файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

RSS
Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети.
Файлы имеют имя вида <filename>.DOC.{Vegclass@aol.com}.xtbl
Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал.
С уважением, и огромной надеждой,
Андрей.

---------
По CrySiS есть хорошие новости.
Получены мастер ключи по вариантам CrySiS (в частности, vegclass@aol.com.xtbl/ {meldonii@india.com}.xtbl/redshitline@india.com.xtbl/ecovector3@india.com.xtb и др.),
думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.



ссылка на дешифратор в общем доступе:
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryp­tor.exe

ссылку на
How do I clean a Crysis infection using the ESET Crysis decryptor?
http://support.eset.com/kb6274/

Ответы

Цитата
Алексей Непряхин написал:
Цитата
 santy  написал:
Алексей,
добавьте образ автозапуска системы.

файл шифратора в архиве с паролем infected пришлите в почту  safety@chklst.ru
Тело отправил на почту. Лог прикрепил к исходному сообщению
образ сейчас гляну, файлик в настоящее время детектируется основными антивирусами т.о.
https://www.virustotal.com/en/file/137aacd65759f46a968ea1520393ffb96b292b5274b94d3d­3cf5eaafabc87c5d/analysis/
Алексей,
судя по образу автозапуска вы используете tnod
Цитата
C:\PROGRAM FILES\TNOD\TNODUP.EXE
по правилам нашего форума, мы не оказываем помощь в очистке, и тем более в расшифровке пользователям, которые используют ломанный антивирус ESET
обратитесь за помощью на другой форум.
Добрый день! Пошифрованы файлы через .id-FEE12735.[kuprin@india.com].wallet. Лицензия на ваш антивирус куплена. Ваша техподдержка молчит, запросу уже больше суток. Есть ли какие нибудь наработки по дешифратору или пока нет? Файлы, сам вирус могу скинуть если нужно. Комп больше не запускается, нужно расшифровать 2 1с-ные базы по 2 гигабайта каждая. (2 файла 1cd) Остальное всё восстановимо. Логин лицензии NOD32: EAV-0180213574  
Изменено: Александр Жалимов - 15.06.2017 09:55:19
Цитата
Александр Жалимов написал:
Добрый день! Пошифрованы файлы через .id-FEE12735.[ kuprin@india.com ].wallet. Лицензия на ваш антивирус куплена. Ваша техподдержка молчит, запросу уже больше суток. Есть ли какие нибудь наработки по дешифратору или пока нет? Файлы, сам вирус могу скинуть если нужно. Комп больше не запускается, нужно расшифровать 2 1с-ные базы по 2 гигабайта каждая. (2 файла 1cd) Остальное всё восстановимо. Логин лицензии NOD32: EAV-0180213574
добрый,
надо хотя бы убрать вирусные тела из автозапуска системы.
сделайте образ автозапуска из под winpe
файлы шифратора вышлите в почту safety@chklst.ru в архиве, с паролем infected
----------
по расшифровке ждите решения - как только будет так вам сразу станет известно,
а пока что бэкапы используйте для восстановления важных документов и баз.
Добрый вечер, на днях словил шифровальщика .wallet
На тестовой виртуалке (накатил образ с дефолтным паролем и включенным rdp, через неделю вспомнил, включил а там все зашифровано) есть много шифровоных файлов и их не шифрованных копий, есть тушка вируса.
Если это может помочь в расшифровке могу выслать на почту.
Цитата
Игорь Александров написал:
Добрый вечер, на днях словил шифровальщика .wallet
На тестовой виртуалке (накатил образ с дефолтным паролем и включенным rdp, через неделю вспомнил, включил а там все зашифровано) есть много шифровоных файлов и их не шифрованных копий, есть тушка вируса.
Если это может помочь в расшифровке могу выслать на почту.
вышлите тело шифратора в архиве с паролем infected в почту safety@chklst.ru
Здравствуйте.
Поймали шифровальщика .wallet
Лицензия ESET NOD32 Антивирус
Лицензионный ключ: RUAW-W3**-****-****-**HV
Имя пользователя (логин): EAV-0182961358
Высылаю сам файл вируса в архиве. Пароль : infected
И файл зашифрованного документа. Пароль : infected
Изменено: santy - 15.06.2017 09:56:23 (архив с трояном удален, не размещайте на форуме вирусные тела.)
Константин Женин,
добавьте образ автозапуска системы.
Добрый день. я правильно понимаю расшифровать на данный момент файлы с расширением .wallet нет возможности? Прикрепил во вложении парочку.
@andruhasms,
добавьте образ автозапуска системы, возможно файлы шифратора остались в системе.
Читают тему (гостей: 5)