Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da , Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

RSS
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.04.2019 12:20:40
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
[ Как создать образ автозапуска? ]

Ответы

Пред. 1 ... 4 5 6 7 8
 
UFC 3
UFC 3
Пользователь
Сообщений: 1
Регистрация: 22.09.2020
Размещено 22.09.2020 14:23:16
Добрый день заразились таким шифровальщиком может кто сталкивался уже

all your data has been locked us
You want to return?
Write email [email protected] or [email protected]

Файл
Изменено: UFC 3 - 23.09.2020 16:53:44
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.09.2020 15:49:41
Цитата
UFC 3 написал:
Добрый день заразились таким шифровальщиком может кто сталкивался уже
скорее всего,
это Crysis, расширение harma без возможности расшифровки
добавьте в архиве записки о выкупе: info.hta и FILES ENCRYPTED.txt
+
один из зашифрованных файлов

так же сделайте образ автозапуска зашифрованной системы,
http://forum.esetnod32.ru/forum9/topic2687/
возможно файлы шифратора сохранились в системе и еще активны
[ Как создать образ автозапуска? ]
 
Юрий Никитин
Юрий Никитин
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 02.02.2021
Размещено 02.02.2021 13:16:14
Вирус .harma
Восстановил из roaming исполняемую часть. Во вложении.
Есть ли варианты что-то сделать?
 
Юрий Никитин
Юрий Никитин
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 02.02.2021
Размещено 02.02.2021 13:18:14
Дополнение.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 02.02.2021 14:59:58
Цитата
Юрий Никитин написал:
Дополнение.
добавьте в архиве несколько зашифрованных файлов.
по проверке системы помощь нужна?

по расшифровке файлов пока нет возможности, до тех пор, пока приватные ключи не будут в доступе для антивирусных компаний.
(недавний случай с шифратором FONIX, и ранее по другим: Teslacrypt, GandCrab, Ransom.Shade, AESNI, ~xdata, PEtya Ransomware и другие, показывают, что иногда злоумышленники возвращают  приватные ключи с тем, чтобы была возможность восстановить зашифрованные файлы)
[ Как создать образ автозапуска? ]
 
Юрий Никитин
Юрий Никитин
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 02.02.2021
Размещено 02.02.2021 16:05:35
Тут.
В инфо просто текст или открытый ключ тоже?
 
Юрий Никитин
Юрий Никитин
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 02.02.2021
Размещено 02.02.2021 16:06:25
По какому параметру можно поискать приват ключ?

Систему планируем снести к чертям и базы если дешифруют переносить миграцией с 1с на случай если прицепят что-то.
Изменено: Юрий Никитин - 02.02.2021 16:14:59
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 02.02.2021 16:23:35
Цитата
Юрий Никитин написал:
Тут.
В инфо просто текст или открытый ключ тоже?
в инфо просто текст, и идентификатор вашего ключа. расшифровка без приватного ключа, который есть только у злоумышленников в наст время невозможна. выкуп не рекомендую платить за ключ, могут просто не предоставить ключ после оплаты,
тем более, что те кто стоит за распространением harma уже известны, как "недобросовестные злоумышленники".
не выполняют своих обязательств после оплаты за ключ.

сохраните важные зашифрованные файлы на отдельный носитель на хранение до лучших времен, когда они наступят.
если в сеть выложат приватные ключи. по crysis это было несколько лет назад, по первым версиям,
но затем, кто-то перехватил проект, и более ключей нет в доступе. а варианты плодятся 10-ками каждый месяц.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 02.02.2021 16:25:27
Цитата
Юрий Никитин написал:
По какому параметру можно поискать приват ключ?

Систему планируем снести к чертям и базы если дешифруют переносить миграцией с 1с на случай если прицепят что-то.

рекомендации по защите серверной системы от взломов по RDP смотрите выше.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 4 5 6 7 8
Читают тему