файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

RSS
Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети.
Файлы имеют имя вида <filename>.DOC.{Vegclass@aol.com}.xtbl
Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал.
С уважением, и огромной надеждой,
Андрей.

---------
По CrySiS есть хорошие новости.
Получены мастер ключи по вариантам CrySiS (в частности, vegclass@aol.com.xtbl/ {meldonii@india.com}.xtbl/redshitline@india.com.xtbl/ecovector3@india.com.xtb и др.),
думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.



ссылка на дешифратор в общем доступе:
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryp­tor.exe

ссылку на
How do I clean a Crysis infection using the ESET Crysis decryptor?
http://support.eset.com/kb6274/

Ответы

Вообщем, судя по тестовым расшифровкам должен работать отлично!


I check the file encryption of the test. :).

Vegclass@aol.com.xtbl

[2016.11.22 22:13:22.830] - INFO: 11 infected files found.
[2016.11.22 22:13:22.830] - INFO: 11 file(s) cleaned.
[2016.11.22 22:13:24.733] - End

redshitline@india.com.xtbl

[2016.11.22 22:16:25.677] - INFO: 25 infected files found.
[2016.11.22 22:16:25.677] - INFO: 25 file(s) cleaned.
[2016.11.22 22:16:27.300] - End

MELDONII@INDIA.COM.XTBL

[2016.11.22 22:17:56.392] - INFO: 25 infected files found.
[2016.11.22 22:17:56.392] - INFO: 25 file(s) cleaned.
[2016.11.22 22:17:57.952] - End

{ecovector3@aol.com}.xtbl

[2016.11.22 22:19:53.298] - INFO: Cleaning file [3\item master 01-02-13 Antton&co.csv.id-C2A0F0C.{ecovector3@aol.com}.xtbl]
[2016.11.22 22:19:53.470] - INFO: Cleaned.
[2016.11.22 22:19:53.470] -
[2016.11.22 22:19:53.470] - INFO: Cleaning file [3\item master 01-02-13 apparel.csv.id-C2A0F0C.{ecovector3@aol.com}.xtbl]
[2016.11.22 22:19:53.501] - INFO: Cleaned.
[2016.11.22 22:19:53.501] - --------------------------------------------------------------------------------
[2016.11.22 22:19:53.501] - INFO: 2 infected files found.
[2016.11.22 22:19:53.501] - INFO: 2 file(s) cleaned.
[2016.11.22 22:19:54.905] - End

{gruzinrussian@aol.com}.xtbl

[2016.11.22 22:22:01.062] - INFO: 4 infected files found.
[2016.11.22 22:22:01.062] - INFO: 4 file(s) cleaned.
[2016.11.22 22:22:02.342] - End

mailrepa.lotos@aol.com.CrySiS

[2016.11.22 22:23:29.468] - INFO: 6 infected files found.
[2016.11.22 22:23:29.468] - INFO: 6 file(s) cleaned.
[2016.11.22 22:23:30.747] - End
-----------------------
Цитата
Сергей Дидык написал:
Цитата
 santy  написал:
Сергей Дидык,
добавьте образ автозапуска (см. инструкцию в моей подписи)+
добавьте несколько зашифрованных файлов в отдельном архиве
Прикрепляю архив образа и зашифрованных файлов
Сергей, ваши файлы расшифрованы.

