Файлы зашифрованы с расширением .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun

Сообщений: 2

Баллов: 1

Регистрация: 01.02.2019

Размещено 01.02.2019 22:13:53

Здравствуйте, помогите расшифровать файлы все документы базы данных зашифрованы расширение .id-66947249.[[email protected]].usa

Прикрепленные файлы

update:

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love

Цитата

.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Прикрепленные файлы

arhive.zip (292.96 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 02.02.2019 04:38:05

@Андрей Власюк,
добавьте образ автозапуска из зашифрованнной системы,
возможно необходима очистка системы от тел шифратора

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 01.02.2019

Размещено 02.02.2019 17:07:14

Прикрепляю образ автозапуска

Прикрепленные файлы

COMP2_2019-02-02_15-45-35_v4.1.2.7z (596.78 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 02.02.2019 17:31:43

Цитата
Андрей Власюк написал: Прикрепляю образ автозапуска

система судя по образу уже очищена от файлов шифратора,
по расшифровке документов обращайтесь в техподдержку [email protected], или в [email protected],
при наличие реальной лицензии на продукт ESET

если сохранились файлы шифратора, (в карантине, или в почте), просьба заархивировать с паролем infected
и выслать в почту [email protected]
--------
или добавить исполняемый файл на https://www.hybrid-analysis.com/
с разрешением доступа к данному файлу.
и указать ссылку на доступ к этому файлу (можно в почту или в ЛС)

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 31.03.2019

Размещено 31.03.2019 23:31:01

Добрый день

Помогите расшифровать файлы, зашифроваль документы и базу данных

id-9CB21DBF.[[email protected]].stun

Спасибо

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 01.04.2019 04:35:49

@Andrei Balan ,
добавьте образ автозапуска системы,
возможно в системе остались еще файлы шифратора
+
добавьте несколько зашифрованных файлов в архиве

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 31.03.2019

Размещено 01.04.2019 08:47:56

Прикрепил

TS_2019-04-01_07-39-51_v4.1.3.7z
fdfdf.7z

Прикрепленные файлы

TS_2019-04-01_07-39-51_v4.1.3.7z (409.45 КБ)
fdfdf.7z (7.07 МБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 01.04.2019 08:58:17

расшифровки по вышеуказанным расширениям для Crysis в настоящее время нет,
восстанавливаем документы из архивных копий, потому что теневые копии так же удаляются после того как отработал Crysis
(если был запущен с правами администратора).

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-9CB21DBF.[[email protected]].STUN del %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-9CB21DBF.[[email protected]].STUN del %SystemDrive%\USERS\ADMINISTRATOR.COLUMNA\APPDATA\ROAMING\INFO.HTA del %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\INFO.HTA del %Sys32%\INFO.HTA zoo %Sys32%\1SVHOST.EXE addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Win32/Filecoder.Crysis.L 7 zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1SVHOST.EXE zoo %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\1SVHOST.EXE zoo %SystemDrive%\USERS\ADMINISTRATOR.COLUMNA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1SVHOST.EXE chklst delvir czoo QUIT

Код


;uVS v4.1.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-9CB21DBF.[[email protected]].STUN
del %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-9CB21DBF.[[email protected]].STUN
del %SystemDrive%\USERS\ADMINISTRATOR.COLUMNA\APPDATA\ROAMING\INFO.HTA
del %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\INFO.HTA
del %Sys32%\INFO.HTA
zoo %Sys32%\1SVHOST.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Win32/Filecoder.Crysis.L 7

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1SVHOST.EXE
zoo %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\1SVHOST.EXE
zoo %SystemDrive%\USERS\ADMINISTRATOR.COLUMNA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1SVHOST.EXE
chklst
delvir

czoo
QUIT

без перезагрузки системы, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) отправить в почту [email protected], [email protected], [email protected]
------------
+
добавьте новый образ автозапуска для контроля.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 31.03.2019

Размещено 01.04.2019 19:11:53

Отправил

Прикрепил

Прикрепленные файлы

TS_2019-04-01_18-08-54_v4.1.3.7z (392.82 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 01.04.2019 19:21:27

этот файл еще удалите:
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
активных файлов шифратора нет.
по расшифровке пока не поможем. Возможно, на bleepcomputer кто-то может восстановить большие базы данных.

[ Как создать образ автозапуска? ]

Файлы зашифрованы с расширением .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun , Filecoder.Crysis / Encoder.3953; r/n: info.hta