Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo , Filecoder.Crysis; r/n: info.hta

RSS
 
рыбка рыбка
рыбка рыбка
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 18.08.2017
Размещено 18.08.2017 13:05:49
Здравствуйте.
Зашифровали файлы, расширение у файлов .[[email protected]].cesar, Есть ли возможность их расшифровать.
Во вложении пример файла и образ автозапуска.
Спасибо.
=============


расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb; .combo на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

Ответы

Пред. 1 ... 7 8 9 10 11 ... 15 След.
 
Kareec Kar
Kareec Kar
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 31.03.2018
Размещено 01.04.2018 13:44:58
santy,

оригиналы файлов пока что найти не удается, получится ли расшифровать?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 01.04.2018 16:39:34
Цитата
Kareec Kar написал:
 santy ,

оригиналы файлов пока что найти не удается, получится ли расшифровать?

по очистке системы выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTP://OVGORSKIY.RU
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-4E78629C.[[email protected]].JAVA
del %SystemDrive%\USERS\ПРОГРАММИСТ 1С\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-4E78629C.[[email protected]].JAVA
apply
QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
по расшифровке, к сожалению, пока ничем помочь не сможем.
смотрите пояснение в первом сообщении.

если по  данному компьютеру есть возможность подключиться к рабочему столу из внешней сети,
необходимо:
установить сложные пароли доступа,
разрешить подключение только с определеннных IP адресов,
установить в политиках безопасности блокировку доступа после нескольких неправильно введенных паролей.
[ Как создать образ автозапуска? ]
 
Kareec Kar
Kareec Kar
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 31.03.2018
Размещено 01.04.2018 20:20:08
santy,Спасибо
 
Garik Nabiev
Garik Nabiev
Пользователь
Сообщений: 1
Регистрация: 02.04.2018
Размещено 04.04.2018 07:58:46
Всем привет. Надеюсь моя информация поможет сотрудникам компании создать дешифратор, а простым пользователям принять к сведению.

30.03.18 примерно в 13:00 была произведена атака на файловый сервер с 20 ТБ информацией. Злоумышленник использовав RDP проник и установил шифровальщик, который быстро зашифровал все файлы(около 355 тысяч). Изменилось название и расширение файлов: название файла.расширение[email protected].java
Связались по мейлу. На той стороне поинтересовались сколько компьютеров, количество локальных дисков и айди. В общем нам пришлось заплатить. Сумма 0.3 биткоина. После, получили инструкцию и файл дешифратор.
Процесс дешифрования файлов следующий:
1. Сканирование компьютера. Причём во время сканирования собираются какие-то ключи. В итоге их набралось 34.
2. После программа предложила сохранить результат сканирования. Создался файл request.txt
3. Этот файл был отправлен злоумышленникам, в ответ нам прислали ключ. Была снова запущена программа дешифратор, и в этот раз я нажал на кнопку Decrypt. Программа предложила ввести ключ для расшифровки. Все файлы расшифровались.
К сообщению прилагаю, файл шифровальщик, файл дешифратор полученный после оплаты, и два текстовых файла request и answer key.

Всем удачи.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.04.2018 08:58:33
@Garik Nabiev,
если сохранились копии зашифрованных файлов, добавьте несколько таких файлов в архиве для проверки работы дешифратора.

+

на будущее:


Цитата
Протокол удаленных рабочих столов (RDP) - очень распространенный вектор атаки грубой силы для серверов, особенно тех, кто занимается разработкой и распространением вымогательства ... см. Здесь. Как только злоумышленник получает административный доступ с помощью атаки грубой силы на уязвимый RDP-порт, система скомпрометирована, и они могут внедрять вредоносное ПО и / или использовать инструменты удаленного доступа, чтобы сделать что угодно.

ИТ-специалисты должны закрыть RDP, если они не используют его. Если они должны использовать RDP, лучший способ защитить его - либо разрешить доступ только с определенных IP-адресов на брандмауэре, либо не выставить его в Интернет. Поместите RDP за брандмауэр, разрешите только RDP из локального трафика, настройте VPN для доступа извне, используйте RDP-шлюз, измените порт RDP по умолчанию (TCP 3389) и применяйте надежные политики паролей, особенно на любых учетных записях администратора или с правами RDP
[ Как создать образ автозапуска? ]
 
Дмитрий Радаев
Дмитрий Радаев
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 10.04.2018
Размещено 10.04.2018 18:13:04

Ситуация как у @Garik Nabiev

Всем привет. Сильно надеюсь на вашу помощь! Нужен дешифратор.


08.04.18 примерно в 17:00 была произведена атака на сервер с базой 1С. Злоумышленник использовав RDP проник и установил шифровальщик. Изменилось название и расширение файлов: название файла.расширение[email protected].java
Связались по мейлу. Просят 0.3 биткоина. Неподъемная для нас сумма
К сообщению прилагаю: Архив с файлом шифровальщиком, Архив с зашифрованными файлами. И еще какие-то странные файлы (кажется появились после атаки) в папке пользователя, через которого зашли на сервер.

Всех неравнодушных прошу помочь. Спасибо!

 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 11.04.2018 01:55:24
@Дмитрий Радаев,
сделайте дополнительно образ автозапуска на данном сервере,
возможно в системе сохранился активный шифратор.
файл шифратора на текущий момент детектируется
https://www.virustotal.com/#/file/8d07abd72744d963e958bef3d4e7241e0b6a0fe4cd29ef8459aa8e­0c90016ca7/detection
[ Как создать образ автозапуска? ]
 
Дмитрий Радаев
Дмитрий Радаев
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 10.04.2018
Размещено 11.04.2018 12:57:36
http://rgho.st/7SZRdxQRw
Ссылка на образ автозапуска.
Скажите есть ли шанс расшифровать данные?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 11.04.2018 15:12:38
Дмитрий,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-5EE8AFE3.[[email protected]].JAVA
delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1TASKMGR.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Win32/Filecoder.Crysis.L 7

zoo %Sys32%\1TASKMGR.EXE
zoo %SystemDrive%\USERS\BUH\APPDATA\ROAMING\1TASKMGR.EXE
zoo %SystemDrive%\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1TASKMGR.EXE
chklst
delvir

apply

;-------------------------------------------------------------

QUIT

------------
без перезагрузки системы.

по расшифровке документов смотрите наш комментарий к первому сообщению. нет по Crysis.java расшифровки на текущий момент. к сожалению.
[ Как создать образ автозапуска? ]
 
Андрей Олениченко
Андрей Олениченко
Пользователь
Сообщений: 1
Регистрация: 13.04.2018
Размещено 13.04.2018 22:13:18
13.04.2018 меня зашифровали
файл автозапуска прикрепляю
HOME_2018-04-14_01-42-37.7z
зашифрованый файл
Попрошайка.doc....[[email protected]].java
если сможете помогите пожалуйста
 
Пред. 1 ... 7 8 9 10 11 ... 15 След.
Читают тему