файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

RSS
Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети.
Файлы имеют имя вида <filename>.DOC.{Vegclass@aol.com}.xtbl
Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал.
С уважением, и огромной надеждой,
Андрей.

---------
По CrySiS есть хорошие новости.
Получены мастер ключи по вариантам CrySiS (в частности, vegclass@aol.com.xtbl/ {meldonii@india.com}.xtbl/redshitline@india.com.xtbl/ecovector3@india.com.xtb и др.),
думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.



ссылка на дешифратор в общем доступе:
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryp­tor.exe

ссылку на
How do I clean a Crysis infection using the ESET Crysis decryptor?
http://support.eset.com/kb6274/

Ответы

@Вадим Самсоненко,
добавьте на форум в архиве несколько зашифрованных файлов xtbl. Возможно, это не Crysis.
не даёт отправить пишет то угроза то Неверный тип файла[TABLE][TR][TD]README1[/TD][TD]При сохранении файла произошла ошибка.[/TD][/TR][TR][TD]YgQs8hrLDszcRmg+9UEWnvBnUFJ6NG4JDfAoX5r+7ujCpTl9g7sXWoXmzl5f5Sb5dslsTixFdtmSm2x+PrS7aQ==.xtbl[/TD][TD][/TD][/TR][/TABLE]
дак в архив надо вначале файлы добавить, а затем уже сам архив загрузить в сообщение,
но судя по наименованию файла, это не Crysis, это Ransom.Shade.[xtbl]
вот текст который пришёл мне.
попробуйте в ЛК обратиться, возможно они помогут с расшифровкой старых вариантов Ransom.Shade.xtbl
похоже, в скором времени будет возможна расшифровка для Crysis.dharma, а может быть и .wallet

Цитата
Out of the blue, someone posted in the BleepingComputer.com forums the supposed master decryption keys for the Dharma Ransomware. This post was created at 1:42 PM EST by a member named gektar in the Dharma Ransomware Support Topic and contained a Pastebin link to a C header file that supposedly contains these master decryption keys.

https://www.bleepingcomputer.com/news/security/alleged-master-keys-for-the-dharma-ransomware-released-on-bleepingcomputer-com/
Итак, по *.dharma есть расшифровка, по *.wallet пока нет.
ESET crysis decryptor обновлен до версии 2.0.3
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryp­tor.exe

Цитата
[2017.03.02 21:11:30.715] - Begin
[2017.03.02 21:11:30.715] -
[2017.03.02 21:11:30.715] - ....................................
[2017.03.02 21:11:30.715] - ..::::::::::::::::::....................
[2017.03.02 21:11:30.715] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
[2017.03.02 21:11:30.715] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.3.0
[2017.03.02 21:11:30.715] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Mar 2 2017
[2017.03.02 21:11:30.730] - .::EE:::::::::::::SS:.EE..........TT......
[2017.03.02 21:11:30.730] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o.
[2017.03.02 21:11:30.730] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.
[2017.03.02 21:11:30.730] - ....................................
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - --------------------------------------------------------------------------------
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - INFO: OS: 6.1.7601 SP1
[2017.03.02 21:11:30.730] - INFO: Product Type: Workstation
[2017.03.02 21:11:30.730] - INFO: WoW64: True
[2017.03.02 21:11:30.730] - INFO: Machine guid: 22011111-391F-421D-B12F-55ABB662839B
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma
[2017.03.02 21:11:30.730] - INFO: Backup: 25
[2017.03.02 21:11:30.730] - INFO: Looking for infected files...
[2017.03.02 21:11:30.730] - --------------------------------------------------------------------------------
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - INFO: Cleaning file [[worm01@india.com]\[worm01@india.com]\1\doc\15092014 16_55_03.xls.[worm01@india.com].dharma]
[2017.03.02 21:11:30.839] - INFO: Cleaned.
[2017.03.02 21:11:30.839] -
[2017.03.02 21:11:30.871] - INFO: Cleaning file [[worm01@india.com]\[worm01@india.com]\1\doc\inf.txt.[worm01@india.com].dharma]
[2017.03.02 21:11:30.886] - INFO: Cleaned.
[2017.03.02 21:11:30.886] -
[2017.03.02 21:11:30.886] - INFO: Cleaning file [[worm01@india.com]\[worm01@india.com]\1\doc\keygpg.rar.[worm01@india.com].dharma]
[2017.03.02 21:11:30.902] - INFO: Cleaned.
[2017.03.02 21:11:30.902] -
[2017.03.02 21:11:30.902] - INFO: Cleaning file [[worm01@india.com]\[worm01@india.com]\1\doc\readme.txt.[worm01@india.com].dharma]
[2017.03.02 21:11:30.902] - INFO: Cleaned.
[2017.03.02 21:11:30.917] -
[2017.03.02 21:11:30.917] - INFO: Cleaning file [[worm01@india.com]\[worm01@india.com]\1\doc\акт.pdf.[worm01@india.com].dharma]
[2017.03.02 21:11:30.949] - INFO: Cleaned.
[2017.03.02 21:11:30.949] -
[2017.03.02 21:11:30.964] - INFO: Cleaning file [[worm01@india.com]\[worm01@india.com]\1\doc\Концепт uvs.txt.[worm01@india.com].dharma]
[2017.03.02 21:11:30.980] - INFO: Cleaned.
[2017.03.02 21:11:30.980] -
[2017.03.02 21:11:31.011] - INFO: Cleaning file [[worm01@india.com]\[worm01@india.com]\1\doc\Правила поведения вахтеров.jpg.[worm01@india.com].dharma]
[2017.03.02 21:11:31.042] - INFO: Cleaned.
[2017.03.02 21:11:31.042] -
[2017.03.02 21:11:31.276] - --------------------------------------------------------------------------------
[2017.03.02 21:11:31.276] - INFO: 25 infected files found.
[2017.03.02 21:11:31.276] - INFO: 25 file(s) cleaned.
[2017.03.02 21:11:34.131] - End
Шифровальщик зашифровал файлы.
Антивирус стоял триал НОД32 антивирус, но теперь его нет.
Во вложении зашифрованные файлы и логи проверки, если надо, могу выложить тело шифровальщика.

Главное вернуть данные т.к за расшифровку просят 750$
Изменено: Алексей Непряхин - 15.06.2017 09:55:19 (Добавлен образ автозапуска)
Алексей,
добавьте образ автозапуска системы.

файл шифратора в архиве с паролем infected пришлите в почту safety@chklst.ru
Цитата
santy написал:
Алексей,
добавьте образ автозапуска системы.

файл шифратора в архиве с паролем infected пришлите в почту safety@chklst.ru
Тело отправил на почту. Лог прикрепил к исходному сообщению
Читают тему (гостей: 3)