Crysis на файловых серверах запускается, как правило, после взлома учетных записей.
Возможно, злоумышленники находят способ обойти защиту антивируса перед запуском шифратора с рабочего стола.

С Вашей стороны необходимо обезопасить доступ к рабочему столу установкой в системе  актуальных патчей, сложными паролями к учетным записям, политиками, которые ограничивают возможность брутфорса из внешней сети, установкой актуальных версий антивирусных программ,
разрешением доступа по RDP только для ip из белого списка, установкой 2FA и т.д.

Если вы используете версии защитных программ, в которых нет технологии защиты от Ransomware, риски шифрования ваших данных возрастают.

попал вирус на сервак

.[[email protected]].id-2CBA7ACB.[[email protected]].harma




помогите весь 1с встал

Владислав,
добавьте образ автозапуска системы, возможно в системе еще активны файлы шифратора.
+
добавьте один зашифрованный файл, но лучше поместить его предварительно в архив.

Добрый вечер высылаю лог и меленький кусочек файла который зашифрован, для справки стоял официальный ключ esetnod32 был приобретён в начале года  

активности шифратора уже нет,
по очистке системы выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

без перезагрузки системы, пишем о старых и новых проблемах.
------------
по расшифровке данных:
расшифровки к сожалению по данному варианту Crysis в настоящее время нет.
восстановление документов возможно только из архивных копий.

по рекомендациям на будущее:

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

В системе нет антивируса.
только хвосты от ESET 5. ESET ENDPOINT SECURITY
Видимо удалили: 08.02.2020 в 15:31:14
1) При новой установке применить
Удалите антивирус стандартным способном и по инструкции:
http://www.esetnod32.ru/support/knowledge_base/solution/?ELEMENT_ID=852896&sphrase_id=25964
Иначе могут быть проблемы при новой установке.

2) Желательно перейти\установить 7* актуальную версию антивируса ( корпоративная )

поскольку это сервер
uVS v4.1.8 [http://dsrt.dyndns.org:8888]: Windows Server 2012 R2 Standard x64 (NT v6.3 SP0) build 9600  [C:\WINDOWS]
то лучше ставить File Security
+
добавьте логи FRST, картина шифрования системы буде более полной
http://forum.esetnod32.ru/forum9/topic2798/

Добрый день. На днях на одном из компьютеров в сети было все зашифровано и теперь имеет расширение .harma
Причем на данном компьютере стоял антивирусник ЛИЦЕНЗИОННЫЙ (покупаем каждый год), но это не спасло ситуацию. Обратившись в службу поддержки [email protected], нам вежливо ответили, что в данном случае ничем не могут помочь - "С сожалением уведомляем Вас о том, что на данный момент вирусная лаборатория не может подобрать дешифратор для Вашего случая.".  Далее в поисках решений в интернете наткнулись на сайт ***  обратились к ним и получили их ответ - "Стоимость дешифратора 180 000 руб. + выезд специалиста 5000 руб (Стоимость выезда указана для Московского региона)" причем оплата происходит в рамках заключенного договора, после получения положительного результата. Так вот стало очень интересно, почему так происходит, что мы покупаем лицензионное ПО, которое гарантирует нам защиту, а по факту ее нет и помочь нам не могут. И мы опять написали в службу поддержки и задали им вопрос, как так происходит!?!?!? И нам ответили -"Что касается сторонних организаций, мы не можем судить о их методах работы, но есть основания полагать, что они связаны напрямую со злоумышленниками, так как крайне маловероятно, что декодеры подбираются ими самостоятельно за столь короткий период".   Может стоит и Вам обратиться к злоумышленникам и выкупить у них декодер за средства вашего предприятия и помочь многочисленным пользователям, которые пострадали от данного вида шифрования, ведь мы же ежегодно оплачиваем покупку/продления вашего продукта!!!!  

Наталья,
одной антивирусной защиты для безопасности Ваших данных будет мало.
Чтобы защититься от взлома и шифрования.
Если система имеет уязвимости (без установки критических патчей), то злоумышленники извне получают доступ к рабочему столу, отключают средства защиты, и затем уже шифруют ваши документы, а так же ставят майнеры и средства поиска уязвимостей других систем.

А расшифровать файлы, зашифрованные в Crysis/Dharma невозможно без приватных ключей, для этой цели и создано криптостойкое шифрование.

мы же не зря пишем в каждой теме:


делайте выводы.

одного декодера будет недостаточно.
Каждый случай шифрования -  отдельный уникальный ключ. Расшифровка по Crysis возможна только для самых ранних вариантов xtbl, crysis, wallet, dharma, onion. Благодаря тому, что приватные ключи были кем-то переданы (безвозмездно) в антивирусные компании.

День добрый, прошу помощи.
Все файлы зашифровались вечером в четверг, вся 1С встала.
шифратор с раширением .harma
что можно предпринять? если полностью удалить шифратор возможна ли дешифровка если мы заплатим этим хакерам?
файл образа автозапуска и логи прилагаю.