файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion

Сообщений: 1

Регистрация: 25.02.2016

Размещено 25.02.2016 16:48:09

Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети.
Файлы имеют имя вида <filename>.DOC.{[email protected]}.xtbl
Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал.
С уважением, и огромной надеждой,
Андрей.

---------
По CrySiS есть хорошие новости.
Получены мастер ключи по вариантам CrySiS (в частности, [email protected]/ {[email protected]}.xtbl/[email protected]/[email protected] и др.),
думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.

ссылка на дешифратор в общем доступе:
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryptor.exe

ссылку на
How do I clean a Crysis infection using the ESET Crysis decryptor?
http://support.eset.com/kb6274/

Прикрепленные файлы

DAUREN_2016-02-25_19-37-33.7z (350.06 КБ)
ASSEL-HP_2016-02-25_19-32-39.rar (718.97 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.02.2016 17:15:52

по ASSEL:

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir del %SystemDrive%\USERS\TAMARA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.{[email protected]}.XTBL delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\TAMARA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_1\ПОИСК MAIL.RU regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

del %SystemDrive%\USERS\TAMARA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.{[email protected]}.XTBL

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\TAMARA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_1\ПОИСК MAIL.RU

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.02.2016 17:17:48

по DAUREN все чисто.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 09.02.2016

Размещено 29.02.2016 14:37:31

Добрый день!
Сегодня поймали вирус который зашифровал файлы. Сначала на ПК пользователя, потом на сервере. Это очень критично для нас. У нас установлена корпоративная лицензия. Антивирус не помог, пропустил вирус.
выкладываю файлы автозапуска.
Прошу помочь нам расшифровать данные файлы.

Прикрепленные файлы

PRIPUTNIKOVA-PK_2016-02-29_10-57-11.rar (628.26 КБ)
NTPAG0_2016-02-29_14-55-10.rar (590.1 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.02.2016 16:27:20

образы сейчас посмотрю,
добавьте несколько зашифрованных файлов

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.02.2016 16:36:55

по первому образу: Priputnikova.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE addsgn 1ABE399A5583C58CF42BC4BD0CB82A472562DEBA89FA9C1D61C3F67CDBA379C9D5185697BB95E851C31A809F46D149EC7DDFE89A51DEB02CAEBF5BC677062273 8 Ransom:Win32/Genasom [Microsoft] zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\LOCAL\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected] zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected] zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\REMOTE DESKTOP [email protected] del %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\REMOTE DESKTOP [email protected] ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected] del %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected] delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected] del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected] delref %Sys32%\NEFTPDZVCNORKO.EXE del %Sys32%\NEFTPDZVCNORKO.EXE deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 1ABE399A5583C58CF42BC4BD0CB82A472562DEBA89FA9C1D61C3F67CDBA379C9D5185697BB95E851C31A809F46D149EC7DDFE89A51DEB02CAEBF5BC677062273 8 Ransom:Win32/Genasom [Microsoft]

zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\LOCAL\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]
zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]
zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\REMOTE DESKTOP [email protected]
del %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\REMOTE DESKTOP [email protected]
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]

delref %Sys32%\NEFTPDZVCNORKO.EXE
del %Sys32%\NEFTPDZVCNORKO.EXE

deltmp
delnfr

;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

архив из каталога uVS (по формату: ZOO_****.rar/7z) отправить в почту [email protected]
------------

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.02.2016 16:40:58

по второму образу все чисто.
скорее всего шифрануло расшаренные на сервере NTPAGE0 диски и каталоги.
шифратор запустился с Priputnikova

Изменено: santy - 29.02.2016 16:44:06

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 09.02.2016

Размещено 29.02.2016 16:46:27

Файлы расшифруются при применении скрипта?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.02.2016 16:48:01

нет, не расшифруются. это только скрипт очистки системы от вирусных тел.
по расшифровке отдельный разговор.
так просто не решается эта проблема, тем более с новым шифратором.
--------
необходимо проанализировать тело шифратора, зашифрованные файлы, определить тип шифратора,
и далее уже смотреть: есть по нему на сегодня дешифраторы или нет.
поскольку вирусописатели меняют заголовки зашифрованных файлов,
при этом возможно что алгоритм шифрования не меняется.
--------
здесь например добавили xtbl, хотя предыдущие варианты действительно xtbl совершенно иначе формируют заголовок файла.

этот вариант шифратора как минимум неделя уже в ходу.

Изменено: santy - 29.02.2016 16:54:32

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 09.02.2016

Размещено 29.02.2016 17:11:04

Выполнил все как писали выше. Дальнейшие действия какие по расшифровке?

файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

файлы зашифрованы с расширением .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /