файлы зашифрованы с расширением .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

RSS

Сообщений: 1

Регистрация: 25.02.2016

Размещено 25.02.2016 16:48:09

Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети.
Файлы имеют имя вида <filename>.DOC.{[email protected]}.xtbl
Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал.
С уважением, и огромной надеждой,
Андрей.

---------
По CrySiS есть хорошие новости.
Получены мастер ключи по вариантам CrySiS (в частности, [email protected]/ {[email protected]}.xtbl/[email protected]/[email protected] и др.),
думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.

ссылка на дешифратор в общем доступе:
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryptor.exe

ссылку на
How do I clean a Crysis infection using the ESET Crysis decryptor?
http://support.eset.com/kb6274/

Прикрепленные файлы

DAUREN_2016-02-25_19-37-33.7z (350.06 КБ)
ASSEL-HP_2016-02-25_19-32-39.rar (718.97 КБ)

Ответы

Пред. 1 ... 3 4 5 6 7 ... 14 След.

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 11.03.2016 14:32:14

Алексей Кохно хотите чтобы другие заразились с вашей помощью? Удалите архив с вирусом.

Михаил

Сообщений: 1

Регистрация: 11.03.2016

Размещено 11.03.2016 15:18:33

Добрый день !
29 февраля поймали вирус на эл. почте. Все файлы (Ворд, эксель и фотографии) в итоге зашифровались, то есть к обычным названиям файлов добавилось еще - [email protected].
Также зашифровались все файлы программы 1-С.
Письмо и файл с вирусом к сожалению удалили.
Подскажите - что нам делать.

Изменено: Наталья Петренко - 11.03.2016 18:22:44

Сообщений: 2

Баллов: 1

Регистрация: 11.03.2016

Размещено 11.03.2016 18:03:28

Цитата
mike 1 написал:

Убрал. Но специально было помечено мной, что там вирус. Возможно сам вирус поможет найти специалистам ответ к решению вопроса.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.03.2016 18:59:45

Наталья Петренко,
добавьте образ автозапуска системы.
как сделать, смотрите в подписи ниже.

[ Как создать образ автозапуска? ]

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 11.03.2016 21:56:45

Цитата

Алексей Кохно написал:

Цитата
mike 1 написал:

Вирусы нужно отсылать в вирусную лабораторию или в техподдержку вендора.

Михаил

Сообщений: 5245

Баллов: 8401

Регистрация: 12.05.2010

Размещено 16.03.2016 15:53:59

Форма для отправки вирусов: https://www.esetnod32.ru/support/knowledge_base/new_virus/

ESET Technical Support

Сообщений: 1

Регистрация: 20.03.2016

Размещено 21.03.2016 15:03:15

Здравствуйте. Аналогичная ситуация, в итоге есть только шифрованные файлы.
При наличии только шифрованных файлов есть вероятность их расшифровать? Имеет смысл ли отправлять в лабораторию пример шифрованного?

Прикрепляю образ автозагрузки.
Спасибо

Прикрепленные файлы

ADMIN-693CE7A0E_2016-03-21_12-02-24.7z (255.93 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.03.2016 16:37:08

Dmitry David,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QSTATSRV.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.6.0_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE delref HTTP://YAMBLER.NET/?IM delref HTTP://WEBALTA.RU/SEARCH deltmp delnfr ;------------------------------------------------------------- regt 27 restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QSTATSRV.DLL

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.6.0_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE

delref HTTP://YAMBLER.NET/?IM

delref HTTP://WEBALTA.RU/SEARCH

deltmp
delnfr
;-------------------------------------------------------------

regt 27
restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 28.03.2016

Размещено 28.03.2016 10:17:40

Добрый день. Помогите с шифровальщиком адрес такой [email protected] расширение xtbl

Прикрепленные файлы

xtbl.jpg (111.71 КБ)

Изменено: Евгений Клименко - 28.03.2016 10:18:33

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.03.2016 10:44:25

Евгений,
добавьте образ автозапуска.
и несколько зашифрованных файлов
если сохранилось вредоносное вложение из почты, вышлите в архиве с паролем infected на адрес [email protected]

Изменено: santy - 28.03.2016 10:44:46

[ Как создать образ автозапуска? ]

Пред. 1 ... 3 4 5 6 7 ... 14 След.

файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

Ответы

файлы зашифрованы с расширением .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /