Форум esetnod32.ru [тема: файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB;] http://forum.esetnod32.ru Новое в теме файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 16 Apr 2026 09:35:23 +0300 файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
по Crysis пока движения нет. Новые варианты расширений появляются регулярно, десятками в течение месяца, расшифровки нет уже в течение 3 лет.
29.04.2020 03:01:42, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108954/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108954/ Wed, 29 Apr 2020 03:01:42 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
Евгений,
сделайте образ автозапуска системы,
возможно, что файлы шифратора еще активны в системе.
+
добавьте во вложение несколько зашифрованных файлов и записку о выкупе (info.hta, FILES ENCRYPTED.txt),
лучше все упаковать в архив.
прежде чем приступить к восстановлению документов и приложений, необходимо будет проверить и очистить систему от файлов шифратора.
=============
Заражённый комп, вместе с зашифрованными локальными файлами мы уже грохнули (предварительно сохранив все логи, несколько файлов и пр.) Пароль к архивам: infected
Проблема сейчас в том, что у нас осталось около 1Тб зашифрованных файлов на NAS хранилище, на котором были расшарены папки для компа, который был атакован.
Записка http://joxi.ru/12M3WJBF0n6zBr она же есть и в файле FILES ENCRYPTED.txt
Filecoder.7z
Crypted (1).7z
28.04.2020 14:52:38, Евгений Бычков.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108950/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108950/ Tue, 28 Apr 2020 14:52:38 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
как был получен доступ к вашему компьютеру?
Kostya (S-1-5-21-634283673-3470961786-1386641149-1000 - Administrator - Enabled) => C:\Users\Kostya
сменит пароль администратора, возможно был взломан пароль от данной учетной записи.
14.04.2020 11:45:15, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108843/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108843/ Tue, 14 Apr 2020 11:45:15 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
файлы шифратора к сожалению не остались.
Fixlog.txt
14.04.2020 05:49:45, Константин Дубовицкий.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108839/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108839/ Tue, 14 Apr 2020 05:49:45 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
так же примите меры безопасности по защите вашего ПК

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
13.04.2020 18:14:02, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108838/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108838/ Mon, 13 Apr 2020 18:14:02 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
по очистке в FRST выполните:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

====code==== 
HKU\S-1-5-21-1337099864-1586314783-2463288544-1109\...\MountPoints2: {c5ed6c88-dca7-11e8-81e5-9c5c8ecd9193} - F:\startme.exe
HKU\S-1-5-18\...\Run: [] => [X]
Startup: C:\Users\Kostya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MEGAsync.lnk.id-960F735F.[dayonpay@aol.com].DOP [2020-04-11]
Startup: C:\Users\Kostya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mozilla Thunderbird.lnk.id-960F735F.[dayonpay@aol.com].DOP [2020-04-11]
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
2020-04-11 17:18 - 2020-04-11 17:18 - 000007210 _____ C:\Windows\system32\Info.hta
2020-04-11 17:18 - 2020-04-11 17:18 - 000007210 _____ C:\Users\kostya.GOU\AppData\Roaming\Info.hta
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\Users\kostya.GOU\Desktop\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000007210 _____ () C:\Users\kostya.GOU\AppData\Roaming\Info.hta
=============
----------------------
если сохранились файлы шифратора в карантине антивируса, добавьте файлы в архив с паролем infected и вышлите в почту safety@chklst.ru
(или загрузите на этот сайт для анализа, разрешите доступ к файлу и дайте ссылку на результат анализа)
https://www.hybrid-analysis.com/

по расшифровке файлов к сожалению помочь не сможем. нет расшифровки для последних версий Crysis (уже в течение нескольких лет).

восстановить документы возможно только из чистых архивных копий.
13.04.2020 18:10:17, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108837/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108837/ Mon, 13 Apr 2020 18:10:17 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Константин Дубовицкий написал:
вроде все сделал.
=============
да, судя по характерному маркеру в зашифрованном файле
00000000020000000CFE7A41000000000000000000000000200000000000­0000
а так же по шаблону имени зашифрованного файла и записке о выкупе FILES ENCRYPTED.txt
это Crysis/Dharma - новый вариант с расширением .dop
https://id-ransomware.malwarehunterteam.com/identify.php?case=f961513a5506d3922bd0bdbf2c16437a0b591f0d

образ автозапуска и FRST сейчас посмотрю.

