Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer , Filecoder.Crysis / Encoder.3953; r/n: info.hta

RSS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.11.2018 09:09:55
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
   .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
[ Как создать образ автозапуска? ]

Ответы

Пред. 1 ... 3 4 5 6 7 8 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.01.2019 06:02:35
https://id-ransomware.malwarehunterteam.com/identify.php?case=83c161c722b58f3b967989730208b87b5915e579
Цитата
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   sample_extension: .id-<id>.[<email>].adobe
   sample_bytes: [0x7D20 - 0x7D60] 0x00000000020000000CFE7A410000000000000000000000002000000000000000
   custom_rule: Original filename "Readme_SG.txt" after filemarker

добавьте образ автозапуска системы для проверки и очистки системы.
[ Как создать образ автозапуска? ]
 
Андрей -
Андрей -
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 06.01.2019
Размещено 08.01.2019 22:02:00
Понятно. Пока ждём... Спасибо. Образ
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.01.2019 05:10:30
по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
unload %Sys32%\MSHTA.EXE
zoo %Sys32%\INFO.HTA
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TERMINAL\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VERA.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\COMPUTER3\APPLICATION DATA\VERA.EXE
;---------command-block---------
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-B08BBCD6.[[email protected]].ADOBE
del %SystemDrive%\DOCUMENTS AND SETTINGS\COMPUTER3\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-B08BBCD6.[[email protected]].ADOBE
del %Sys32%\INFO.HTA
del %SystemDrive%\DOCUMENTS AND SETTINGS\TERMINAL\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VERA.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\COMPUTER3\APPLICATION DATA\VERA.EXE
apply
CZOO
QUIT

без перезагрузки, пишем о старых и новых проблемах.
восстанавливаем зашифрованные документы из архивных копий.
если копий нет, сохраните важные зашифрованные документы на отдельный носитель на случай возможной расшифровки.
+
вопрос:
VERA_PASSWORD_VERA.ZIP.ID-B08BBCD6.[[email protected]].ADOBE
этот файл какое имеет назначение в незашифрованном виде?
[ Как создать образ автозапуска? ]
 
Андрей -
Андрей -
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 06.01.2019
Размещено 11.01.2019 06:12:25
Цитата
santy написал:
VERA_PASSWORD_VERA.ZIP.ID-B08BBCD6.[[email protected]].ADOBEэтот файл какое имеет назначение в незашифрованном виде
Нет, не имеет. Это архивировали файлши фровальщика vera.exe.
Спасибо.
 
Тимур Абдусадыков
Тимур Абдусадыков
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 23.12.2018
Размещено 13.01.2019 00:16:02
Добрый день.

Нет ли случайно обновления по теме? Не появился дешифратор?
 
Андрей -
Андрей -
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 06.01.2019
Размещено 14.01.2019 05:42:14
Похоже, пока нет.
 
Никита Король
Никита Король
Пользователь
Сообщений: 1
Регистрация: 03.02.2019
Размещено 03.02.2019 13:27:56
"Добрый" день. Расшифровки пока нет?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.02.2019 15:47:04
Цитата
Никита Король написал:
"Добрый" день. Расшифровки пока нет?
"пока" - это очень оптимистично,
ее может не быть никогда.
в любом случае, если вы пострадали от шифратора по данному списку,
обращайтесь в [email protected] или [email protected] (какой к вам ближе),
при наличие реальной лицензии на продукт ESET
[ Как создать образ автозапуска? ]
 
Тимур Абдусадыков
Тимур Абдусадыков
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 23.12.2018
Размещено 13.03.2019 13:50:10
Цитата
santy написал:
Цитата
"пока" - это очень оптимистично,
ее может не быть никогда.
в любом случае, если вы пострадали от шифратора по данному списку,
обращайтесь в [email protected] или [email protected] (какой к вам ближе),
при наличие   реальной лицензии   на продукт ESET

А толку писать в вашу поддержку. У меня официальная лицензия и пользюсь вашим антивирусом уже много лет. А вот случилась проблема и вы помочь не смогли, нет у вас дешифратора.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.03.2019 15:16:04
Цитата
Тимур Абдусадыков написал:
А толку писать в вашу поддержку. У меня официальная лицензия и пользюсь вашим антивирусом уже много лет. А вот случилась проблема и вы помочь не смогли, нет у вас дешифратора.
не вы один пострадали от этого шифратора. Crysis один из наиболее активных и распространенных шифраторов в мире. Чтобы обезопасить свои документы от атак шифратора, недостаточно иметь антивирусную защиту. Необходимо иметь всегда свежие бэкапы данных,
+
как защитить и обезопасить компьютер от атак вымогателей
https://chklst.ru/discussion/1579/kak-zaschitit-i-obezopasit-kompyuter-ot-vymogateley#latest
+
Что такое Dharma Ransomware и как защитить свой бизнес от этого
https://forum.esetnod32.ru/messages/forum35/topic11658/message105262/#message105262
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 3 4 5 6 7 8 След.
Читают тему