Выбрать дату в календареВыбрать дату в календаре

файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB;, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Евгений,
сделайте образ автозапуска системы,
возможно, что файлы шифратора еще активны в системе.
+
добавьте во вложение несколько зашифрованных файлов и записку о выкупе (info.hta, FILES ENCRYPTED.txt),
лучше все упаковать в архив.
прежде чем приступить к восстановлению документов и приложений, необходимо будет проверить и очистить систему от файлов шифратора.
Коронавирус
GROUP-IB:

[QUOTE] Шифровальщик из аптеки
🔻Дата рассылки: 27 марта
🔻Тема письма: Как не заболеть коронавирусом
🔻 Отправитель: "Аптека.ру"
🔻 Получатели: Нефтегаз, ТЭК
🔻Степень опасности: Malware
🔻Функционал: Шифровальщик
🔻Семейство: Обновленная версия шифровальщика Aurora
CERT-GIB зафиксировал 27 марта две рассылки вируса-шифровальщика по российским нефтегазовым компаниям —  в списке получателей оказались более 70 адресов. Письма, отправленные якобы от компании “Аптека.ру”, содержали презентацию  “лучших средств профилактики по доступной цене” под заголовком “Дарим “вакцину” от коронавируса!”. Кроме того, отправитель письма предлагал продажу противоинфекционных масок в любых количествах. В письме находилась ссылка на веб-ресурс, с которого происходила загрузка ZIP-архива с вредоносным файлом внутри — обновленной версией шифровальщика Aurora. Домен вредоносного ресурса был зарегистрирован 25 февраля 2020 года.[/QUOTE]
Cryakl/CryLock - этапы "большого пути"
Первая информация о шифраторе Cryakl опубликована на [URL=https://securelist.ru/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/24070/]securelist.ru[/URL] в октябре 2014 года.

  [QUOTE] В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:

   - информацию о размере и расположении зашифрованных блоков,
   - MD5-хэши от оригинального файла и его заголовка,
   - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,
   - ID жертвы,
   - оригинальное имя зашифрованного файла,
   - метку заражения {CRYPTENDBLACKDC}.[/QUOTE]


скорее всего, Cryakl известен с начала 2014 года

ранние версии:
[B]ver-4.0.0.0[/B]
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf

[B][B]известные почты:[/B][/B]

  [SIZE=8pt] email-masfantomas@aol.com
   email-HELPFILEDESKRIPT111@GMAIL.COM
   email-helpdecrypt@gmail.com
   email-helpdecrypt123@gmail.com
   email-deskripshen1c@gmail.com
   email-deskr1000@gmail.com
   email-mserbinov@onionmail.in
   email-vernutfiles@gmail.com
   email-base1c1c1c@gmail.com[/SIZE]


[B]примеры автозапуска в системе:[/B]

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
   progrmma C:\Program Files\temp\WINRAR.EXE

[B]ver-6.1.0.0[/B]
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 11@22@168550646}-email-moshiax@aol.com-ver-6.1.0.0.b.cbf

[B]известные почты:[/B]
[SIZE=8pt]
   email-moshiax@aol.com
   email-mserbinov@aol.com
   email-watnik91@aol.com
   email-vpupkin3@aol.com[/SIZE]

возможно, их гораздо больше
[B]примеры автозапуска в системе:[/B]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe

[B]ver-8.0.0.0[/B]
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 12@49@155029625}-email-moshiax@aol.com-ver-8.0.0.0.cbf

[B]известные почты:[/B]

[SIZE=8pt]email-moshiax@aol.com
   email-watnik91@aol.com[/SIZE]

[B]примеры автозапуска в системе:[/B]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe

[B]ver-CL 0.0.1.0[/B]

[B]пример зашифрованного файла:[/B]
email-mserbinov@aol.com.ver-CL 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 23@58@548191739.randomname-DJNRWAEJNQUYBFJNRVYCGKOSWZDHLP.TXB.cbf

[B]известные почты:[/B]

  [SIZE=8pt]email-mserbinov@aol.com
   d_madre@aol.com
   trojanencoder@aol.com
   iizomer@aol.com[/size]

[B]примеры автозапуска в системе:[/B]

   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\monitor.exe

[B]ver-CL 1.0.0.0[/B]

[B]пример зашифрованного файла:[/B]
email-cryptolocker@aol.com.ver-CL 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 13@36@284834316.randomname-HGCVMANYIQXEKPUXBDGIKMNPQRSTTU.UUV.cbf
видим, что закодированное имя перемещено в конец заголовка.

[B]известные почты:[/B]

   [SIZE=8pt]email-gerkaman@aol.com
   email-Seven_Legion2@aol.com
   email-gcaesar2@aol.com
   email-Igor_svetlov2@aol.com
    email-ninja.gaiver@aol.com
    email-bekameka777@aol.com
    email- last.centurion@aol.com
    email-a_princ@aol.com
    email-Cryptolocker@aol.com
    email-ivanov34@aol.com
    email-vpupkin3@aol.com
    email-oduvansh@aol.com
    email-trojanencoder@aol.com
    email-iizomer@aol.com
    email-moshiax@aol.com
    email-load180@aol.com
    email-watnik91@aol.com[/size]

[B]примеры автозапуска в системе:[/B]

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\simpleinf.exe

[B]ver-CL 1.0.0.0u[/B]

пример зашифрованного файла:
[IMG WIDTH=685 HEIGHT=63]https://chklst.ru/uploads/editor/bj/rfaa3s2ssup6.jpg[/IMG]

[B]известные почты:[/B]

   [SIZE=8pt]email-iizomer@aol.com
   email-cryptolocker@aol.com_graf1
   email-cryptolocker@aol.com_mod
   email-byaki_buki@aol.com_mod2[/size]


[B]ver-CL 1.1.0.0[/B]

пример зашифрованного файла:
email-eric.decoder10@gmail.com.ver-CL 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 14@39@447462257.randomname-MSYEKQWBHMSXDJPTZFLQWCHMSYDJPU.AGM.cbf
[B]известные почты:[/B]

   [SIZE=8pt]email-hontekilla@india.com
   email-gerkaman@aol.com
   email-oduvansh@aol.com
   eric.decoder10@gmail.com
   email-trojanencoder@aol.com
   email-watnik91@aol.com
   seven_legin2@aol.com
   email-obamausa7@aol.com
   email-gcaesar2@aol.com[/size]

[B]примеры автозапуска в системе:[/B]

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\1C\карточка предприятия.exe

[b]ver-CL 1.2.0.0[/b]

[b]пример зашифрованного файла:[/b]
email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 17@04@497267438.randomname-HOUASYEKQWDIOUAGMSZEKRWCJOUAGN.SZF.cbf

[b]известные почты:[/b]

   [size=8pt]email-anton_ivanov34@aol.com
   email-trojanencoder@aol.com
   email-iizomer@aol.com
   email-ivan_fedorov16@aol.com
   !email-cryptoloker@aol.com
   email-zed.zorro1@aol.com
   email-fedor_pavlov13@yahoo.com
   email-agent.vayne@india.com
   email-moshiax@aol.com
   ! email-oduvansh@aol.com
   email-gcaesar2@aol.com
   email-crypt.cryptor@aol.com
   email-age_empires@ aol.com[/size]

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\service.exe

[b]ver-CL 1.3.0.0[/b]
пример зашифрованного файла:
email-moshiax@aol.com.ver-CL 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 20@08@033014428.randomname-AKPUUAFKPUZEINSXCHMRWAFKPUZDIN.TXC.cbf
известные почты:

   [SIZE=8pt]email-moshiax@aol.com
   cryptolocker@aol.com[/size]

примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool­
C:\Program Files\tr.exe

[b]ver-CL 1.3.1.0[/b]

пример зашифрованного файла:
[IMG WIDTH=684 HEIGHT=82]https://chklst.ru/uploads/editor/i7/k6b5cju7r7id.jpg[/IMG]
известные почты:

   [size=8pt]byaki_buki@aol.com_grafdrkula@gmail.com
   email-byaki_buki@aol.com
   email-iizomer@aol.com
   email-crypthelp@qq.com
   email-tapok@tuta.io
   email-iizomer.iizomer@yandex.ru_iizomer@aol.com
   email-v_pupkin@aol.com
   email-mortalis_certamen@aol.com
   email-salazar_slytherin10@yahoo.com
   email-200usd@india.com
   email-eugene_danilov@yahoo.com[/size]
   ...

примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
   00F5-A4D1 C:\Program Files\WinRar\резюме.exe

[b]fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)[/b]

пример зашифрованного файла:

   email-blackdragon43@yahoo.com.ver-CL 1.4.0.0.id-3908370012-23.03.2018 10@01@539726651.fname-Правила поведения вахтеров.jpg.fairytail

известные почты:

    [SIZE=8pt]email-blackdragon43@yahoo.com
   email-hola@all-ransomware.info[/size]

примеры автозапуска в системе:

   HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\390837001­2
   C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe

[b]doubleoffset (CL 1.5.1.0)[/b]

пример зашифрованного файла:
email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset

известные почты:

[size=8pt]email-3nity@tuta.io
   email-butterfly.iron@aol.com
   email-n_nightmare@yahoo.com
   email-vally@x-mail.pro
   email-blackdragon43@yahoo.com
   email-dorispackman@tuta.io
   email-hola@all-ransomware.info
   email-coolguay@tutanota.com
   email-biger@x-mail.pro
   email-tapok@tuta.io
   email-komar@tuta.io[/size]

примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\174739615­7
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe

[b]CS 1.6.0.0[/b]

пример зашифрованного файла:

известные почты:

   [size=8pt]email-sugarman@tutamail.com
   email-3nity@tuta.io
   email-mr.yoba@aol.com[/size]

