Форум esetnod32.ru [тема: файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer] http://forum.esetnod32.ru Новое в теме файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Tue, 21 Apr 2026 13:00:31 +0300 файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Vitamin Vit написал:
Аналогично, стал жертвой этого щифровальщика.
Так понимаю - новостей по дешифровке нет?

Получается, что какие-то московские чудики могут расшифровать мои файлы, значит ключ у кого-то есть. Возникает вопрос - а может быть эта контора причастна к этому вирусу, раз ни у кого нет ключей, а у них есть? И куда смотрят наши правоохранительные органы?
=============

на Crysis фронте пока без перемен.
ключи есть у злоумышленников. "эти чуваки" просто за ваши деньги берут у них ключ, и вам продают, + себе часть оставляют за труды.
03.05.2020 03:12:42, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message108981/ http://forum.esetnod32.ru/messages/forum35/topic15067/message108981/ Sun, 03 May 2020 03:12:42 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Аналогично, стал жертвой этого щифровальщика.
Так понимаю - новостей по дешифровке нет?

Получается, что какие-то московские чудики могут расшифровать мои файлы, значит ключ у кого-то есть. Возникает вопрос - а может быть эта контора причастна к этому вирусу, раз ни у кого нет ключей, а у них есть? И куда смотрят наши правоохранительные органы?
02.05.2020 23:56:35, Vitamin Vit.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message108980/ http://forum.esetnod32.ru/messages/forum35/topic15067/message108980/ Sat, 02 May 2020 23:56:35 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
добрый день!

имеет смысл проверить свойства зашифрованного файла на сетевом диске, чтобы определить под какой учетной записью было шифрование,
т.о. вы с большей вероятностью сможете определить какой из компьютеров был атакован.

то, что нет еще нигде записки о выкупе может означать, что либо шифрование локально еще не завершено, либо компутер, который был атакован был выключен.
добавлю, что Crysis прописывает свое тело в автозапуск, и после перезагрузки шифрование может возобновиться.
так же возможен случай, когда антивирус удаляет через время файл шифратора, поэтому можно проверить логи антивирусов.
Если у вас установлен сервер ERA или подобная консоль, например от Касперского, тогда надо смотреть логи  угроз через консоль управления.

можно так же выложить в архиве один из зашифрованных файлов. Пара не нужна - это не сработает для Crysis
надо ждать, когда злоумышленники выложат приватные ключи, тогда расшифровка станет возможной.
16.06.2019 14:17:55, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106800/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106800/ Sun, 16 Jun 2019 14:17:55 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

Добрый день!

Кажется, я тоже столкнулся с этой проблемой. Причём, что характерно, все компьютеры чистые (либо Win7/10 с антивирусами, либо Linux с ограниченными правами пользователя). Ни на одной из наших машин нет ни следов шифрования, ни подозрительной активности.

Зашифрован сетевой общий диск (сами идиоты, конечно, ACL не настроен). Текстовых файлов с требованиями выкупа нигде нет.

Есть смысл выложить сюда несколько примеров файлов «оригинал - зашифрованный»?


16.06.2019 12:18:51, Oleg Um2.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106799/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106799/ Sun, 16 Jun 2019 12:18:51 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Хорошо, спасибо, отложим зашифрованные файлы до лучших времен! А вдруг.....
23.05.2019 14:40:59, Денис Ковригин.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106689/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106689/ Thu, 23 May 2019 14:40:59 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Денис,
по очистке системы выполните скрипт.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 

;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6AC6E2EB.[VERACRYPT@FOXMAIL.COM].ADOBE
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
apply

QUIT
=============
без перезагрузки системы, пишем о старых и новых проблемах.
------------
К сожалению, вирлаб в текущий момент не может расшифровать файлы Crysis.adobe
восстановление документов возможно только из архивных копий.

