Вход
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

RSS
 
a Degtyarev
a Degtyarev
Пользователь
Сообщений: 1
Регистрация: 25.02.2016
Размещено 25.02.2016 16:48:09
Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети.
Файлы имеют имя вида <filename>.DOC.{[email protected]}.xtbl
Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал.
С уважением, и огромной надеждой,
Андрей.

---------
По CrySiS есть хорошие новости.
Получены мастер ключи по вариантам CrySiS (в частности, [email protected]/ {[email protected]}.xtbl/[email protected]/[email protected] и др.),
думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.


ссылка на дешифратор в общем доступе:
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryp­tor.exe

ссылку на
How do I clean a Crysis infection using the ESET Crysis decryptor?
http://support.eset.com/kb6274/

Ответы

Пред. 1 2 3 4 5 ... 14 След.
 
santy
santy
Администратор
Сообщений: 17904
Баллов: 28645
Регистрация: 16.03.2010
Размещено 29.02.2016 17:39:15
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
+
жду от вас архив после выполнения скрипта
архив из каталога uVS (по формату: ZOO_****.rar/7z) отправить в почту [email protected]
если нет такого архива в папке uVS, тогда самостоятельно заархивируйте папку ZOO с паролем infected
и вышлите в почту
Изменено: santy - 29.02.2016 17:42:22
[ Как создать образ автозапуска? ]
 
Александр Резвов
Александр Резвов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 09.02.2016
Размещено 29.02.2016 18:17:48
Цитата
santy написал:
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
+
жду от вас архив после выполнения скрипта
архив из каталога uVS (по формату: ZOO_****.rar/7z) отправить в почту [email protected]
если нет такого архива в папке uVS, тогда самостоятельно заархивируйте папку ZOO с паролем infected
и вышлите в почту
Написал в техподдержку нод32. Выслал им архив с самим вирусом. Также зараженные файлы. Жду от них ответа.
 
Александр Резвов
Александр Резвов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 09.02.2016
Размещено 29.02.2016 18:56:19
Также отправил архив ZOO на указанную вами почту
 
Олег Бордзиховский
Олег Бордзиховский
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 01.03.2016
Размещено 01.03.2016 09:07:05
Похоже, у нас такая же проблема.
Файлы переименовываются в *[email protected], шифруются только базы 1С.
Запрос в техподдержку через форму уже отправили, нашли чистые копии нескольких зашифрованных файлов. Сейчас компьютеры стоят выключенные, что дальше делать, не знаю. Надо как-то побороть заразу, она ещё сидит в памяти и шифрует файлы при попытке восстановить из копий.
Некоторое время назад антивирус (NOD32) не хотел обновляться, позавчера наконец-то починили его (ввели логин и пароль, присланный от техподдержки), а вчера бухгалтер умудрилась запустить вложение из письма якобы из налоговой, и угробить все базы 1С.
Подскажите, как быть дальше?
 
santy
santy
Администратор
Сообщений: 17904
Баллов: 28645
Регистрация: 16.03.2010
Размещено 01.03.2016 09:12:01
добавьте образ автозапуска системы с рабочего стола
http://forum.esetnod32.ru/forum9/topic2687/

или из под Winpe&uVS
http://chklst.ru/forum/discussion/61/winpeuvs
+
для таких бухгалтеров надо  настроить политики ограничения запуска исполняемых файлов из архивов.
Изменено: santy - 01.03.2016 09:13:22
[ Как создать образ автозапуска? ]
 
Александр Резвов
Александр Резвов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 09.02.2016
Размещено 01.03.2016 09:15:56
Цитата
Олег Бордзиховский написал:
Похоже, у нас такая же проблема.
Файлы переименовываются в * [email protected] , шифруются только базы 1С.
Запрос в техподдержку через форму уже отправили, нашли чистые копии нескольких зашифрованных файлов. Сейчас компьютеры стоят выключенные, что дальше делать, не знаю. Надо как-то побороть заразу, она ещё сидит в памяти и шифрует файлы при попытке восстановить из копий.
Некоторое время назад антивирус (NOD32) не хотел обновляться, позавчера наконец-то починили его (ввели логин и пароль, присланный от техподдержки), а вчера бухгалтер умудрилась запустить вложение из письма якобы из налоговой, и угробить все базы 1С.
Подскажите, как быть дальше?
Проблема такая же заразилась вся база 1с 7.7 , бухгалтер запустила из письма файл с вирусом. База 1с лежит, надеемся только на техподдержку нод32...
 
Олег Бордзиховский
Олег Бордзиховский
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 01.03.2016
Размещено 01.03.2016 10:27:30
Цитата
santy написал:
добавьте образ автозапуска системы с рабочего стола
http://forum.esetnod32.ru/forum9/topic2687/

или из под Winpe&uVS
http://chklst.ru/forum/discussion/61/winpeuvs
+
для таких бухгалтеров надо  настроить политики ограничения запуска исполняемых файлов из архивов.
насчет политики согласен, ещё бы знать как это сделать...
uVS нашла четыре явно вирусных файла, ничего лечить/удалять не стал, жду дальнейших инструкций.
 
Александр Резвов
Александр Резвов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 09.02.2016
Размещено 01.03.2016 10:43:40
Телефон названивает каждые 5 минут. Необходимо что то предпринять для борьбы...
santy , вы еще не рассматривали нашу проблему?
 
santy
santy
Администратор
Сообщений: 17904
Баллов: 28645
Регистрация: 16.03.2010
Размещено 01.03.2016 11:02:57
Александр,
все что в наших силах мы уже сделали. очистили систему, провели тестовое шифрование, отправили зашифрованные, чистые файлы + тело шифратора в вирлаб.
ждем ответ от вирлаба, от специалистов.
---------
поверьте, возможно теневые копии остались живые,
Изменено: santy - 01.03.2016 11:08:36
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17904
Баллов: 28645
Регистрация: 16.03.2010
Размещено 01.03.2016 11:07:16
Цитата
Олег Бордзиховский написал:
uVS нашла четыре явно вирусных файла, ничего лечить/удалять не стал, жду дальнейших инструкций.
судя по образу, файл шифратора в автозапуске удален.

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
Имя файла                   ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя файла                   Двойное расширение
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\документы­ для подписи на 29.02.2016.doc
документы для подписи на 29.02.2016.docC:\Windows\System32\документы для подписи на 29.02.2016.doc.exe
                           

сейчас добавлю скрипт очистки.
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 4 5 ... 14 След.
Читают тему