файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

RSS
Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети.
Файлы имеют имя вида <filename>.DOC.{Vegclass@aol.com}.xtbl
Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал.
С уважением, и огромной надеждой,
Андрей.

---------
По CrySiS есть хорошие новости.
Получены мастер ключи по вариантам CrySiS (в частности, vegclass@aol.com.xtbl/ {meldonii@india.com}.xtbl/redshitline@india.com.xtbl/ecovector3@india.com.xtb и др.),
думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.



ссылка на дешифратор в общем доступе:
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryp­tor.exe

ссылку на
How do I clean a Crysis infection using the ESET Crysis decryptor?
http://support.eset.com/kb6274/

Ответы

Пред. 1 ... 6 7 8 9 10 ... 14 След.
Всем привет. Столкнулся с такой же проблемой! Помогите разобраться с шифратором файлов <filename>.DOC.{Vegclass@aol.com}.xtbl
Проводил очистку от самого вируса-особых и явных изменений не наблюдаю! и как расшифровать файлы-вопрос остается открытым
Иван Рубцов,
по очистке системы удалите эти файлы из автозапуска

Цитата
%SystemDrive%\USERS\COMP2\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\DECRYPTION INSTRUCTIONS.JPG
%SystemDrive%\USERS\COMP2\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\DECRYPTION INSTRUCTIONS.TXT
%SystemDrive%\USERS\COMP2\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-621C2070.VEGCLASS@AOL.COM.XTBL

по расшифровке документов обращайтесь в support@esetnod32.ru при наличие лицензии на антивирус ESET
Изменено: santy - 23.07.2016 05:26:15
Доброго времени суток.
Клиент сообщил о том, что у него не работает программа.
После подключения увидел что все на сервере зашифровано, включая ярлыки.
Самое главное это базы данных с расширением FDB теперь выглядит вот так .fdb.id-D2F135F4.Vegclass@aol.com.xtbl
Очень нужна помощь для расшифровки БД!!! Бекапов к сожалению нет
Данный шифратор зашифровал все файлы без разбора, от ярлыков на рабочем столе, до exe шников программ!
С данной проблемой столкнулся впервые. Подскажите что предоставить для решения и есть ли вообще решение?
Злоумышленники запросили 700 евро за расшифровку файлов.
На сервере установлена Windows 7, антивирус ESET NOD32, версия пока триальная (коробочную версию ждем с интернет магазина).
Заранее спасибо!
Изменено: Андрей Рыблер - 27.07.2016 05:03:29
файл шифратора скорее всего сохранился в системе, и будет шифровать новые файлы, если они будут добавлены.
сделайте образ автозапуска системы.
лучше из безопасного режима системы.

ссылка на инструкцию в моей подписи
Цитата
santy написал:
файл шифратора скорее всего сохранился в системе, и будет шифровать новые файлы, если они будут добавлены.
сделайте образ автозапуска системы.
лучше из безопасного режима системы.

ссылка на инструкцию в моей подписи
Цитата
Доброго времени суток. Сервер находится удаленно. Образ сделать на данный момент не получится. Система была просканирована ESET NOD 32.
Скрин проверки приложил.
Файл Payload.exe был в автозапуске (отключил). Так же лежал на рабочем столе пользователя, и в папке SysWOW64.
На данный момент клиент общается с вымогателями, по поводу расшифровки данных. Есть ли какой то вариант восстановить БД?
nod.jpg (223.09 КБ)
по расшифровке NFY/Crysys обращайтесь в техническую поддержку support@esetnod32.ru (при наличие лицензии на продукт ESET)
только там вам ответят: есть расшифровка на текущий момент по данному шифратору или нет.
Спасибо. Отправил письмо в саппорт.
Вирус зашифровал все файлы, находящиеся на компьютере, помогите пожалуйста расшифровать... очень важные данные там
В архиве один из зашифрованых файлов
Изменено: Андрей Донченко - 26.08.2016 12:33:53
Андрей,
если необходима помощь в очистке системы, добавьте образ автозапуска системы,
по расшифровке обращайтесь в техподдержку support@esetnod32.ru при наличие лицензии на антивирус ESET
Вот файл. Спасибо Вам за оперативний ответ
Пред. 1 ... 6 7 8 9 10 ... 14 След.
Читают тему (гостей: 7)