чтобы избежать повторных атак с новым шифрованием примите следующие меры:

поменяйте пароли доступа к учетным записям на более сложный, возможно доступ к системе по RDP стал возможен через подбор пароля для одной из учетных записей.
разрешите доступ к рабочему столу через брэндмауэр из внешней сети, только для определенных ip-адресов.
поменяйте стандартный номер порта для службы RDP на произвольный
в локальных политиках поставьте ограничение на количество попыток неправильного ввода паролей с блокировкой чтобы избежать автоматического подбора паролей из внешней сети.
и главное,
не забываем сохранять копии важных документов в архивах на отдельном носителе, который периодически подключается для сохранения бэкапов и отключается после завершения создания нового бэкапа.
23.05.2019 09:44:57, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106687/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106687/ Thu, 23 May 2019 09:44:57 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Доброе Утро! Готово.
Desktop.rar
DC_2019-05-23_10-22-40_v4.1.5.7z
23.05.2019 08:37:44, Денис Ковригин.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106686/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106686/ Thu, 23 May 2019 08:37:44 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Денис,
добавьте образ автозапуска системы
+
несколько зашифрованных файлов в архиве
21.05.2019 19:26:34, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106677/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106677/ Tue, 21 May 2019 19:26:34 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день. Таже история. Файлы зашифровались с расширением *.adobe. На рабочем столе остался скрипт и батник, может поможет в расшифровке.
ADOBE.rar
21.05.2019 09:47:36, Денис Ковригин.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106676/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106676/ Tue, 21 May 2019 09:47:36 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
судя по скрину, установленный File Security работает нормально.
установите критические обновления системы,

A remote code execution vulnerability exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests.
An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
The update addresses the vulnerability by correcting how Remote Desktop Services handles connection requests.
-----------------
Уязвимость удаленного выполнения кода существует в службах удаленных рабочих столов, которые ранее назывались службами терминалов, когда злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы.
Злоумышленник, успешно воспользовавшийся этой уязвимостью, может выполнить произвольный код в целевой системе. Затем злоумышленник может установить программы; просматривать, изменять или удалять данные; или создать новые учетные записи с полными правами пользователя.
Это обновление устраняет уязвимость, исправляя способ, которым службы удаленных рабочих столов обрабатывают запросы на подключение.

Microsoft утверждает, что критическая уязвимость RDS, отслеживаемая как CVE-2019-0708, распространяется только на более старые версии поддержки (например, Windows 7, Windows Server 2008 R2 и Windows Server 2008)
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://www.bleepingcomputer.com/news/security/microsoft-fixes-critical-remote-desktop-flaw-blocks-worm-malware/
+
разрешите доступ к серверу только с доверенных внешних ip адресов

по расшифровке *.adobe не поможем.
нет расшифровки у вирлаба по этому варианту Crysis
16.05.2019 07:17:23, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106637/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106637/ Thu, 16 May 2019 07:17:23 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Весьма полезные советы. Благодарю
Данные по KVRT
Образ автозагрузки
Окно ESET
15.05.2019 16:10:35, Айдар Билалов.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106635/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106635/ Wed, 15 May 2019 16:10:35 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
судя по рисункам у вас новая версия ESET либо не активирована, либо какие то из модулей не работают.
проверьте, чтобы все модули работали корректно, и обновлялись антивирусные базы.
Используете ли ERAC для управления антивирусными клиентами?
+
если установка шифратора была через подключение по RDP, то скорее всего был взлом этой учетки,
C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-15E3731A.[VERACRYPT@FOXMAIL.COM].ADOBE

необходимо установить сложные пароли на эту и другие учетные записи
+
установите в политиках ограничение на число попыток при неверном вводе пароля.
+
необходимо установить актуальные обновления для серверной системы,
иначе возможен повторный взлом и новое шифрование с рабочего стола.
+
вопрос по детекту в KVRT: какой детект был по найденным и удаленным файлам?
15.05.2019 08:39:13, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106634/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106634/ Wed, 15 May 2019 08:39:13 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
выполнили скрипт, установили ПО, которое было задето вирусом упоминается ниже, далее произвелась переустановка антивируса на более позднюю версию(при установке возникла необходимость сначала удалить старый антивирус) произвелась перезагрузка, после антивирусом KVRT были обнаружены следующие вирусы, вложение (Вирусы в основном были обнаружены в папке, в которой производились изменения, а именно:  переустанавливалось ПО, которое было задето вирусом в первый раз)
также прикладываю вновь созданный образ автозапуска.  
15.05.2019 07:09:10, Айдар Билалов.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106633/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106633/ Wed, 15 May 2019 07:09:10 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
RP55 RP55 написал:
Айдар Билалов1) После завершения лечения Антивирус нужно обязательно обновить. ( и всегда следить за актуальностью версий )У вас: 4.5.12017.0Актуальная версия: 5   7
=============
имеет смысл перейти на актуальные версии ESET File Security, (6.5 или 7.0) поскольку поддержка версии 4.5 уже прекращена.

