спасло ситуацию. Обратившись в службу поддержки -support@esetnod32.ru, нам вежливо ответили, что в данном случае ничем не могут помочь - "С сожалением уведомляем Вас о том, что на данный момент вирусная лаборатория не может подобрать дешифратор для Вашего случая.".  Далее в поисках решений в интернете наткнулись на сайт ***  обратились к ним и получили их ответ - "Стоимость дешифратора 180 000 руб. + выезд специалиста 5000 руб (Стоимость выезда указана для Московского региона)" причем оплата происходит в рамках заключенного договора, после получения положительного результата. Так вот стало очень интересно, почему так происходит, что мы покупаем лицензионное ПО, которое гарантирует нам защиту, а по факту ее нет и помочь нам не могут. И мы опять написали в службу поддержки и задали им вопрос, как так происходит!?!?!? И нам ответили -"Что касается сторонних организаций, мы не можем судить о их методах работы, но есть основания полагать, что они связаны напрямую со злоумышленниками, так как крайне маловероятно, что декодеры подбираются ими самостоятельно за столь короткий период".   Может стоит и Вам обратиться к злоумышленникам и выкупить у них декодер за средства вашего предприятия и помочь многочисленным пользователям, которые пострадали от данного вида шифрования, ведь мы же ежегодно оплачиваем покупку/продления вашего продукта!!!!  
Наталья,
одной антивирусной защиты для безопасности Ваших данных будет мало.
Чтобы защититься от взлома и шифрования.
Если система имеет уязвимости (без установки критических патчей), то злоумышленники извне получают доступ к рабочему столу, отключают средства защиты, и затем уже шифруют ваши документы, а так же ставят майнеры и средства поиска уязвимостей других систем.

А расшифровать файлы, зашифрованные в Crysis/Dharma невозможно без приватных ключей, для этой цели и создано криптостойкое шифрование.

мы же не зря пишем в каждой теме:

Цитата
теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

делайте выводы.

Цитата
Может стоит и Вам обратиться к злоумышленникам и выкупить у них декодер за средства вашего предприятия и помочь многочисленным пользователям, которые пострадали от данного вида шифрования, ведь мы же ежегодно оплачиваем покупку/продления вашего продукта!!!!
одного декодера будет недостаточно.
Каждый случай шифрования -  отдельный уникальный ключ. Расшифровка по Crysis возможна только для самых ранних вариантов xtbl, crysis, wallet, dharma, onion. Благодаря тому, что приватные ключи были кем-то переданы (безвозмездно) в антивирусные компании.
День добрый, прошу помощи.
Все файлы зашифровались вечером в четверг, вся 1С встала.
шифратор с раширением .harma
что можно предпринять? если полностью удалить шифратор возможна ли дешифровка если мы заплатим этим хакерам?
файл образа автозапуска и логи прилагаю.
Изменено: ООО Рембытстройсервис - 21.02.2020 08:42:43
Читают тему (гостей: 3)