Вход
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion , CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

1 2 3 4 5 ... 14 След.
RSS
 
a Degtyarev
a Degtyarev
Пользователь
Сообщений: 1
Регистрация: 25.02.2016
Размещено 25.02.2016 16:48:09
Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети.
Файлы имеют имя вида <filename>.DOC.{Vegclass@aol.com}.xtbl
Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал.
С уважением, и огромной надеждой,
Андрей.

---------
По CrySiS есть хорошие новости.
Получены мастер ключи по вариантам CrySiS (в частности, vegclass@aol.com.xtbl/ {meldonii@india.com}.xtbl/redshitline@india.com.xtbl/ecovector3@india.com.xtb и др.),
думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.


ссылка на дешифратор в общем доступе:
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryp­tor.exe

ссылку на
How do I clean a Crysis infection using the ESET Crysis decryptor?
http://support.eset.com/kb6274/
 
santy
santy
Администратор
Сообщений: 16693
Баллов: 13354
Регистрация: 16.03.2010
Размещено 25.02.2016 17:15:52
по ASSEL:

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

del %SystemDrive%\USERS\TAMARA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.{VEGCLASS@AOL.COM}.XTBL

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\TAMARA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_1\ПОИСК MAIL.RU

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 16693
Баллов: 13354
Регистрация: 16.03.2010
Размещено 25.02.2016 17:17:48
по DAUREN все чисто.

по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
 
Александр Резвов
Александр Резвов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 09.02.2016
Размещено 29.02.2016 14:37:31
Добрый день!
Сегодня поймали вирус который зашифровал файлы. Сначала на ПК пользователя, потом на сервере. Это очень критично для нас. У нас установлена корпоративная лицензия. Антивирус не помог, пропустил вирус.
выкладываю файлы автозапуска.
Прошу помочь нам расшифровать данные файлы.
 
santy
santy
Администратор
Сообщений: 16693
Баллов: 13354
Регистрация: 16.03.2010
Размещено 29.02.2016 16:27:20
образы сейчас посмотрю,
добавьте несколько зашифрованных файлов
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 16693
Баллов: 13354
Регистрация: 16.03.2010
Размещено 29.02.2016 16:36:55
по первому образу: Priputnikova.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 1ABE399A5583C58CF42BC4BD0CB82A472562DEBA89FA9C1D61C3F67CDBA379C9D5185697BB95E851C31A809F46D149EC7DDFE89A51DEB02CAEBF5BC677062273 8 Ransom:Win32/Genasom [Microsoft]

zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\LOCAL\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\REMOTE DESKTOP CONNECTION.LNK.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\REMOTE DESKTOP CONNECTION.LNK.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL

delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL

delref %Sys32%\NEFTPDZVCNORKO.EXE
del %Sys32%\NEFTPDZVCNORKO.EXE

deltmp
delnfr

;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

архив из каталога uVS (по формату: ZOO_****.rar/7z)  отправить в почту safety@chklst.ru
------------
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 16693
Баллов: 13354
Регистрация: 16.03.2010
Размещено 29.02.2016 16:40:58
по второму образу все чисто.
скорее всего шифрануло расшаренные на сервере NTPAGE0 диски и каталоги.
шифратор запустился с Priputnikova
Изменено: santy - 29.02.2016 16:44:06
[ Как создать образ автозапуска? ]
 
Александр Резвов
Александр Резвов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 09.02.2016
Размещено 29.02.2016 16:46:27
Файлы расшифруются при применении скрипта?
 
santy
santy
Администратор
Сообщений: 16693
Баллов: 13354
Регистрация: 16.03.2010
Размещено 29.02.2016 16:48:01
нет, не расшифруются. это только скрипт очистки системы от вирусных тел.
по расшифровке отдельный разговор.
так просто не решается эта проблема, тем более с новым шифратором.
--------
необходимо проанализировать тело шифратора, зашифрованные файлы, определить тип шифратора,
и далее уже смотреть: есть по нему на сегодня дешифраторы или нет.
поскольку вирусописатели меняют заголовки зашифрованных файлов,
при этом возможно что алгоритм шифрования не меняется.
--------
здесь например добавили xtbl, хотя предыдущие варианты действительно xtbl совершенно иначе формируют заголовок файла.

этот вариант шифратора как минимум неделя уже в ходу.
Изменено: santy - 29.02.2016 16:54:32
[ Как создать образ автозапуска? ]
 
Александр Резвов
Александр Резвов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 09.02.2016
Размещено 29.02.2016 17:11:04
Выполнил все как писали выше. Дальнейшие действия какие по расшифровке?
 
1 2 3 4 5 ... 14 След.
Читают тему (гостей: 5)