Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da , Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

RSS
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.04.2019 12:20:40
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
[ Как создать образ автозапуска? ]

Ответы

Пред. 1 2 3 4 5 ... 8 След.
 
Мирослав Герко
Мирослав Герко
Пользователь
Сообщений: 1
Регистрация: 26.06.2019
Размещено 26.06.2019 14:01:19
у меня на удаленке вирус работает дальше. можно с ним бороться? вот ключи шифрования. расширение файлов .harma
Изменено: Мирослав Герко - 26.06.2019 14:10:23
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.06.2019 17:34:54
Мирослав Герко,
выгрузите из процессов вредоносные файлы
сделайте и добавьте в ваше сообщение образ автозапуска системы
[ Как создать образ автозапуска? ]
 
Денис Быстров
Денис Быстров
Пользователь
Сообщений: 1
Регистрация: 29.07.2019
Размещено 29.07.2019 16:47:08
Здравствуйте. Несмотря на наличие установленной лицензионной версии продукта NOD32 Antivirus на всех пк в сети, на сетевых папках с открытым полным доступом обнаружились зашифрованные файлы вида price.xls.id-B8E48228.[[email protected]].harma. Зараженный компьютер пока обнаружить не удалось (в сети порядка 50 пк). Шифрование происходит постепенно и нерегулярно - в одной папке могут зашифроваться все файлы, в другой - один-два. Пример зашифрованного файла прилагаю на облачном сервисе. Очень надеюсь на Вашу помощь.  
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 29.07.2019 16:59:15
Это Crysis. harma.
Расшифровки на текущий момент по этому варианту шифратора нет.
файлы шифруются по сети, антивирус, установленный на рабочем ПК  здесь не может достать источник шифрования, которым видимо заражен один из ПК вашей сети. Искать источник надо в сети.
можно смотреть свойства зашифрованного файла на одном из компьютеров, и определить, кто является владельцем файла, таким образом можно узнать учетную запись под которой выполнено шифрование, и определить источник заражения.

Если на всех ПК установлен антивирус ESET то, он должен определить Crysis.
скорее всего был взлом вашей сети из вне, возможно на нем был отключен антивирус, и затем был запуск шифрования.
Вы можете определить, к каким компьютерам есть доступ из внешней сети. Подключились, скорее всего по RDP

можете так же сделать образы автозапуска подозрительных компов из сети, мы проверим по образу, есть ли реальное заражение на нем или нет.
(или только файлы шифруются по сети)
[ Как создать образ автозапуска? ]
 
Алексей Гулак
Алексей Гулак
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 18.10.2019
Размещено 18.10.2019 09:31:13
Добрый День!

Файлы зашифровались [[email protected]].harma
Можете помочь?

Надежда убивает последней...
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 18.10.2019 19:56:48
Цитата
Алексей Гулак написал:
Добрый День!
Файлы зашифровались [ [email protected] ].harma
Можете помочь?

с расшифровкой *.harma помочь не сможем.

по очистке системы выполните скрипт в uVS без перезагрузки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv5.2
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-CC1C99B8.[[email protected]].HARMA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\1BITC.EXE
apply

QUIT

без перезагрузки системы, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
 
Алексей Гулак
Алексей Гулак
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 18.10.2019
Размещено 18.10.2019 20:19:21
Цитата
santy написал:
с расшифровкой *.harma помочь не сможем.
а ребята из Др-Шифро знают как. Расшифровали мне один файл.
Что вы о них знаете?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 18.10.2019 20:44:58
Цитата
Алексей Гулак написал:
Цитата
 santy  написал:
с расшифровкой *.harma помочь не сможем.
а ребята из Др-Шифро знают как. Расшифровали мне один файл.
Что вы о них знаете?
Я думаю, вам дорого выйдет помощь Др-Шифро в расшифровке, поскольку они контактируют со злоумышленниками и выкупают у них ключи. Попросите расшифровать их несколько файлов. бесплатно.
Злоумышленники, как правило расшифровывают 1-3 файла не более, для того чтобы показать, что у них есть ваш ключ.
За все остальное придется платить, и немалые деньги.
В нашем случае, мы говорим о возможности (или невозможности) расшифровать файлы бесплатно.
[ Как создать образ автозапуска? ]
 
Петр Петрович
Петр Петрович
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 31.10.2019
Размещено 31.10.2019 09:05:30
Шифратор .id-7966CC04.[[email protected] ].harma
Злоумышленник зашёл через RDP и зашифровал штатными средствами Windows все файлы (в кол-ве около 23 тысяч) doc, jpeg, txt, mp3  и прочие расширения. Есть дешифратор для этого типа?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 31.10.2019 17:31:41
Цитата
Петр Петрович написал:
Шифратор .id-7966CC04.[[email protected] ].harma Злоумышленник зашёл через RDP и зашифровал штатными средствами Windows все файлы (в кол-ве около 23 тысяч) doc, jpeg, txt, mp3 и прочие расширения. Есть дешифратор для этого типа?
зашифровано шифратором Crysis
добавьте образ автозапуска зашифрованной системы, возможно  в системе остались тела шифратора.
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 4 5 ... 8 След.
Читают тему