активного шифрования в системе уже нет, файлы шифратора скорее всего уже зачищены, и лежат в карантинах антивирусов.

по очистке системы в uVS выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-960F735F.[DAYONPAY@AOL.COM].DOP
delall %SystemDrive%\USERS\KOSTYA.GOU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-960F735F.[DAYONPAY@AOL.COM].DOP
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://UTORRENT.COM/PRODNEWS?UID=UE1-71CA653C51E74B00A7E63535812D83D6&SID=&V=3%2E5%2E5%2E1%2E45628
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOMEKMIDLODGLBBMALCNEEGIEACBDMKI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
apply

QUIT
=============
без перезагрузки, пишем о старых и новых проблемах.
------------
13.04.2020 17:53:33, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108836/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108836/ Mon, 13 Apr 2020 17:53:33 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
вроде все сделал.
данные.zip
13.04.2020 16:40:59, Константин Дубовицкий.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108835/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108835/ Mon, 13 Apr 2020 16:40:59 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Константин,
на первый взгляд похоже но новый вариант Crysis

добавьте несколько зашифрованных файлов+ файл записки о выкупе в архиве в ваше сообщение
+
добавьте образ автозапуска из зашифрованной системы, +
логи FRST
http://forum.esetnod32.ru/forum9/topic2798/

возможно там еще сохранились тела шифратора
13.04.2020 15:11:46, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108834/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108834/ Mon, 13 Apr 2020 15:11:46 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Поймали шифратор, все файлы зашифровались с рашинерением dop, файлы имеют вид -
имя_файла.txt.id-960F735F.[dayonpay@aol.com].DOP
ну и файл созданный текстовый файл с текстом:
all your data has been locked us
You want to return?
write email dayonpay@aol.com or dayonpay@goat.si

кто нить с таким уже сталкивался? можно ли дешифровать как то?
13.04.2020 13:11:10, Константин Дубовицкий.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108832/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108832/ Mon, 13 Apr 2020 13:11:10 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Евгений,
сделайте образ автозапуска системы,
возможно, что файлы шифратора еще активны в системе.
+
добавьте во вложение несколько зашифрованных файлов и записку о выкупе (info.hta, FILES ENCRYPTED.txt),
лучше все упаковать в архив.
прежде чем приступить к восстановлению документов и приложений, необходимо будет проверить и очистить систему от файлов шифратора.
04.04.2020 03:32:04, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108754/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108754/ Sat, 04 Apr 2020 03:32:04 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Сегодня случилась беда.
Комп в принципе никогда не выключается, включаю монитор, ввожу пароль, а там http://joxi.ru/12M3WJBF0n6zBr
Все файлы на компе и сетевом ресурсе (у меня NAS хранилище), зашифрованы следующим видом
Имя_файла.doc.id-********.[btckeys@aol.com].2020 у файла, соответственно, расширение 2020
Применимо ко всем файлам, любого расширения pdf, avi, mp3, lnk, xls и т.д.

При этом, заметил, что вирус отключает антивирус.
Включил антивирус, просканировал, кучу файлов FILES ENCRYPTED.txt
После перезагрузки компа, антивирус вновь оказался выключенным, а вирус запустил туже картинку, что указано в начале.

Кто сталкивался?
03.04.2020 23:49:51, Евгений Бычков.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108753/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108753/ Fri, 03 Apr 2020 23:49:51 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
если сохранилась копия данного файла (GHOST.exe), возможно в карантинах сканеров, вышлите в архиве с паролем infected в почту safety@chklst.ru
шифрование было
2020-03-23 18:43 - 2020-03-23 18:43 - 000000410 ___SH C:\Program Files\desktop.ini.id-D8235182.[coronavirus@foxmail.com].C-VIR
к сожалению,
расшифровка по Crysis возможна только для вариантов 2-3летней давности,
даже свежий вариант .ONION без расшифровки, хотя старая версия .onion 3летней давности успешно расшифровывается.

