Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da , Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

RSS

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.04.2019 12:20:40

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day

Цитата

.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[ Как создать образ автозапуска? ]

Ответы

Пред. 1 2 3 4 5 6 ... 8 След.

Сообщений: 5

Баллов: 2

Регистрация: 31.10.2019

Размещено 01.11.2019 09:57:58

Цитата
зашифровано шифратором Crysis добавьте образ автозапуска зашифрованной системы, возможно в системе остались тела шифратора.

На той учетной записи, через которую зашли, я сменил пароль и отключил, вероятное тело шифратора я нашёл и поместил в зип-папку. Новые файлы, которые создаются сейчас, не шифрутся. По логам изменения файлов через Etherything я смотрел, активность шифратор закончилась.
Если я сделаю образ автозапуска системы через учетку Администратора, а не взломанной, Вам подойдёт такой образ?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 01.11.2019 11:15:45

Цитата
Петр Петрович написал: Если я сделаю образ автозапуска системы через учетку Администратора, а не взломанной, Вам подойдёт такой образ?

да, подойдет.

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 31.10.2019

Размещено 01.11.2019 13:44:53

Образ.

Прикрепленные файлы

SRV_2019-11-01_12-14-59_v4.1.8.7z (447.3 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 03.11.2019 03:42:58

активности шифратора нет, но майнеры активны и в автозапуске.

Цитата
Петр Петрович написал: Образ.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.0 v400c OFFSGNSAVE zoo %SystemDrive%\USERS\SCAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1SQB.ZIP regt 26 regt 25 ;------------------------autoscript--------------------------- zoo %SystemDrive%\PROGRAMDATA\WINHOST.EXE addsgn 1A367F9A5583338CF42B95BC68285505D7FFFE044A08F6D284C3C5E9DB3A9A41DC62CBBF5B709F49720544EB49E93CF295E14B73558335EC5991F9EC447B2A8C 8 Win32/CoinMiner.BIW 7 zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\LASS.EXE addsgn 71007B5D5032F6380BD4AEB164202C50238A7F32851349847A3C552CC046E1DC769E260068061EA5374780BB46B601FA82CA40A41FDA33C029F2645BB48FE1B4 8 Win32/CoinMiner.AQO 7 zoo %SystemDrive%\USERS\KWL\DESKTOP\JAVAL.EXE zoo %SystemDrive%\USERS\SCAN\DESKTOP\1SQB.EXE addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Win32/Filecoder.Crysis.L 7 chklst delvir delref %SystemDrive%\USERS\SCAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-7966CC04.[[email protected] ].HARMA delref %SystemDrive%\USERS\SCAN\APPDATA\ROAMING\1SQB.EXE delref %SystemDrive%\USERS\SCAN\APPDATA\ROAMING\INFO.HTA apply deltmp ;------------------------------------------------------------- czoo QUIT

Код

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\SCAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1SQB.ZIP
regt 26
regt 25
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAMDATA\WINHOST.EXE
addsgn 1A367F9A5583338CF42B95BC68285505D7FFFE044A08F6D284C3C5E9DB3A9A41DC62CBBF5B709F49720544EB49E93CF295E14B73558335EC5991F9EC447B2A8C 8 Win32/CoinMiner.BIW 7

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\LASS.EXE
addsgn 71007B5D5032F6380BD4AEB164202C50238A7F32851349847A3C552CC046E1DC769E260068061EA5374780BB46B601FA82CA40A41FDA33C029F2645BB48FE1B4 8 Win32/CoinMiner.AQO 7

zoo %SystemDrive%\USERS\KWL\DESKTOP\JAVAL.EXE
zoo %SystemDrive%\USERS\SCAN\DESKTOP\1SQB.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Win32/Filecoder.Crysis.L 7

chklst
delvir

delref %SystemDrive%\USERS\SCAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-7966CC04.[[email protected] ].HARMA
delref %SystemDrive%\USERS\SCAN\APPDATA\ROAMING\1SQB.EXE
delref %SystemDrive%\USERS\SCAN\APPDATA\ROAMING\INFO.HTA
apply

deltmp
;-------------------------------------------------------------

czoo

QUIT

без перезагрузки, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) отправить в почту [email protected]

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 05.11.2019

Размещено 05.11.2019 14:20:49

Здравствуйте! Помогите...