====code==== 
ESET File Security for Microsoft Windows Server
Version    Release Date    Latest build    Updated    Status    Next Status    Expected EOL
7.0    16-Aug-18    7.0.12018.0    29-Jan-19    Full Support    Limited Support    TBA
6.5    28-Feb-17    6.5.12018.0    28-Aug-18    Full Support    Limited Support    TBA
6.4    7-Sep-16    6.4.12004.0    30-Nov-16    Full Support    Limited Support    TBA
6.3    2-Mar-16    6.3.12006.0    19-May-16    Limited Support    Basic Support    TBA
6.2    25-Feb-15    6.2.12007.0    3-Sep-15    Limited Support    Basic Support    TBA
6.0    11-Dec-14    6.0.12035.0         Limited Support    Basic Support    TBA
5    N/A    N/A    N/A    N/A    N/A    N/A
4.5    7-Feb-12    4.5.12017.0    5-Aug-15    End of Life    End of Life     
4.3    18-Oct-11    4.3.12014         End of Life    End of Life    
=============

https://support.eset.com/kb3592/#efsw
14.05.2019 16:01:00, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106632/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106632/ Tue, 14 May 2019 16:01:00 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Айдар Билалов написал:
Доброго времени суток! Нужна ваша помощь!  
=============

по очистке системы:
(
в системе еще активен, скорее всего майнер (или агент), который прописан в автозапуск
192.168.2.42:64445 <-> 46.17.175.28:443
HKEY_USERS\S-1-5-21-3749085011-2254468566-2580908841-1001\Software\Microsoft\Windows\CurrentVersion\Run\Host Process for Windows Tasks
)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 

;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-15E3731A.[VERACRYPT@FOXMAIL.COM].ADOBE
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.7_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\SVCHOST.EXE
addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DA1CEEFD2BA42FC7062073 55 Trojan:Win32/Azden.A!cl [Microsoft] 7

chklst
delvir

;------------------------autoscript---------------------------

apply

deltmp
CZOO
QUIT
=============
без перезагрузки,
пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправьте в почту sendvirus2011@gmail.com, support@esetnod32.ru  

по расшифровке:
судя по детектированию зашифрованного файла на ID Ransomware (а так же по наличию записок о выкупе info.hta и FILES ENCRYPTED.txt), это все таки Crysis (не Phobos)


====quote====
Опознан как

   sample_extension: .id-<id>.[<email>].adobe
   ransomnote_email: veracrypt@foxmail.com
   sample_bytes: [0x9A0 - 0x9E0] 0x00000000020000000CFE7A410000000000000000000000002000000000000000
   custom_rule: Original filename "account.xml" after filemarker
=============
------------
https://id-ransomware.malwarehunterteam.com/identify.php?case=b6e833e5a843e5d7cc60b0291d3acb4790445a7b
вы можете добавить лог обнаружения угроз, чтобы видеть все реакции установленного антивируса.

с расшифровкой файлов не сможем помочь,
восстановление в вашем случае возможно только из архивных копий и бэкапов.
14.05.2019 15:48:00, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106631/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106631/ Tue, 14 May 2019 15:48:00 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Айдар Билалов

1) После завершения лечения Антивирус нужно обязательно обновить. ( и всегда следить за актуальностью версий )
У вас: 4.5.12017.0
Актуальная версия: 5 < > 7

2) По поводу лечения напишет: santy
14.05.2019 11:18:18, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106629/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106629/ Tue, 14 May 2019 11:18:18 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Доброго времени суток! Нужна ваша помощь! Вирус шифровальщик (.id-15E3731A.[veracrypt@foxmail.com].adobe) зашифровал файлы. Сначала определялся как Crysis после вывода из карантина для архивации на desktop начал определяться как Phobos. Было принято решение заархивировать  папку карантин и приложить
Образ автозапуска
Файлы из карантина
Зашифрованные файлы
Изображение ра. стола
14.05.2019 10:33:40, Айдар Билалов.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106628/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106628/ Tue, 14 May 2019 10:33:40 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
@Andrei Sverzh,

добавьте таки образ автозапуска для проверки системы.
(спасения файлов для этого варианта Crysis/Dharma c расширением *.adobe в настоящее время нет, спасение возможно только из бэкапов, или если теневые копии уцелели, что маловероятно).
22.04.2019 16:50:27, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106522/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106522/ Mon, 22 Apr 2019 16:50:27 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
есть ли спасение от данного шифровальщика? из системы вроде бы удалил, файлы не шифруются, но натворил делов не мало (((
151.pdf.id-2202D61C.[decryptprof@qq.com].zip
22.04.2019 16:46:32, Andrei Sverzh.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106521/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106521/ Mon, 22 Apr 2019 16:46:32 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
этот файл можно еще удалить вручную.
C:\USERS\1S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-787A4C75.[VERACRYPT@FOXMAIL.COM].ADOBE
более следов активности шифратора нет.
видимо прав не хватило.
мог бы прописаться еще и в system32, и тогда уже все пользователи столкнулись бы с активностью шифратора, при входе в терминальную сессию.
без препятствий, поскольку антивирусная защита отсутствует
21.03.2019 16:20:12, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106173/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106173/ Thu, 21 Mar 2019 16:20:12 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Спасибо. Очистку произвели. Новый образ https://www.sendspace.com/file/501d82
21.03.2019 14:53:50, Кирилл Иванов.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106172/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106172/ Thu, 21 Mar 2019 14:53:50 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
с расшифровкой помочь не получится по *.adobe, восстановление после Crysis.adobe возможно только c бэкапа.

по очистке системы выполните скрипт, т.к. в системе остались еще файлы шифратора.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.1.3 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
delall %SystemDrive%\USERS\1S\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\1S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
zoo %SystemDrive%\USERS\1S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1FLINT.EXE
addsgn A7679B72CD97B38D5617627DA804DEC97001109C89050AA83485C53715DE21B336DB72113E3D944D2B407B8A92A70FFA2D20FDAAE49CB071EEBB68E30BCAEEBF 8 email-gcaesar2@aol.com  7

zoo %SystemDrive%\USERS\1S\APPDATA\ROAMING\1FLINT.EXE
zoo %SystemDrive%\USERS\1S\DESKTOP\CLEARLOCK.EXE
addsgn 925277AA1C6AC1CC0B34584E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 OpenCandy.A [ESET-NOD32] 7

chklst
delvir

czoo
apply
QUIT
=============

без перезагрузки, пишем о старых и новых проблемах.

архив из каталога uVS (по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/7z)  отправить в почту safety@chklst.ru, sendvirus2011@gmail.com, support@esetnod32.ru  
------------
+
скорее всего, учетная запись users\1s  взломана,
необходимо установить сложный пароль.
Установите ограничение по кол-ву неверных попыток входа,
разрешите доступ по RDP к серверу, только с доверенных ip-адресов,
+
добавьте новый образ автозапуска для контроля.
21.03.2019 05:39:58, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106163/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106163/ Thu, 21 Mar 2019 05:39:58 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день.
Помогите расшифровать файлы вида *.id-787A4C75.[veracrypt@foxmail.com].adobe
Файл образа разместили тут: https://www.sendspace.com/file/ic6196
21.03.2019 03:46:56, Кирилл Иванов.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106162/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106162/ Thu, 21 Mar 2019 03:46:56 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
последняя дешифровка от вирлабов по Crysis была в мае 2017, два года назад.
благодаря тому, что были получены ключи по указанным ниже расширениям.


====quote====
[2017.05.19 19:18:43.577] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.4.0
[2017.05.19 19:18:43.577] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: May 19 2017
[2017.05.19 19:18:43.577] - .::EE:::::::::::::SS:.EE..........TT......
[2017.05.19 19:18:43.587] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o.
[2017.05.19 19:18:43.587] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.
[2017.05.19 19:18:43.587] - ....................................
[2017.05.19 19:18:43.587] -
[2017.05.19 19:18:43.587] - [2017.05.19 19:18:43.587] -
[2017.05.19 19:18:43.587] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .onion, .wallet
=============

список новых расширений без расшифровки внушителен, и продолжает расти.

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:


====quote====
   .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com

=============

Если вирлаб получит новые ключи, дешифратор будет обновлен, и предоставлен в доступ бесплатно для всех пострадавших за это время,
13.03.2019 18:46:48, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106096/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106096/ Wed, 13 Mar 2019 18:46:48 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Да знаю я все это. и бакапы у нас есть. Но факт остается фактом, у вас нет дешифратора.
13.03.2019 18:02:35, Тимур Абдусадыков.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106095/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106095/ Wed, 13 Mar 2019 18:02:35 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Тимур Абдусадыков написал:
А толку писать в вашу поддержку. У меня официальная лицензия и пользюсь вашим антивирусом уже много лет. А вот случилась проблема и вы помочь не смогли, нет у вас дешифратора.
=============
не вы один пострадали от этого шифратора. Crysis один из наиболее активных и распространенных шифраторов в мире. Чтобы обезопасить свои документы от атак шифратора, недостаточно иметь антивирусную защиту. Необходимо иметь всегда свежие бэкапы данных,
+
как защитить и обезопасить компьютер от атак вымогателей
https://chklst.ru/discussion/1579/kak-zaschitit-i-obezopasit-kompyuter-ot-vymogateley#latest
+
Что такое Dharma Ransomware и как защитить свой бизнес от этого
https://forum.esetnod32.ru/messages/forum35/topic11658/message105262/#message105262
13.03.2019 15:16:04, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106094/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106094/ Wed, 13 Mar 2019 15:16:04 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:

====quote====


=============
"пока" - это очень оптимистично,
ее может не быть никогда.
в любом случае, если вы пострадали от шифратора по данному списку,
обращайтесь в support@esetnod32.ru или support@eset.ua (какой к вам ближе),
при наличие   реальной лицензии   на продукт ESET
=============

А толку писать в вашу поддержку. У меня официальная лицензия и пользюсь вашим антивирусом уже много лет. А вот случилась проблема и вы помочь не смогли, нет у вас дешифратора.
13.03.2019 13:50:10, Тимур Абдусадыков.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message106093/ http://forum.esetnod32.ru/messages/forum35/topic15067/message106093/ Wed, 13 Mar 2019 13:50:10 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Никита Король написал:
"Добрый" день. Расшифровки пока нет?
=============
"пока" - это очень оптимистично,
ее может не быть никогда.
в любом случае, если вы пострадали от шифратора по данному списку,
обращайтесь в support@esetnod32.ru или support@eset.ua (какой к вам ближе),
при наличие реальной лицензии на продукт ESET
03.02.2019 15:47:04, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message105726/ http://forum.esetnod32.ru/messages/forum35/topic15067/message105726/ Sun, 03 Feb 2019 15:47:04 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
"Добрый" день. Расшифровки пока нет?
03.02.2019 13:27:56, Никита Король.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message105723/ http://forum.esetnod32.ru/messages/forum35/topic15067/message105723/ Sun, 03 Feb 2019 13:27:56 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer Filecoder.Crysis / Encoder.3953; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Похоже, пока нет.
14.01.2019 05:42:14, Андрей -.]]> http://forum.esetnod32.ru/messages/forum35/topic15067/message105489/ http://forum.esetnod32.ru/messages/forum35/topic15067/message105489/ Mon, 14 Jan 2019 05:42:14 +0300 Шифровальщики файлов и подбор дешифраторов