судя по логам, система уже очищена от файлов шифратора, но если не принять мер безопасности, то может быть повторный взлом доступа к серверу, и новое шифрование.
26.03.2020 18:45:51, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108706/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108706/ Thu, 26 Mar 2020 18:45:51 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день
Да на этом. Также в одном профиле с автозапуска удалил файл GHOST.exe или как то так  
FRST.txt
Addition.txt
26.03.2020 18:37:38, Александр Бидюк.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108705/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108705/ Thu, 26 Mar 2020 18:37:38 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
шифрование именно на этом сервере было? добавьте еще логи FRST
http://forum.esetnod32.ru/forum9/topic2798/

судя по маркеру в зашифрованном файле
00000000020000000CFE7A41000000000000000000000000200000000000­0000
действительно Crysis. вариант C-VIR, один из последних вариантов:

====quote====
'.C-VIR' - 'coronavirus@foxmail.com' - https://virustotal.com/gui/file/e71a13f032bd6703a25524d4b036bd7c2577c1a764de4cf­d0f97ab17ecc3fed3/
#CrySiS #Dharma #ransomware
=============
------------
расшифровки по данному варианту, а так же по всем указанным выше вариантам нет.
восстановить документы возможно только из бэкапов.
рекомендуем принять меры безопасности по защите вашего сервера, чтобы избежать повторного шифрования.
26.03.2020 18:23:45, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108704/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108704/ Thu, 26 Mar 2020 18:23:45 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Файлы во вложении
1C_2020-03-26_17-00-16_v4.1.8.7z
CVIR.zip
26.03.2020 18:14:26, Александр Бидюк.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108703/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108703/ Thu, 26 Mar 2020 18:14:26 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Александр Бидюк написал:
Добрый день
У меня такая же проблема. Можете помочь с расшифровкой?
=============
добавьте образ автозапуска,
возможно в системе еще остались файлы шифратора.
+
добавьте несколько зашифрованных файлов небольшого размера, лучше в архив,
и прикрепите к вашему сообщению
26.03.2020 16:25:37, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108702/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108702/ Thu, 26 Mar 2020 16:25:37 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день
У меня такая же проблема. Можете помочь с расшифровкой?
26.03.2020 15:40:51, Александр Бидюк.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108701/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108701/ Thu, 26 Mar 2020 15:40:51 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
ZOO %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\USERS\BUH11\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\USERS\BUH5\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\USERS\BUH3\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[ONIONCRYPT@AOL.COM].ONION
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[ONIONCRYPT@AOL.COM].ONION
del %SystemDrive%\USERS\BUH11\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[ONIONCRYPT@AOL.COM].ONION
del %SystemDrive%\USERS\BUH7\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[ONIONCRYPT@AOL.COM].ONION
del %SystemDrive%\USERS\BUH5\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[ONIONCRYPT@AOL.COM].ONION
del %SystemDrive%\USERS\BUH3\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-E0BC160B.[ONIONCRYPT@AOL.COM].ONION
delall %SystemDrive%\USERS\BUH5\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\BUH3\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\BUH11\APPDATA\ROAMING\INFO.HTA
apply
CZOO
QUIT
=============
без перезагрузки, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправьте в почту safety@chklst.ru