[2016.11.22 22:47:39.396] - INFO: Cleaning file [1\2902620687.log.id-5CB06B33.legioner_seven@aol.com.xtbl]
[2016.11.22 22:47:39.505] - INFO: Cleaned.
[2016.11.22 22:47:39.505] -
[2016.11.22 22:47:39.505] - INFO: Cleaning file [1\материалы.JPG.id-5CB06B33.legioner_seven@aol.com.xtbl]
[2016.11.22 22:47:39.521] - INFO: Cleaned.
[2016.11.22 22:47:39.521] -
[2016.11.22 22:47:39.521] - INFO: Cleaning file [1\расчет пособия по берем.doc.id-5CB06B33.legioner_seven@aol.com.xtbl]
[2016.11.22 22:47:39.521] - INFO: Cleaned.
[2016.11.22 22:47:39.521] - --------------------------------------------------------------------------------
[2016.11.22 22:47:39.521] - INFO: 3 infected files found.
[2016.11.22 22:47:39.536] - INFO: 3 file(s) cleaned.
[2016.11.22 22:47:41.096] - End
Цитата
Андрей Донченко написал:
Вирус зашифровал все файлы, находящиеся на компьютере, помогите пожалуйста расшифровать... очень важные данные там
В архиве один из зашифрованых файлов
Ваши файлы расшифрованы.

[2016.11.22 22:51:19.793] -
[2016.11.22 22:51:19.793] -
[2016.11.22 22:51:19.793] - INFO: Cleaning file [10\catalog.db.id-5924B8D0.Vegclass@aol.com.xtbl]
[2016.11.22 22:51:19.902] - INFO: Cleaned.
[2016.11.22 22:51:19.902] - --------------------------------------------------------------------------------
[2016.11.22 22:51:19.902] - INFO: 1 infected files found.
[2016.11.22 22:51:19.902] - INFO: 1 file(s) cleaned.
[2016.11.22 22:51:21.634] - End
Цитата
reaviz Reaviz написал:
Добрый день!
В выходные поймали зловреда, зашифровал 3 папки.
К каждому файлу дописал  .id-58AE7F9C.{ meldonii@india.com }.xtbl
Пример зашифрованного файла прилагаю.
Антивирус никак не среагировал, проверка ничего не нашла.
Ваш файл расшифрован.

[2016.11.22 22:53:52.754] - INFO: Cleaning file [10\111 — копия.xlsm.id-58AE7F9C.{meldonii@india.com}.xtbl]
[2016.11.22 22:53:52.879] - INFO: Cleaned.
[2016.11.22 22:53:52.879] - --------------------------------------------------------------------------------
[2016.11.22 22:53:52.879] - INFO: 1 infected files found.
[2016.11.22 22:53:52.879] - INFO: 1 file(s) cleaned.
[2016.11.22 22:53:54.891] - End
New version of ESETCrysisDecryptor was released:
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryp­tor.exe

[2016.12.12 22:18:04.539] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
[2016.12.12 22:18:04.540] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.2.0
[2016.12.12 22:18:04.541] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Dec 12 2016

[2016.12.12 22:18:04.549] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted

пример зашифрованного файла:
keygpg.rar.id-6827263D.{payfornature@india.com.crypted
Добрый день
Поймали шифровальщика, утилита не помогла. Возможно расшифровать файлы?
В приложенном файле зашифрованный файл, оригинальный файл и лог утилиты
Матвей,
когда шифрование было? есть еще зашифрованные файлы? возможно есть тело шифратора?
судя по структуре зашифрованного файла - это не Crysis. что-то другое. Возможно, globe.
Добрый день.
Вирус зашифровал файлы с расширением *.doc, *.docx, *.xls, *.txt, *.jpg, архивы и другие файлы с расширением .[ice_snow@aol.com].wallet.
Образцы зашифрованных файлов прикрепляю.
Есть ли вероятность расшифровать файлы?
Использую лицензионный антивирус от ESET.
Заранее спасибо.

------------
по Crysis.dharma/wallet/onion есть расшифровка:
Clean a Crysis or Wallet infection using the ESET Crysis decryptor
http://support.eset.com/kb6274/
Crysis decryptor (v.2.0.4)
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryp­tor.exe
@Mikhail Tsatsin,
добавьте образ автозапуска системы

вероятность расшифровки файлов есть. (в будущем, если мастер-ключи будут в зоне доступа вирлабов)
если зашифрованные файлы важны для вас, сохраните их на отдельный носитель до лучших времен.
Ребята помогите что делать?фото видео и аудио всё зашифровано в xtbl  
Читают тему (гостей: 2)