файлы зашифрованы с расширением .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

RSS

Сообщений: 1

Регистрация: 25.02.2016

Размещено 25.02.2016 16:48:09

Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети.
Файлы имеют имя вида <filename>.DOC.{[email protected]}.xtbl
Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал.
С уважением, и огромной надеждой,
Андрей.

---------
По CrySiS есть хорошие новости.
Получены мастер ключи по вариантам CrySiS (в частности, [email protected]/ {[email protected]}.xtbl/[email protected]/[email protected] и др.),
думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.

ссылка на дешифратор в общем доступе:
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryptor.exe

ссылку на
How do I clean a Crysis infection using the ESET Crysis decryptor?
http://support.eset.com/kb6274/

Прикрепленные файлы

DAUREN_2016-02-25_19-37-33.7z (350.06 КБ)
ASSEL-HP_2016-02-25_19-32-39.rar (718.97 КБ)

Ответы

Пред. 1 ... 10 11 12 13 14 След.

Сообщений: 17928

Баллов: 28684

Регистрация: 16.03.2010

Размещено 28.02.2017 17:14:29

@Вадим Самсоненко,
добавьте на форум в архиве несколько зашифрованных файлов xtbl. Возможно, это не Crysis.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 28.02.2017

Размещено 28.02.2017 17:44:26

не даёт отправить пишет то угроза то Неверный тип файла[TABLE][TR][TD]README1[/TD][TD]При сохранении файла произошла ошибка.[/TD][/TR][TR][TD]YgQs8hrLDszcRmg+9UEWnvBnUFJ6NG4JDfAoX5r+7ujCpTl9g7sXWoXmzl5f5Sb5dslsTixFdtmSm2x+PrS7aQ==.xtbl[/TD][TD][/TD][/TR][/TABLE]

Сообщений: 17928

Баллов: 28684

Регистрация: 16.03.2010

Размещено 28.02.2017 17:47:45

дак в архив надо вначале файлы добавить, а затем уже сам архив загрузить в сообщение,
но судя по наименованию файла, это не Crysis, это Ransom.Shade.[xtbl]

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 28.02.2017

Размещено 28.02.2017 18:04:34

вот текст который пришёл мне.

Прикрепленные файлы

Текстовый документ.decryptedKLR.txt (323 Б)

Сообщений: 17928

Баллов: 28684

Регистрация: 16.03.2010

Размещено 28.02.2017 18:52:10

попробуйте в ЛК обратиться, возможно они помогут с расшифровкой старых вариантов Ransom.Shade.xtbl

[ Как создать образ автозапуска? ]

Сообщений: 17928

Баллов: 28684

Регистрация: 16.03.2010

Размещено 02.03.2017 05:58:27

похоже, в скором времени будет возможна расшифровка для Crysis.dharma, а может быть и .wallet

Цитата
Out of the blue, someone posted in the BleepingComputer.com forums the supposed master decryption keys for the Dharma Ransomware. This post was created at 1:42 PM EST by a member named gektar in the Dharma Ransomware Support Topic and contained a Pastebin link to a C header file that supposedly contains these master decryption keys.

https://www.bleepingcomputer.com/news/security/alleged-master-keys-for-the-dharma-ransomware-released-on-bleepingcomputer-com/

[ Как создать образ автозапуска? ]

Сообщений: 17928

Баллов: 28684

Регистрация: 16.03.2010

Размещено 02.03.2017 17:19:33

Итак, по *.dharma есть расшифровка, по *.wallet пока нет.
ESET crysis decryptor обновлен до версии 2.0.3
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryptor.exe

Цитата
[2017.03.02 21:11:30.715] - Begin [2017.03.02 21:11:30.715] - [2017.03.02 21:11:30.715] - .................................... [2017.03.02 21:11:30.715] - ..::::::::::::::::::.................... [2017.03.02 21:11:30.715] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor [2017.03.02 21:11:30.715] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.3.0 [2017.03.02 21:11:30.715] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Mar 2 2017 [2017.03.02 21:11:30.730] - .::EE:::::::::::::SS:.EE..........TT...... [2017.03.02 21:11:30.730] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o. [2017.03.02 21:11:30.730] - ..::::::::::::::::::.................... 1992-2017. All rights reserved. [2017.03.02 21:11:30.730] - .................................... [2017.03.02 21:11:30.730] - [2017.03.02 21:11:30.730] - -------------------------------------------------------------------------------- [2017.03.02 21:11:30.730] - [2017.03.02 21:11:30.730] - INFO: OS: 6.1.7601 SP1 [2017.03.02 21:11:30.730] - INFO: Product Type: Workstation [2017.03.02 21:11:30.730] - INFO: WoW64: True [2017.03.02 21:11:30.730] - INFO: Machine guid: 22011111-391F-421D-B12F-55ABB662839B [2017.03.02 21:11:30.730] - [2017.03.02 21:11:30.730] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma [2017.03.02 21:11:30.730] - INFO: Backup: 25 [2017.03.02 21:11:30.730] - INFO: Looking for infected files... [2017.03.02 21:11:30.730] - -------------------------------------------------------------------------------- [2017.03.02 21:11:30.730] - [2017.03.02 21:11:30.730] - [2017.03.02 21:11:30.730] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\15092014 16_55_03.xls.[[email protected]].dharma] [2017.03.02 21:11:30.839] - INFO: Cleaned. [2017.03.02 21:11:30.839] - [2017.03.02 21:11:30.871] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\inf.txt.[[email protected]].dharma] [2017.03.02 21:11:30.886] - INFO: Cleaned. [2017.03.02 21:11:30.886] - [2017.03.02 21:11:30.886] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\keygpg.rar.[[email protected]].dharma] [2017.03.02 21:11:30.902] - INFO: Cleaned. [2017.03.02 21:11:30.902] - [2017.03.02 21:11:30.902] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\readme.txt.[[email protected]].dharma] [2017.03.02 21:11:30.902] - INFO: Cleaned. [2017.03.02 21:11:30.917] - [2017.03.02 21:11:30.917] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\акт.pdf.[[email protected]].dharma] [2017.03.02 21:11:30.949] - INFO: Cleaned. [2017.03.02 21:11:30.949] - [2017.03.02 21:11:30.964] - INFO: Cleaning file [[[email protected]]\[wo[email protected]]\1\doc\Концепт uvs.txt.[[email protected]].dharma] [2017.03.02 21:11:30.980] - INFO: Cleaned. [2017.03.02 21:11:30.980] - [2017.03.02 21:11:31.011] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\Правила поведения вахтеров.jpg.[[email protected]].dharma] [2017.03.02 21:11:31.042] - INFO: Cleaned. [2017.03.02 21:11:31.042] - [2017.03.02 21:11:31.276] - -------------------------------------------------------------------------------- [2017.03.02 21:11:31.276] - INFO: 25 infected files found. [2017.03.02 21:11:31.276] - INFO: 25 file(s) cleaned. [2017.03.02 21:11:34.131] - End

