Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer , Filecoder.Crysis / Encoder.3953; r/n: info.hta

RSS
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.11.2018 09:09:55
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
   .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
[ Как создать образ автозапуска? ]

Ответы

Пред. 1 ... 4 5 6 7 8
 
Денис Ковригин
Денис Ковригин
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 14.05.2019
Размещено 23.05.2019 14:40:59
Хорошо, спасибо, отложим зашифрованные файлы до лучших времен! А вдруг.....
 
Oleg Um2
Oleg Um2
Пользователь
Сообщений: 1
Регистрация: 16.06.2019
Размещено 16.06.2019 12:18:51

Добрый день!

Кажется, я тоже столкнулся с этой проблемой. Причём, что характерно, все компьютеры чистые (либо Win7/10 с антивирусами, либо Linux с ограниченными правами пользователя). Ни на одной из наших машин нет ни следов шифрования, ни подозрительной активности.

Зашифрован сетевой общий диск (сами идиоты, конечно, ACL не настроен). Текстовых файлов с требованиями выкупа нигде нет.

Есть смысл выложить сюда несколько примеров файлов «оригинал - зашифрованный»?

 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 16.06.2019 14:17:55
добрый день!

имеет смысл проверить свойства зашифрованного файла на сетевом диске, чтобы определить под какой учетной записью было шифрование,
т.о. вы с большей вероятностью сможете определить какой из компьютеров был атакован.

то, что нет еще нигде записки о выкупе может означать, что либо шифрование локально еще не завершено, либо компутер, который был атакован был выключен.
добавлю, что Crysis прописывает свое тело в автозапуск, и после перезагрузки шифрование может возобновиться.
так же возможен случай, когда антивирус удаляет через время файл шифратора, поэтому можно проверить логи антивирусов.
Если у вас установлен сервер ERA или подобная консоль, например от Касперского, тогда надо смотреть логи  угроз через консоль управления.

можно так же выложить в архиве один из зашифрованных файлов. Пара не нужна - это не сработает для Crysis
надо ждать, когда злоумышленники выложат приватные ключи, тогда расшифровка станет возможной.
[ Как создать образ автозапуска? ]
 
Vitamin Vit
Vitamin Vit
Пользователь
Сообщений: 1
Регистрация: 02.05.2020
Размещено 02.05.2020 23:56:35
Аналогично, стал жертвой этого щифровальщика.
Так понимаю - новостей по дешифровке нет?

Получается, что какие-то московские чудики могут расшифровать мои файлы, значит ключ у кого-то есть. Возникает вопрос - а может быть эта контора причастна к этому вирусу, раз ни у кого нет ключей, а у них есть? И куда смотрят наши правоохранительные органы?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.05.2020 03:12:42
Цитата
Vitamin Vit написал:
Аналогично, стал жертвой этого щифровальщика.
Так понимаю - новостей по дешифровке нет?

Получается, что какие-то московские чудики могут расшифровать мои файлы, значит ключ у кого-то есть. Возникает вопрос - а может быть эта контора причастна к этому вирусу, раз ни у кого нет ключей, а у них есть? И куда смотрят наши правоохранительные органы?

на Crysis фронте пока без перемен.
ключи есть у злоумышленников. "эти чуваки" просто за ваши деньги берут у них ключ, и вам продают, + себе часть оставляют за труды.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 4 5 6 7 8
Читают тему