файлы зашифровованы с расширением cripton; .crypton - Форум технической поддержки ESET NOD32

Сообщений: 1

Регистрация: 19.01.2019

Размещено 19.01.2019 10:38:38

Добрый день.
На сервер компании пролез вирус шифровальщик и зашифровал файлы с расширением .cripton
Текст:

Decrypting your files is easy. Take a deep breath and follow the steps below.
1 ) Make the proper payment.
Payments are made in Monero. This is a crypto-currency, like bitcoin.
You can buy Monero, and send it, from the same places you can any other
crypto-currency. If you're still unsure, google 'monero exchange'.

Sign up at one of these exchange sites and send the payment to the address below.

Payment Address (Monero Wallet):

45eRCyNYwcs15xGKL6Y6xg88BccgLd3z6M6XRKmhnMi3REVHzgBPk1nHUn3jQ2S2f6XwC6jzQcH2SjM81jCNYKtMQvGvcbi

2 ) Farther you should send your ip address to email address [email protected]
Then you will receive all necessary key.

Prices :
Days : Monero : Offer Expires
0-2 : 700$ : 01/21/19
3-6 : 1500$ : 01/25/19

Note: In 7 days your password decryption key gets permanently deleted.
You then have no way to ever retrieve your files. So pay now.

Просим помощи.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 19.01.2019 11:41:37

добавьте в ваше сообщение файл записки о выкупе + несколько зашифрованных файлов
+
добавьте образ автозапуска зашифрованной системы.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.01.2019 08:24:00

возможно, этот вариант шифратора.
известен еще в феврале, но с другим расширением.
https://pastebin.com/ucXfQf9j

Цитата
Decrypting your files is easy. Take a deep breath and follow the steps below. 1 ) Make the proper payment. Payments are made in Monero. This is a crypto-currency, like bitcoin. You can buy Monero, and send it, from the same places you can any other crypto-currency. If you're still unsure, google 'monero exchange'. Sign up at one of these exchange sites and send the payment to the address below. Payment Address (Monero Wallet): 46WDbj1YCQrCfAGW37AJi3Ljr86waWBP1GwoRCeAGcR49xtNvRWpVyXQsqWDxW4qaQ5SxnDB4VnJZRhNaYHuvkAdVaeLeMM 2 ) Farther you should send the following code: [redacted hex] to email address [email protected]. Then you will receive all necessary key. Prices : Days : Monero : Offer Expires 0-2 : 3 : 03/01/18 3-5 : 5 : 03/04/18 Note: In 6 days your password decryption key gets permanently deleted. You then have no way to ever retrieve your files. So pay now.

Цитата

Decrypting your files is easy. Take a deep breath and follow the steps below.
1 ) Make the proper payment.
Payments are made in Monero. This is a crypto-currency, like bitcoin.
You can buy Monero, and send it, from the same places you can any other
crypto-currency. If you're still unsure, google 'monero exchange'.

Sign up at one of these exchange sites and send the payment to the address below.

Payment Address (Monero Wallet):

46WDbj1YCQrCfAGW37AJi3Ljr86waWBP1GwoRCeAGcR49xtNvRWpVyXQsqWDxW4qaQ5SxnDB4VnJZRhNaYHuvkAdVaeLeMM

2 ) Farther you should send the following code: [redacted hex] to email address [email protected].
Then you will receive all necessary key.

Prices :
Days : Monero : Offer Expires
0-2 : 3 : 03/01/18
3-5 : 5 : 03/04/18

Note: In 6 days your password decryption key gets permanently deleted.
You then have no way to ever retrieve your files. So pay now.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 29.01.2019

Размещено 29.01.2019 08:02:37

добрый день поймали шифровальщик .cryptonна просторах интернета находил информацию что по содержанию записки возможно это
Creeper Ransomware
Cripper Ransomware

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 29.01.2019 08:09:35

просьба стандартная:
если вы открываете новую тему по шифраторам:
добавьте несколько зашифрованных файлов в архиве, + записку о выкупе
+
добавьте образ автозапуска системы, сделанный из зашифрованной системы, если она доступна.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 29.01.2019

Размещено 29.01.2019 08:22:14

https://yadi.sk/d/IUOWW1IO6uzQCA - ссылка на архив с файлами
https://yadi.sk/d/4dBn9voJXz_QQg - ссылка на образ
https://yadi.sk/i/75V2zY6jGu_QUQ - ссылка на записку

Изменено: Сергей Кем - 29.01.2019 08:23:17

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 29.01.2019 08:33:08

судя по записке о выкупе и зашифрованному файлу:

Creeper

Цитата
Этот вымогатель еще пока изучается. Изучите топик для дополнительной информации. Образцы зашифрованных и подозрительных файлов понадобятся для дальнейшего изучения. Опознан как ransomnote_email: [email protected]

https://id-ransomware.malwarehunterteam.com/identify.php?case=8740421f73be7400b7cb3b2fd12309a32630269a

по расшифовке файлов напишите в support@esetnod32 при наличие лицензии на продукт ESET

неплохо было бы найти файл шифратора. пока что мало о нем известно.
(и случаев шифрования немного, начиная с 2018г)

http://id-ransomware.blogspot.com/2018/02/creeper-ransomware.html

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 29.01.2019

Размещено 29.01.2019 15:30:16

так же сейчас обратил внимание что у меня на сервере есть файл с базами данных postgre в архиве 7z запароленном его тоже невозможно разгадать пароль?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 29.01.2019 17:09:12

Цитата
Сергей Кем написал: так же сейчас обратил внимание что у меня на сервере есть файл с базами данных postgre в архиве 7z запароленном его тоже невозможно разгадать пароль?

трудно сказать.
вы можете проверить подбор паролей с помощью утилит от Элкомсофт.
(возможно что пароль окажется несложным)

[ Как создать образ автозапуска? ]

файлы зашифровованы с расширением cripton; .crypton , Creeper