файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

RSS
Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети.
Файлы имеют имя вида <filename>.DOC.{Vegclass@aol.com}.xtbl
Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал.
С уважением, и огромной надеждой,
Андрей.

---------
По CrySiS есть хорошие новости.
Получены мастер ключи по вариантам CrySiS (в частности, vegclass@aol.com.xtbl/ {meldonii@india.com}.xtbl/redshitline@india.com.xtbl/ecovector3@india.com.xtb и др.),
думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.



ссылка на дешифратор в общем доступе:
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryp­tor.exe

ссылку на
How do I clean a Crysis infection using the ESET Crysis decryptor?
http://support.eset.com/kb6274/

Ответы

Пред. 1 ... 7 8 9 10 11 ... 14 След.
это у вас сервер? весело живете.
вот этот файл поищите среди удаленных, в том числе и в r-studio, возможно нужен будет для процесса расшифровки в будущем.
шансов на расшифровку думаю не много, по свежим вариантам {VEGCLASS@AOL.COM}.xtbl нет расшифровки.

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\PAYLOAD134.EXE
Имя файла                   PAYLOAD134.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Payload13­4.exe
Payload134.exe              C:\Windows\System32\Payload134.exe
                           
по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\СОМАДЕНКО\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\СОМАДЕНКО\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\ЗЕЛИНСКАЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\ЗЕЛИНСКАЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\SHPYLCHUK\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\SHPYLCHUK\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\ADRA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\ADRA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\REPINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\REPINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\МАКСИМ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\МАКСИМ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\MARINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\MARINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\ИРИНА ВИКТОРОВНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\ИРИНА ВИКТОРОВНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\HOTSPOT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\HOTSPOT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\ДУМУШИ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\ДУМУШИ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\ЧЕРНИГОВ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\ЧЕРНИГОВ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\ИЛЬИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\ИЛЬИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\ТАТАРИНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\ТАТАРИНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\ДУМУЩИ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\ДУМУЩИ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\КИСЕЛЕВА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\КИСЕЛЕВА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\ЖОЛУДЕВА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\ЖОЛУДЕВА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\AMPRO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\AMPRO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\КОРЧУК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\КОРЧУК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\СОЛОДКАЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\СОЛОДКАЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\ГЕРАСИМОВА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\ГЕРАСИМОВА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\ИВАШКО АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\ИВАШКО АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\JULIANA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\JULIANA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\USERS\LIUBOV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\LIUBOV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

deldirex %SystemDrive%\PROGRAM FILES (X86)\CINEMAPLUS-3.3C

delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5924B8D0.VEGCLASS@AOL.COM.XTBL

delref %Sys32%\PAYLOAD134.EXE
del %Sys32%\PAYLOAD134.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
Здравствуйте, Вирус зашифровал все файлы, находящиеся на компьютере, помогите пожалуйста расшифровать... При запуске компьютера появляется сообщение - DECRYPT FILES EMAIL legioner_seven@aol.com Образец зашифрованного файла прикрепляю.
Сергей Дидык,
добавьте образ автозапуска (см. инструкцию в моей подписи)+
добавьте несколько зашифрованных файлов в отдельном архиве
Цитата
santy написал:
Сергей Дидык,
добавьте образ автозапуска (см. инструкцию в моей подписи)+
добавьте несколько зашифрованных файлов в отдельном архиве
У меня возникла проблема, записал распакованную папку на чистую флешку и вставил на зараженный компьютер - все файлы мгновенно на флешке зашифровались и я не смог запустить утилиту.
пробуйте из безопасного режима создать образ автозапуска
Цитата
santy написал:
Сергей Дидык,
добавьте образ автозапуска (см. инструкцию в моей подписи)+
добавьте несколько зашифрованных файлов в отдельном архиве
Прикрепляю архив образа и зашифрованных файлов
Сергей Дидык,
ваш шифратор: CrySis:{LEGIONER_SEVEN@AOL.COM}.XTBL

выполните скрипт в uVS из безопасного режима системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn A7679B1BB9EA4F720B87F876E194EFFADA8AFCF6893D9A607A3C3ABC50D6718BA6933FA8C1559D492B68A6BA4616A12770DFE88D40E2306C2DFE213738F9DDF0 8 Win32/Filecoder.Crysis.D [ESET-NOD32]

zoo %SystemDrive%\USERS\АНЯ\APPDATA\ROAMING\LEGIONER_SEVEN@AOL.COM.EXE
zoo %SystemDrive%\USERS\АНЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\LEGIONER_SEVEN@AOL.COM.EXE
zoo %SystemDrive%\USERS\АНЯ\DESKTOP\LEGIONER_SEVEN@AOL.COM.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\АНЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5CB06B33.LEGIONER_SEVEN@AOL.COM.XTBL

delref %SystemDrive%\USERS\1CS08\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5CB06B33.LEGIONER_SEVEN@AOL.COM.XTBL

setdns Local\4\{78EC1441-18B6-461D-9AE0-AD90EAA13220}\8.8.8.8,8.8.4.4
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5CB06B33.LEGIONER_SEVEN@AOL.COM.XTBL

delref %Sys32%\LEGIONER_SEVEN@AOL.COM.EXE

delref %SystemDrive%\USERS\АНЯ\DESKTOP\SYSTEM\SYSTEM\START.VBS

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту safety@chklst.ru
------------

по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Изменено: santy - 29.08.2016 15:42:41
Спасибо, вирус файлы больше не заражает, но после перезагрузки всеравно выскакивает сообщение что все файлы зашифрованы и "DECRYPT FILES EMAIL legioner_seven@aol.com". Ну и естественно ни одна программа с меню пуск или с ярлыков на рабочем столе не запускается. Еще exe файл вируса я нашел вручную в некоторых папках на системном диске, правда смог его удалить без проблем.
Архив в каталоге uVS не создался т.к. архиватор не запускается.
да, этот тип шифратора шифрует все без разбору, в том числе и Program Files, часть программ придется переустановить для нормальной работы.

пробуйте использовать эту программу, чтобы удалить все найденные записки о выкупе.
https://download.bleepingcomputer.com/demonslay335/RansomNoteCleaner.zip
(если антивир будет реагировать на эту программу, то временно отключите его.)

из указанных в списке типов можно оставить только CrySis.
после завершения поиска, просмотрите найденный список, и там есть возможность удалить найденные записки.
Пред. 1 ... 7 8 9 10 11 ... 14 След.
Читают тему (гостей: 6)