Цитата

[2017.03.02 21:11:30.715] - Begin
[2017.03.02 21:11:30.715] -
[2017.03.02 21:11:30.715] - ....................................
[2017.03.02 21:11:30.715] - ..::::::::::::::::::....................
[2017.03.02 21:11:30.715] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
[2017.03.02 21:11:30.715] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.3.0
[2017.03.02 21:11:30.715] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Mar 2 2017
[2017.03.02 21:11:30.730] - .::EE:::::::::::::SS:.EE..........TT......
[2017.03.02 21:11:30.730] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o.
[2017.03.02 21:11:30.730] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.
[2017.03.02 21:11:30.730] - ....................................
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - --------------------------------------------------------------------------------
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - INFO: OS: 6.1.7601 SP1
[2017.03.02 21:11:30.730] - INFO: Product Type: Workstation
[2017.03.02 21:11:30.730] - INFO: WoW64: True
[2017.03.02 21:11:30.730] - INFO: Machine guid: 22011111-391F-421D-B12F-55ABB662839B
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma
[2017.03.02 21:11:30.730] - INFO: Backup: 25
[2017.03.02 21:11:30.730] - INFO: Looking for infected files...
[2017.03.02 21:11:30.730] - --------------------------------------------------------------------------------
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\15092014 16_55_03.xls.[[email protected]].dharma]
[2017.03.02 21:11:30.839] - INFO: Cleaned.
[2017.03.02 21:11:30.839] -
[2017.03.02 21:11:30.871] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\inf.txt.[[email protected]].dharma]
[2017.03.02 21:11:30.886] - INFO: Cleaned.
[2017.03.02 21:11:30.886] -
[2017.03.02 21:11:30.886] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\keygpg.rar.[[email protected]].dharma]
[2017.03.02 21:11:30.902] - INFO: Cleaned.
[2017.03.02 21:11:30.902] -
[2017.03.02 21:11:30.902] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\readme.txt.[[email protected]].dharma]
[2017.03.02 21:11:30.902] - INFO: Cleaned.
[2017.03.02 21:11:30.917] -
[2017.03.02 21:11:30.917] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\акт.pdf.[[email protected]].dharma]
[2017.03.02 21:11:30.949] - INFO: Cleaned.
[2017.03.02 21:11:30.949] -
[2017.03.02 21:11:30.964] - INFO: Cleaning file [[[email protected]]\[wo[email protected]]\1\doc\Концепт uvs.txt.[[email protected]].dharma]
[2017.03.02 21:11:30.980] - INFO: Cleaned.
[2017.03.02 21:11:30.980] -
[2017.03.02 21:11:31.011] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\Правила поведения вахтеров.jpg.[[email protected]].dharma]
[2017.03.02 21:11:31.042] - INFO: Cleaned.
[2017.03.02 21:11:31.042] -
[2017.03.02 21:11:31.276] - --------------------------------------------------------------------------------
[2017.03.02 21:11:31.276] - INFO: 25 infected files found.
[2017.03.02 21:11:31.276] - INFO: 25 file(s) cleaned.
[2017.03.02 21:11:34.131] - End

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 19.03.2017

Размещено 19.03.2017 15:30:20

Шифровальщик зашифровал файлы.
Антивирус стоял триал НОД32 антивирус, но теперь его нет.
Во вложении зашифрованные файлы и логи проверки, если надо, могу выложить тело шифровальщика.

Главное вернуть данные т.к за расшифровку просят 750$

Прикрепленные файлы

0.zip (17.31 КБ)
CollectionLog-2017.03.19-14.46.zip (100.5 КБ)
DELL_E5410_2017-03-19_16-08-30.7z (602.91 КБ)

Изменено: Алексей Непряхин - 15.06.2017 09:55:19 (Добавлен образ автозапуска)

Сообщений: 17928

Баллов: 28684

Регистрация: 16.03.2010

Размещено 19.03.2017 15:53:20

Алексей,
добавьте образ автозапуска системы.

файл шифратора в архиве с паролем infected пришлите в почту [email protected]

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 19.03.2017

Размещено 19.03.2017 16:35:23

Цитата
santy написал: Алексей, добавьте образ автозапуска системы. файл шифратора в архиве с паролем infected пришлите в почту [email protected]

Тело отправил на почту. Лог прикрепил к исходному сообщению

Пред. 1 ... 10 11 12 13 14 След.

файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

Ответы

файлы зашифрованы с расширением .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /