Форум esetnod32.ru [тема: файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu] http://forum.esetnod32.ru Новое в теме файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Mon, 27 Apr 2026 14:34:26 +0300 файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Чтобы защитить себя от Crysis (или от любых шифраторов), важно, чтобы вы использовали правила безопасности и надежное программное обеспечение для обеспечения безопасности. Прежде всего, вы всегда должны иметь надежную и проверенную резервную копию своих данных, которая может быть восстановлена ​​в случае возникновения чрезвычайной ситуации, например, при атаках шифраторов.

Вы также должны иметь программное обеспечение безопасности, которое содержит функции поведенческие обнаружения атаки шифраторов.

убедитесь, что вы выполняете правила безопасной работы в Интернете, которые во многих случаях являются наиболее важными для всех:

Резервное копирование, резервное копирование, резервирование
Не открывайте вложения, если вы не знаете, кто их отправил.
Не открывайте вложения, пока не убедитесь, что человек действительно отправил вам их,
Сканирование вложений с помощью таких инструментов, как VirusTotal.
Убедитесь, что все обновления Windows установлены, как только они выходят! Также убедитесь, что вы обновили все программы, особенно Java, Flash и Adobe Reader. Более старые программы содержат уязвимости безопасности, которые обычно используются злоумышленниками. Поэтому важно обновлять их.
Убедитесь, что вы используете надежное программное обеспечение безопасности.
Используйте сложные пароли для учетных записей и никогда не используйте один и тот же пароль.
Если вы используете службы удаленного рабочего стола, не подключайте его напрямую к Интернету. Вместо этого сделать это доступным только через VPN.
необходимо ограничить доступ из внешней сети, разрешить доступ только с определенных IP,
необходимо настроить доступ к RDP, ограничить число попыток с неверным вводом паролей.
29.10.2018 17:40:54, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15018/message104856/ http://forum.esetnod32.ru/messages/forum35/topic15018/message104856/ Mon, 29 Oct 2018 17:40:54 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
по очистке системы:


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[WINDYHILL@COCK.LI].FUNNY
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[WINDYHILL@COCK.LI].FUNNY
delall %SystemDrive%\USERS\BATOVAE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[WINDYHILL@COCK.LI].FUNNY
delall %SystemDrive%\USERS\SMIRNOVAM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[WINDYHILL@COCK.LI].FUNNY
delall %SystemDrive%\USERS\GRYAZNOVAM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[WINDYHILL@COCK.LI].FUNNY
delall %SystemDrive%\USERS\1C8\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[WINDYHILL@COCK.LI].FUNNY
delall %SystemDrive%\USERS\1C8\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
zoo %SystemDrive%\USERS\1C8\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1N9M6V8_PAYLOAD.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Win32/Filecoder.Crysis.L 7

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1N9M6V8_PAYLOAD.EXE
zoo %Sys32%\1N9M6V8_PAYLOAD.EXE
chklst
delvir

apply

;-------------------------------------------------------------

QUIT
=============
без перезагрузки, пишем о старых и новых проблемах.
------------
по расшифровке не поможем.

на данный момент времени нет.
восстановление документов возможно из архивных копий.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
29.10.2018 17:31:13, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15018/message104855/ http://forum.esetnod32.ru/messages/forum35/topic15018/message104855/ Mon, 29 Oct 2018 17:31:13 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Остались-флешки шифрует, вот образ автозапуска
1CSERVER_2018-10-29_16-49-10_v4.1.1.7z
29.10.2018 17:02:32, Алексей Попович.]]> http://forum.esetnod32.ru/messages/forum35/topic15018/message104853/ http://forum.esetnod32.ru/messages/forum35/topic15018/message104853/ Mon, 29 Oct 2018 17:02:32 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Алексей Попович написал:
У меня сегодня аналогичная картина,правда я похоже поймал сам шифровальщик,
=============
добавьте образ автозапуска системы, возможно в системе еще остались файлы шифратора.
пока что можем помочь вам с очисткой системы

исполняемые файлы детектируем
https://www.virustotal.com/#/file/046af53654b1fb8e0d61515a2f660b6f985c0ccb86e278a227dbd7­32577e43b4/detection
https://www.virustotal.com/#/file/3da3b704547f6f4a1497107e78856d434a408306b92ba7c6e270c7­c9790aa576/detection
анализ на hybrid-analysis.com
https://www.hybrid-analysis.com/sample/046af53654b1fb8e0d61515a2f660b6f985c0ccb86e278a22­7dbd732577e43b4/5bd70f247ca3e13393507146
29.10.2018 16:38:29, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15018/message104852/ http://forum.esetnod32.ru/messages/forum35/topic15018/message104852/ Mon, 29 Oct 2018 16:38:29 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
У меня сегодня аналогичная картина,правда я похоже поймал сам шифровальщик,весь комплект файлов в архиве,так что открывать осторожно,может на основе их и получиться дешифровщик,еще есть зашифрованный файл и оригинал,то же пришлю
pack.rar
FILES ENCRYPTED.txt
29.10.2018 15:53:17, Алексей Попович.]]> http://forum.esetnod32.ru/messages/forum35/topic15018/message104851/ http://forum.esetnod32.ru/messages/forum35/topic15018/message104851/ Mon, 29 Oct 2018 15:53:17 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
viktor solodkiy написал:
В автозапуске был info.hta .
=============

Crysis/Dharma


====quote====
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   sample_bytes: [0x12A020 - 0x12A060] 0x00000000020000000CFE7A410000000000000000000000002000000000000000
   custom_rule: Original filename "dao360.dll" after filemarker

=============
https://id-ransomware.malwarehunterteam.com/identify.php?case=03ac7878487f60fd2f205c4da5d29b897885899b