------------
+
добавьте логи проверки в FRST,
может быть через FRST еще можно найти какие то хвосты от шифатора.
+
проверьте карантины антивирусов, или сканеров, возможно там что-то есть.
вы наверняка уже отсканировали систему с помощью DrWeb или kvrt
+
обратите внимание на рекомендации, которые добавлены в ваше сообщение,
атака может повториться через некоторое время. в том числе и другим шифратором
17.03.2020 10:28:54, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108582/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108582/ Tue, 17 Mar 2020 10:28:54 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Прикрепляю файл образа автозапуска, файлы шифратора не уверен что остались.
T-RSS2_2020-03-17_09-36-02_v4.1.8.7z
17.03.2020 09:46:20, Александр Захаров.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108581/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108581/ Tue, 17 Mar 2020 09:46:20 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Александр,
это скорее всего Crysis,с расширением .ONION
давно было шифрование?
если свежее, добавьте образ автозапуска чтобы проверить не остались ли активные файлы шифратора.
по расшифровке отвечу чуть позже. необходимо выполнить проверку ваших файлов.
---------
судя по характерному маркеру в зашифрованном файле
00000000020000000CFE7A41000000000000000000000000200000000000­0000
это Crysis/Dharma с расширением .ONION
скорее всего это свежее шифрование с другим мастер-ключом, а значит и без возможности расшифровки в текущее время,
потому что прежнее шифрование Crysis/Dharma/onion было 2-3 года назад.
(по старой версии .onion есть расшифровка, но в вашем случае расшифровка происходит с ошибкой.


====quote====
[2020.03.16 18:45:52.394] - Begin
[2020.03.16 18:45:52.395] -
[2020.03.16 18:45:52.396] - ....................................
[2020.03.16 18:45:52.397] - ..::::::::::::::::::....................
[2020.03.16 18:45:52.399] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
[2020.03.16 18:45:52.401] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.4.0
[2020.03.16 18:45:52.402] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: May 19 2017
[2020.03.16 18:45:52.404] - .::EE:::::::::::::SS:.EE..........TT......
[2020.03.16 18:45:52.405] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o.
[2020.03.16 18:45:52.406] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.
[2020.03.16 18:45:52.406] - ....................................
[2020.03.16 18:45:52.407] -
[2020.03.16 18:45:52.407] - --------------------------------------------------------------------------------
[2020.03.16 18:45:52.407] -
[2020.03.16 18:45:52.408] - INFO: OS: 6.1.7601 SP1
[2020.03.16 18:45:52.408] - INFO: Product Type: Workstation
[2020.03.16 18:45:52.409] - INFO: WoW64: True
[2020.03.16 18:45:52.409] - INFO: Machine guid: 22011111-391F-421D-B12F-55ABB662839B

[2020.03.16 18:45:52.410] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .onion, .wallet

[2020.03.16 18:45:52.455] - INFO: Cleaning file [10\СМЕТА ПО ОТКРЫТОЙ СТОЯНКЕ НА 2020 ГОД.pdf.id-E0BC160B.[onioncrypt@aol.com].ONION]
[2020.03.16 18:45:52.456] - INFO: Can't get key for file.
[2020.03.16 18:45:52.457] - ERROR: Not cleaned.
[2020.03.16 18:45:52.458] - --------------------------------------------------------------------------------
[2020.03.16 18:45:52.459] - INFO: 6 infected files found.
[2020.03.16 18:45:52.460] - INFO: 0 file(s) cleaned.
[2020.03.16 18:46:09.523] - End
=============
-----------жду от Вас образ автозапуска системы, здесь в теме
и возможно если сохранились файлы шифратора можно отправить в архиве с паролем infected в почту
safety@chklst.ru
или загрузить для анализа на https://www.hybrid-analysis.com/
и дать в вашем сообщении линк проверки
16.03.2020 14:44:57, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108577/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108577/ Mon, 16 Mar 2020 14:44:57 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
День добрый!
На терминале подхватили шифровальщика, просьба помочь с расшифровкой файлов.


-----------
теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:


====quote====

  .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; .NEWS; wrar; 2NEW; .msh; .CU; .rajar; .blend; .WHY; .crown; .ncov; self; .PAY; .qbix; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB;
=============

rem.rar
16.03.2020 11:02:25, Александр Захаров.]]> http://forum.esetnod32.ru/messages/forum35/topic15792/message108576/ http://forum.esetnod32.ru/messages/forum35/topic15792/message108576/ Mon, 16 Mar 2020 11:02:25 +0300 Шифровальщики файлов и подбор дешифраторов