Прикрепленные файлы

IKT_2019-11-05_13-54-39_v4.1.8.7z (450.78 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.11.2019 16:54:51

Цитата
Roman Shabalkin написал: Здравствуйте! Помогите...

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v4.1.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.2 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delall %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA delall %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\INFO.HTA delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[[email protected]].HARMA delall %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[[email protected]].HARMA delall %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[[email protected]].HARMA delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[[email protected]].HARMA zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\L033J6_PAYLOAD.EXE addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Win32/Filecoder.Crysis.L 7 zoo %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\L033J6_PAYLOAD.EXE zoo %Sys32%\L033J6_PAYLOAD.EXE zoo %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\L033J6_PAYLOAD.EXE zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\L033J6_PAYLOAD.EXE chklst delvir apply ;------------------------------------------------------------- QUIT

Код


;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[[email protected]].HARMA
delall %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[[email protected]].HARMA
delall %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[[email protected]].HARMA
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[[email protected]].HARMA
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\L033J6_PAYLOAD.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Win32/Filecoder.Crysis.L 7

zoo %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\L033J6_PAYLOAD.EXE
zoo %Sys32%\L033J6_PAYLOAD.EXE
zoo %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\L033J6_PAYLOAD.EXE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\L033J6_PAYLOAD.EXE
chklst
delvir

apply

;-------------------------------------------------------------

QUIT

без перезагрузки,
------------

по расшифровке документов не поможем, восстановить утраченные документы можно только из бэкапов.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 06.11.2019 07:37:16

Цитата
Петр Петрович написал: Образ.

судя по образу автозапуска на сервере не установлен антивирус.
А в ViPNet CSP нет модуля антивирусной защиты?
(судя по описанию - нет такого модуля,
ViPNet CSP 4.2 — российский криптопровайдер, сертифицированный ФСБ России как средство криптографической защиты информации (СКЗИ) и электронной подписи. )
данный шифратор хорошо (и длительное время) детектруется основными производителями антивирусов.
https://www.virustotal.com/gui/file/7336c55ff368c3b2d989840cb59b6fc91a0266a6eb4454cbfd6b494877d6390a/detection

Поэтому запуска шифратора возможен либо при отсутствие антивирусной защиты, либо при его отключении или удалении,
(в том числе и злоумышленниками)

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 21.01.2020

Размещено 21.01.2020 11:50:08

Сегодня тоже словили это дерьмо на серваке
O6QHIH_decrypt.exe.id-9C26D9B3.[[email protected]].harma
O6QHIH_payload.exe - был в загрузке
На вирустотал определяется как A Variant Of Win32/Filecoder.Crysis.P
На личном компе проверял этот файл. NOD Endpoint 5.0 с последними базами не определяет его как вирус!!! :evil: Т.е. я просматриваю файл, свойства, копирую - NOD молчит! С запуском файла рисковать не стал :D (Зато безобидные keygen-ы мочит на ура! Браво!)

Итак, шифратор стартанул в 3 утра по мск, и проработал до 6 утра (судя по FILES ENCRYPTED.txt)
Итог его работы: зашифровал только файлы в папках которые были расшарены по локальной сети.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.01.2020 12:09:53

Цитата
i Savage написал: Сегодня тоже словили это дерьмо на сервакеO6QHIH_decrypt.exe.id-9C26D9B3.[ [email protected] ].harmaO6QHIH_payload.exe - был в загрузкеНа вирустотал определяется как A Variant Of Win32/Filecoder.Crysis.P

добавьте образ автозапуска системы, где произошло шифрование, возможно в системе остались еще файлы шифратора.

по версиям. Версия 5ndpoint уже устарела, переходите на актуальную версию 7Endpoint или 7FileSecurity для серверов.

5.x 29-May-12 5.0.2272.7 2018-05-22 Basic Support End of Life Dec 2020

https://support.eset.com/en/is-my-eset-product-supported-eset-end-of-life-policy-business-products
+
это прочтите к сведению
(Пришло время отключить доступ к RDP из интернета )
https://forum.esetnod32.ru/forum9/topic15582/

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 21.01.2020

Размещено 21.01.2020 14:10:58

santy, да я уже почистил хвосты в автозагрузке и в системе

PS: По поводу версий спорить и флудить я не стану ;)
Даже самая последняя версия + свежие базы = нет гарантий от шифровальщиков. Ну не успевает он отловить ДО его работы...

Пред. 1 2 3 4 5 6 ... 8 След.