[b]CS 1.7.0.1[/b]
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][opensafezona@protonmail.com].git
известные почты:

   [size=8pt]opensafezona@protonmail.com[/size]

[b]CS 1.8.0.0[/b]
пример зашифрованного файла:
branding.xml[grand@horsefucker.org][2094653670-1579267651].whv
известные почты:

[size=8pt] graff_de_malfet@protonmail.ch
   grand@horsefucker.org
   tomascry@protonmail.com[/size]

[B]CryLock 1.9.0.0[/B]

   Опознан как

   sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D

https://id-ransomware.malwarehunterteam.com/identify.php?case=5e55ddb65eac5f52e424de270004ffeeef08563f

пример зашифрованного файла:
VTS_01_0.BUP[reddragon3335799@protonmail.ch][special].[10ABB6A7-867BCEF7]

известные почты:
[size=8pt]
reddragon3335799@protonmail.ch
   graff_de_malfet@protonmail.ch
   coronovirus@protonmail.com[/size]
Перехват админ_прав. Как бороться?
попробуйте сделать образ автозапуска из безопасного режима системы.
если не получится,
сделайте из под winpe&uVS
https://forum.esetnod32.ru/forum27/topic2102/
[ Закрыто] Подозрительное поведение операционной системы
как вариант, в таких случаях можно попытаться восстановить работу системы из под загрузочного диска.
[ Закрыто] Подозрительное поведение операционной системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://CAT.WARGAMING.NET
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDE­XBROWSER\APPLICATION\BROWSER.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOMEKMIDLODGLBBMALCNEEGIEACBDMKI%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.15_0\СТАРТОВАЯ — ЯНДЕКС
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U

deltmp
delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\DISCORD\0.0.306\MODULES\DISCORD_DESKTOP_CORE\CORE.ASAR\APP\MAINSCREENPRELOAD.JS
delref %SystemDrive%\PROGRAM FILES\BYTEFENCE\BYTEFENCE.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNC­HER.EXE
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {CF822AB4-6DB5-4FDA-BC28-E61DF36D2583}\[CLSID]
delref {67EB453C-1BE1-48EC-AAF3-23B10277FCC1}\[CLSID]
delref {EBD0B8F4-A9A0-41B7-9695-030CD264D9C8}\[CLSID]
delref XCSHINFO\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemRoot%\TEMP\5AE64D5.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_51\BIN\WSDETECT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
+
[B]вопрос: DrWeb на проблемной машине в рабочем состоянии?[/B]
т.е. нормально управляется, обновляет базы, выполняет сканирование?
файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB;, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
если сохранилась копия данного файла (GHOST.exe), возможно в карантинах сканеров, вышлите в архиве с паролем infected в почту safety@chklst.ru
шифрование было
[B]2020-03-23[/B] 18:43 - 2020-03-23 18:43 - 000000410 ___SH C:\Program Files\desktop.ini.id-D8235182.[coronavirus@foxmail.com].C-VIR
к сожалению,
расшифровка по Crysis возможна только для вариантов 2-3летней давности,
даже свежий вариант .ONION без расшифровки, хотя старая версия .onion 3летней давности успешно расшифровывается.

судя по логам, система уже очищена от файлов шифратора, но если не принять мер безопасности, то может быть повторный взлом доступа к серверу, и новое шифрование.
файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB;, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
шифрование именно на этом сервере было? добавьте еще логи FRST
http://forum.esetnod32.ru/forum9/topic2798/

судя по маркеру в зашифрованном файле
00000000020000000CFE7A41000000000000000000000000200000000000­0000
действительно Crysis. вариант C-VIR, один из последних вариантов:
[QUOTE]'.C-VIR' - 'coronavirus@foxmail.com' - https://virustotal.com/gui/file/e71a13f032bd6703a25524d4b036bd7c2577c1a764de4cfd0f97ab17ecc3fed3/
#CrySiS #Dharma #ransomware[/QUOTE]
------------
расшифровки по данному варианту, а так же по всем указанным выше вариантам нет.
восстановить документы возможно только из бэкапов.
рекомендуем принять меры безопасности по защите вашего сервера, чтобы избежать повторного шифрования.
файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB;, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
[QUOTE]Александр Бидюк написал:
Добрый день
У меня такая же проблема. Можете помочь с расшифровкой?[/QUOTE]
добавьте образ автозапуска,
возможно в системе еще остались файлы шифратора.
+
добавьте несколько зашифрованных файлов небольшого размера, лучше в архив,
и прикрепите к вашему сообщению
зашифровано с расширением *.phoenix; .phobos; Caley, Phobos
скорее  всего, ваши файлы зашифрованы шифратором phobos

[QUOTE]Расширение: .Caley
Составное расширение: .id[XXXXXXXX-2422].[jabber paybtc@sj.ms].Caley
Записка: info.hta, info.txt
Email: jabberpaybtc@sj.ms[/QUOTE]
https://id-ransomware.blogspot.com/2017/10/phobos-ransomware.html