Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da , Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

RSS
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ответы

Пред. 1 ... 4 5 6 7 8
Добрый день заразились таким шифровальщиком может кто сталкивался уже

all your data has been locked us
You want to return?
Write email CryptorBTC@gmail.com or BTCcryptor@yahoo.com

Файл
Изменено: UFC 3 - 23.09.2020 16:53:44
Цитата
UFC 3 написал:
Добрый день заразились таким шифровальщиком может кто сталкивался уже
скорее всего,
это Crysis, расширение harma без возможности расшифровки
добавьте в архиве записки о выкупе: info.hta и FILES ENCRYPTED.txt
+
один из зашифрованных файлов

так же сделайте образ автозапуска зашифрованной системы,
http://forum.esetnod32.ru/forum9/topic2687/
возможно файлы шифратора сохранились в системе и еще активны
Вирус .harma
Восстановил из roaming исполняемую часть. Во вложении.
Есть ли варианты что-то сделать?
Дополнение.
Цитата
Юрий Никитин написал:
Дополнение.
добавьте в архиве несколько зашифрованных файлов.
по проверке системы помощь нужна?

по расшифровке файлов пока нет возможности, до тех пор, пока приватные ключи не будут в доступе для антивирусных компаний.
(недавний случай с шифратором FONIX, и ранее по другим: Teslacrypt, GandCrab, Ransom.Shade, AESNI, ~xdata, PEtya Ransomware и другие, показывают, что иногда злоумышленники возвращают  приватные ключи с тем, чтобы была возможность восстановить зашифрованные файлы)
Тут.
В инфо просто текст или открытый ключ тоже?
По какому параметру можно поискать приват ключ?

Систему планируем снести к чертям и базы если дешифруют переносить миграцией с 1с на случай если прицепят что-то.
Изменено: Юрий Никитин - 02.02.2021 16:14:59
Цитата
Юрий Никитин написал:
Тут.
В инфо просто текст или открытый ключ тоже?
в инфо просто текст, и идентификатор вашего ключа. расшифровка без приватного ключа, который есть только у злоумышленников в наст время невозможна. выкуп не рекомендую платить за ключ, могут просто не предоставить ключ после оплаты,
тем более, что те кто стоит за распространением harma уже известны, как "недобросовестные злоумышленники".
не выполняют своих обязательств после оплаты за ключ.

сохраните важные зашифрованные файлы на отдельный носитель на хранение до лучших времен, когда они наступят.
если в сеть выложат приватные ключи. по crysis это было несколько лет назад, по первым версиям,
но затем, кто-то перехватил проект, и более ключей нет в доступе. а варианты плодятся 10-ками каждый месяц.
Цитата
Юрий Никитин написал:
По какому параметру можно поискать приват ключ?

Систему планируем снести к чертям и базы если дешифруют переносить миграцией с 1с на случай если прицепят что-то.

рекомендации по защите серверной системы от взломов по RDP смотрите выше.
Пред. 1 ... 4 5 6 7 8
Читают тему (гостей: 1)