@viktor solodkiy,
нужен образ автозапуска, возможно  в системе (или в карантине антивируса) сохранилось тело файла шифратора.
19.10.2018 11:45:27, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15018/message104756/ http://forum.esetnod32.ru/messages/forum35/topic15018/message104756/ Fri, 19 Oct 2018 11:45:27 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
да, это Crysis


====quote====
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   sample_bytes: [0x5460 - 0x54A0] 0x00000000020000000CFE7A410000000000000000000000002000000000000000
   custom_rule: Original filename "Port3NaPochtu.epf" after filemarker

=============
https://id-ransomware.malwarehunterteam.com/identify.php?case=5074e348aa45084830f06eb837a971236bb082f8

ESET обычно реагирует на файлы записок о выкупе,
https://www.virustotal.com/#/file-analysis/Y2M1NjM0NmFmYWVhZDFmNzdhZmU5NzkzYTY2MDZlNjI6MTUzOTk­zODM4NA==
в данном случае такая реакция:
ESET-NOD32: Win32/Filecoder.Crysis
19.10.2018 11:40:58, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15018/message104754/ http://forum.esetnod32.ru/messages/forum35/topic15018/message104754/ Fri, 19 Oct 2018 11:40:58 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
В автозапуске был info.hta .
funny.7z
19.10.2018 11:35:48, viktor solodkiy.]]> http://forum.esetnod32.ru/messages/forum35/topic15018/message104753/ http://forum.esetnod32.ru/messages/forum35/topic15018/message104753/ Fri, 19 Oct 2018 11:35:48 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Вот эти файлы
FILES ENCRYPTED.txt
Info.zip
19.10.2018 11:23:24, Артем а.]]> http://forum.esetnod32.ru/messages/forum35/topic15018/message104752/ http://forum.esetnod32.ru/messages/forum35/topic15018/message104752/ Fri, 19 Oct 2018 11:23:24 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
@Артем а,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-8ADB6DDA.[WINDYHILL@COCK.LI].FUNNY
apply

regt 27
deltmp
;-------------------------------------------------------------

quit
=============
без перезагрузки, пишем о старых и новых проблемах.
------------
19.10.2018 09:52:20, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15018/message104748/ http://forum.esetnod32.ru/messages/forum35/topic15018/message104748/ Fri, 19 Oct 2018 09:52:20 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
@Артем а,
судя по наличию файла info.hta, по идентификатору, добавленному в заголовок зашифрованного файла,
а так же потому, что в конце файла добавлено имя оригинального файла,
(например, Port3NaPochtu.epf)
это свежий вариант Crysis, без расшифровки получается на данный момент.
активного шифрования уже нет, чуть позже напишу скрипт очистки.

посмотрите в системе, есть ли такие файлы:

FILES ENCRYPTED.txt

если есть такой файл, добавьте так же его в сообщение на форуме.
+
этот файл так же добавьте во вложение сообщения

C:\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA



====quote====
Полное имя                  C:\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA
Имя файла                   INFO.HTA
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      13916 байт
Создан                      17.10.2018 в 09:12:20
Изменен                     18.10.2018 в 12:53:11
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\MSHTA.EXE
SHA1                        E12E090BEEA1ECF54CC107A068B44470DCDD2A6C
MD5                         4B4032E5295129C3B4B2AB652E0D511B
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1650623945-3038832851-789751919-1007\Software\Microsoft\Windows\CurrentVersion\Run\C:\Users\Director\AppData\Roaming\Info.hta
C:\Users\Director\AppData\Roaming\Info.htamshta.exe "C:\Users\Director\AppData\Roaming\Info.hta"
                           

=============


эти файлы: FILES ENCRYPTED.txt и Info.hta нужны для точной идентификации типа шифратора, которым зашифрованы ваши файлы
19.10.2018 09:25:58, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15018/message104745/ http://forum.esetnod32.ru/messages/forum35/topic15018/message104745/ Fri, 19 Oct 2018 09:25:58 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
У меня вчера произошла такая же ситуация. Trojan.Encoder.3953 файлы с расширением id-8ADB6DDA.[WindyHill@cock.li].FUNNY. Если будет полезно выслал файлы как по вашей инструкции
encoder3953.zip
19.10.2018 09:11:10, Артем а.]]> http://forum.esetnod32.ru/messages/forum35/topic15018/message104744/ http://forum.esetnod32.ru/messages/forum35/topic15018/message104744/ Fri, 19 Oct 2018 09:11:10 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
@viktor solodkiy,

добавьте образ автозапуска системы, в которой был запущен шифратор.
+
добавьте несколько зашифованных файлов и записку о выкупе. (можно предварительно поместить их в архивный файл)

возможно это вариант шифратора Crysis.
18.10.2018 13:10:40, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15018/message104741/ http://forum.esetnod32.ru/messages/forum35/topic15018/message104741/ Thu, 18 Oct 2018 13:10:40 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu Filecoder.Crysis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Попал в сеть через открытый порт MSSQL . брутфорсом подобрал логин\пароль для пользовательской учетки на КД. Закинул файлик который просканил шары по сети и пошифровал все. теперь файл который был раньше  к примеру doc.txt стал doc.txt.id-9E6AA720.[WildMouse@cock.li].FUNNY  .



==================
добавьте на форум в ваше сообщение несколько зашифрованных документов + записку о выкупе.

расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: .FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu
на данный момент времени нет.
восстановление документов возможно из архивных копий.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
18.10.2018 11:26:46, viktor solodkiy.]]> http://forum.esetnod32.ru/messages/forum35/topic15018/message104738/ http://forum.esetnod32.ru/messages/forum35/topic15018/message104738/ Thu, 18 Oct 2018 11:26:46 +0300 Шифровальщики файлов и подбор дешифраторов