Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; , Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

1 2 3 След.
RSS
 
Александр Захаров
Александр Захаров
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 16.03.2020
Размещено 16.03.2020 11:02:25
День добрый!
На терминале подхватили шифровальщика, просьба помочь с расшифровкой файлов.


-----------
теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

Цитата

  .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; .NEWS; wrar; 2NEW; .msh; .CU; .rajar; .blend; .WHY; .crown; .ncov; self; .PAY; .qbix; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB;
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 16.03.2020 14:44:57
Александр,
это скорее всего Crysis,с расширением .ONION
давно было шифрование?
если свежее, добавьте образ автозапуска чтобы проверить не остались ли активные файлы шифратора.
по расшифровке отвечу чуть позже. необходимо выполнить проверку ваших файлов.
---------
судя по характерному маркеру в зашифрованном файле
00000000020000000CFE7A41000000000000000000000000200000000000­0000
это Crysis/Dharma с расширением .ONION
скорее всего это свежее шифрование с другим мастер-ключом, а значит и без возможности расшифровки в текущее время,
потому что прежнее шифрование Crysis/Dharma/onion было 2-3 года назад.
(по старой версии .onion есть расшифровка, но в вашем случае расшифровка происходит с ошибкой.

Цитата
[2020.03.16 18:45:52.394] - Begin
[2020.03.16 18:45:52.395] -
[2020.03.16 18:45:52.396] - ....................................
[2020.03.16 18:45:52.397] - ..::::::::::::::::::....................
[2020.03.16 18:45:52.399] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
[2020.03.16 18:45:52.401] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.4.0
[2020.03.16 18:45:52.402] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: May 19 2017
[2020.03.16 18:45:52.404] - .::EE:::::::::::::SS:.EE..........TT......
[2020.03.16 18:45:52.405] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o.
[2020.03.16 18:45:52.406] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.
[2020.03.16 18:45:52.406] - ....................................
[2020.03.16 18:45:52.407] -
[2020.03.16 18:45:52.407] - --------------------------------------------------------------------------------
[2020.03.16 18:45:52.407] -
[2020.03.16 18:45:52.408] - INFO: OS: 6.1.7601 SP1
[2020.03.16 18:45:52.408] - INFO: Product Type: Workstation
[2020.03.16 18:45:52.409] - INFO: WoW64: True
[2020.03.16 18:45:52.409] - INFO: Machine guid: 22011111-391F-421D-B12F-55ABB662839B

[2020.03.16 18:45:52.410] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .onion, .wallet

[2020.03.16 18:45:52.455] - INFO: Cleaning file [10\СМЕТА ПО ОТКРЫТОЙ СТОЯНКЕ НА 2020 ГОД.pdf.id-E0BC160B.[[email protected]].ONION]
[2020.03.16 18:45:52.456] - INFO: Can't get key for file.
[2020.03.16 18:45:52.457] - ERROR: Not cleaned.
[2020.03.16 18:45:52.458] - --------------------------------------------------------------------------------
[2020.03.16 18:45:52.459] - INFO: 6 infected files found.
[2020.03.16 18:45:52.460] - INFO: 0 file(s) cleaned.
[2020.03.16 18:46:09.523] - End
-----------жду от Вас образ автозапуска системы, здесь в теме
и возможно если сохранились файлы шифратора можно отправить в архиве с паролем infected в почту
[email protected]
или загрузить для анализа на https://www.hybrid-analysis.com/
и дать в вашем сообщении линк проверки
[ Как создать образ автозапуска? ]
 
Александр Захаров
Александр Захаров
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 16.03.2020
Размещено 17.03.2020 09:46:20
Прикрепляю файл образа автозапуска, файлы шифратора не уверен что остались.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 17.03.2020 10:28:54
по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
ZOO %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\USERS\BUH11\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\USERS\BUH5\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\USERS\BUH3\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[[email protected]].ONION
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[[email protected]].ONION
del %SystemDrive%\USERS\BUH11\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[[email protected]].ONION
del %SystemDrive%\USERS\BUH7\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[[email protected]].ONION
del %SystemDrive%\USERS\BUH5\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[[email protected]].ONION
del %SystemDrive%\USERS\BUH3\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[[email protected]].ONION
delall %SystemDrive%\USERS\BUH5\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\BUH3\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\BUH11\APPDATA\ROAMING\INFO.HTA
apply
CZOO
QUIT

без перезагрузки, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправьте в почту [email protected]

------------
+
добавьте логи проверки в FRST,
может быть через FRST еще можно найти какие то хвосты от шифатора.
+
проверьте карантины антивирусов, или сканеров, возможно там что-то есть.
вы наверняка уже отсканировали систему с помощью DrWeb или kvrt
+
обратите внимание на рекомендации, которые добавлены в ваше сообщение,
атака может повториться через некоторое время. в том числе и другим шифратором
[ Как создать образ автозапуска? ]
 
Александр Бидюк
Александр Бидюк
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 26.03.2020
Размещено 26.03.2020 15:40:51
Добрый день
У меня такая же проблема. Можете помочь с расшифровкой?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.03.2020 16:25:37
Цитата
Александр Бидюк написал:
Добрый день
У меня такая же проблема. Можете помочь с расшифровкой?
добавьте образ автозапуска,
возможно в системе еще остались файлы шифратора.
+
добавьте несколько зашифрованных файлов небольшого размера, лучше в архив,
и прикрепите к вашему сообщению
[ Как создать образ автозапуска? ]
 
Александр Бидюк
Александр Бидюк
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 26.03.2020
Размещено 26.03.2020 18:14:26
Файлы во вложении
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.03.2020 18:23:45
шифрование именно на этом сервере было? добавьте еще логи FRST
http://forum.esetnod32.ru/forum9/topic2798/

судя по маркеру в зашифрованном файле
00000000020000000CFE7A41000000000000000000000000200000000000­0000
действительно Crysis. вариант C-VIR, один из последних вариантов:
Цитата
'.C-VIR' - '[email protected]' - https://virustotal.com/gui/file/e71a13f032bd6703a25524d4b036bd7c2577c1a764de4cf­d0f97ab17ecc3fed3/
#CrySiS #Dharma #ransomware
------------
расшифровки по данному варианту, а так же по всем указанным выше вариантам нет.
восстановить документы возможно только из бэкапов.
рекомендуем принять меры безопасности по защите вашего сервера, чтобы избежать повторного шифрования.
[ Как создать образ автозапуска? ]
 
Александр Бидюк
Александр Бидюк
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 26.03.2020
Размещено 26.03.2020 18:37:38
Добрый день
Да на этом. Также в одном профиле с автозапуска удалил файл GHOST.exe или как то так  
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.03.2020 18:45:51
если сохранилась копия данного файла (GHOST.exe), возможно в карантинах сканеров, вышлите в архиве с паролем infected в почту [email protected]
шифрование было
2020-03-23 18:43 - 2020-03-23 18:43 - 000000410 ___SH C:\Program Files\desktop.ini.id-D8235182.[[email protected]].C-VIR
к сожалению,
расшифровка по Crysis возможна только для вариантов 2-3летней давности,
даже свежий вариант .ONION без расшифровки, хотя старая версия .onion 3летней давности успешно расшифровывается.

судя по логам, система уже очищена от файлов шифратора, но если не принять мер безопасности, то может быть повторный взлом доступа к серверу, и новое шифрование.
[ Как создать образ автозапуска? ]
 
1 2 3 След.
Читают тему