Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da , Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

RSS

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.04.2019 12:20:40

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day

Цитата

.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[ Как создать образ автозапуска? ]

Ответы

Пред. 1 ... 4 5 6 7 8 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.02.2020 08:51:18

по очистке системы выполните (без перезагрузки системы) :

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[[email protected]].HARMA delall %SystemDrive%\USERS\USER18\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[[email protected]].HARMA delall %SystemDrive%\USERS\USER9\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[[email protected]].HARMA delall %SystemDrive%\USERS\USER26\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[[email protected]].HARMA delall %SystemDrive%\USERS\MAKS\APPDATA\ROAMING\FUCKEDUP.EXE delall %Sys32%\FUCKEDUP.EXE delall %SystemDrive%\USERS\MAKS\APPDATA\ROAMING\INFO.HTA delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\INFO.HTA delall %Sys32%\INFO.HTA apply REGT 35 QUIT

Код


;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[[email protected]].HARMA
delall %SystemDrive%\USERS\USER18\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[[email protected]].HARMA
delall %SystemDrive%\USERS\USER9\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[[email protected]].HARMA
delall %SystemDrive%\USERS\USER26\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[[email protected]].HARMA
delall %SystemDrive%\USERS\MAKS\APPDATA\ROAMING\FUCKEDUP.EXE
delall %Sys32%\FUCKEDUP.EXE
delall %SystemDrive%\USERS\MAKS\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
apply
REGT 35

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
+
сделайте еще логи в FRST

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.02.2020 08:59:16

по логу FRST:
проверьте этот файл на virustotal.com
2020-02-20 21:12 - 2020-02-20 21:12 - 000094720 _____ C:\Users\Администратор\Downloads\FuckedUp.exe
(если он еще живой)
+
дайте ссылку нам на результат проверки
затем файл можно удалить.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 21.02.2020

Размещено 21.02.2020 09:05:02

Логи

Прикрепленные файлы

логи.rar (23.45 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.02.2020 09:10:41

Цитата
ООО Рембытстройсервис написал: что можно предпринять? если полностью удалить шифратор возможна ли дешифровка если мы заплатим этим хакерам?

активного шифрования в настоящий момент нет, файлы шифратора удалены, но есть опасность повторного шифрования.

если взломали доступ к серверу, то атака может повториться через время, в том числе и другими шифраторами, например операторами Cryakl,

дешифровать документы в настоящее время невозможно, только за выкуп ключа у злоумышленников, но мы не можем дать вам никакой гарантии, что они помогут вам с расшифровкой, даже если вы заплатите выкуп ключа, в том числе и по причине низкой квалификации операторов Crysis.

вот, пожалуйста, свежий пример:

Цитата
Заплатили, перестал сразу отвечать

обратите внимание на рекомендации 1-8 выше, их нужно обязательно выполнить в кратчайшее время, чтобы избежать повторного шифрования, и защитить данные вашей компании от дальнейших атак.

------------
эти файлы так же можно удалить, это записка о выкупе.

2020-02-21 08:14 - 2020-02-21 11:02 - 000000236 _____ C:\Users\maks\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\FILES ENCRYPTED.txt

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.02.2020 09:23:51

+ обратите внимание, что поддержка сервера Windows 2008 R2 прекращена
uVS v4.0 [http://dsrt.dyndns.org]: Windows Server 2008 R2 Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]
следует в дальнейшем планировать переход в работе на актуальные серверные решения.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 21.02.2020 11:54:47

+
В системе нет антивируса...

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.02.2020 11:58:54

Цитата
RP55 RP55 написал: +В системе нет антивируса...

3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 14.03.2020

Размещено 14.03.2020 19:20:03

Добрый день! Прошу помощи в расшифровке файлов.

Вирус harma зашифровал sql базы 1с и другие файлы на server 2012r2 standart x64.
Теперь файлы выглядят примерно так - "Счет на оплату 11 от ХХ марта 2020 г.pdf.Email=[[email protected]]ID=[ХХХХХХХХХХХХХХХ].odveta.id-ХХХХХХХХ.[[email protected]]".HARMA
Восстановление бекапов не сработало (бекапы не читаемы после восстановления), админ не позаботился про актуальные выгрузки БД 1С в разные места.

Подскажите что можно сделать, и есть ли какие-то варианты дешифровки?

Если это будет полезно, то злоумышленник после переписки расшифровал один файл как образец.

Образец текст файла записки c названием "FILES ENCRIPTED.TXT":
all your data has been locked us
You want to return?
Write emeil [email protected] or [email protected]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.03.2020 05:49:38

Юрий,
добавьте образ автозапуска из зашифрованной системы,
возможно файлы шифратора еще активны в данной системе,
+
добавьте несколько зашифрованных файлов в архиве,
судя по заголовку зашифрованного файла у вас здесь двойное шифрование *.odveta + *.harma
+
судя по этой теме
https://forum.kasperskyclub.ru/index.php?showtopic=64879
помощь в очистке системы вам уже оказана хелперами на форуме kasperskyclub

по расшифровке помочь вам не сможем, нет расшифровки по odveta и harma

восстановить документы возможно лишь из надежных бэкапов.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 11.05.2020

Размещено 11.05.2020 15:59:12

Файлы на сервере зашифрованы с названиями вида ХХХХХХХ.id-CCF08FB8.[[email protected]].harma

Как полностью вычистить следы злоумышленника с сервера? Логи во вложении.

Прикрепленные файлы

2020.05.11.zip (883.2 КБ)

Пред. 1 ... 4 5 6 7 8 След.