ESET CONNECT

[B]по Crysis появились новые варианты в январе:[/B]

New variant of #CrySiS / #Dharma - ".gif" extension - email "payadobe@yahoo.com" - https://www.virustotal.com/#/file/9ecc9ae378a335453d58fe44c95a8f5b40595b8a2e11eedfe86521­e6f61fdbc1/detection …

#CrySiS / #Dharma #ransomware - ".AUF" extension - "Decisivekey@tutanota.com" - https://www.virustotal.com/#/file/5280edad1dcecca9b0542556a775961bc620c31a06f2fe6383792a­6f300ed81e/detection …

#CrySiS/#Dharma #ransomware again and again: extensions ".USA" and ".xwx", extortion email addresses "usacode@aol.com" and "data@decoding.biz". https://www.virustotal.com/#/file/35ade951e0713f31cbdc4844ea0e7c8ffff795efd6ab7e8d22fad5­d3cf87ac0c/detection … https://www.virustotal.com/#/file/60f5a7aa2216c5688d56a59a0fe4e87320dd22f4606e2ad06dae04­69c952b965/detection …
+
".best" - 'bestdecoding@cock.li' - https://www.virustotal.com/#/file/73bf556b35606c9b9ea033d4e93f057e890698126b0cc8cb7b8560­4c3688434f/detection …


на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

[QUOTE] .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best[/QUOTE]

.USA вариант уже есть на российских форумах.

[QUOTE]Помогите в расшифровки файлов
Поймали сегодня ночью - все расшариные папки зашифровал
Расширение у файлов - id-1814CB43.[usacode@aol.com].USA[/QUOTE]
https://forum.kasperskyclub.ru/index.php?showtopic=61706

[QUOTE]Сергей З написал:
С кем связаться, чтобы решить вопрос для ящика " tapok@tuta.io "  т.к. я понима что приватные ключи и всё необходимое для расшифровки есть?[/QUOTE]
вы можете выполнить расшифровку исходя из известной вам информации, проверить ваши логические выводы и получить новые знания. (о возможности или не возможности расшифровки в вашем случае)
на форуме мы можем вам помочь с очисткой системы.

[QUOTE]Сергей З написал:
Спасибо!А с расшифрованием, что делать?Я смотрю что этот вирус стар. Были успехи?[/QUOTE]
по расшифровке, при наличие лицензии на продукт ESET напишите в support@esetnod32.ru

[QUOTE]Хиро Онода ( род. 19 марта 1922 года) — японский офицер, вошедший в историю благодаря тому, что воевал на Филиппинах спустя ещё 30 лет после того, как Вторая мировая война закончилась.[/QUOTE]
даже если версия шифратора стара, ничто не мешает ему продолжать шифрование незащищенных компьютеров.

добавьте образ автозапуска системы, поможем с очисткой системы.

возможно, этот вариант шифратора.
известен еще в феврале, но с другим расширением.
https://pastebin.com/ucXfQf9j

[QUOTE]Decrypting your files is easy. Take a deep breath and follow the steps below.
1 ) Make the proper payment.
Payments are made in Monero. This is a crypto-currency, like bitcoin.
You can buy Monero, and send it, from the same places you can any other
crypto-currency. If you're still unsure, google 'monero exchange'.

Sign up at one of these exchange sites and send the payment to the address below.

Payment Address (Monero Wallet):

46WDbj1YCQrCfAGW37AJi3Ljr86waWBP1GwoRCeAGcR49xtNvRWpVyXQsqWD­xW4qaQ5SxnDB4VnJZRhNaYHuvkAdVaeLeMM

2 ) Farther you should send the following code: [redacted hex] to email address skgrhk2018@tutanota.com.
Then you will receive all necessary key.

Prices :
Days : Monero : Offer Expires
0-2  : 3 : 03/01/18
3-5  : 5 : 03/04/18

Note: In 6 days your password decryption key gets permanently deleted.
You then have no way to ever retrieve your files. So pay now.
[/QUOTE]

выполните рекомендации по безопасной работе в сети
https://forum.esetnod32.ru/forum9/topic13764//

добавьте в ваше сообщение файл записки о выкупе + несколько зашифрованных файлов
+
добавьте образ автозапуска зашифрованной системы.

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

добавьте образ автозапуска

В каком именно браузере? в Chrome? проверьте как будет работать Chrome при отключенных расширениях. Отключайте по одному, пока не обнаружится источник проблемы.