santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы в Cryakl CS 1.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.04.2020 04:01:05

Цитата
Olga Nazarova написал: Добрый вечер. Информация добавленная к названию файлов [CS 1.7.0.1][ [email protected]_sel1 ] все расширения состоят и случайного набора трех букв ОС linux, поэтому логи скорее всего не сможем предоставить. Просим помочь с расшифровкой, в том числе платно.

Цитата

Olga Nazarova написал:
Добрый вечер.
Информация добавленная к названию файлов
[CS 1.7.0.1][ [email protected]_sel1 ]
все расширения состоят и случайного набора трех букв
ОС linux, поэтому логи скорее всего не сможем предоставить.
Просим помочь с расшифровкой, в том числе платно.

добавьте пару зашифрованный - оригинальный файл (можно поместить в архив) к вашему сообщению
если сохранился файл шифратора, вышлите в почту [email protected] в архиве с паролем infected

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Защита почтового клиента не позволяет thunderbird работать.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.04.2020 14:27:22

кукую версию ESET NOD32 используете? корпоративный продукт или домашняя версия? есть ли централизованное управление продуктами ESET? ERA или ESET Security Management Center?
Какую версию thunderbird используете? IMAP/POP3?

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Невозможно установить программу NOD, Не устанавливается нод - При попытке запуска любой программы, получаю сообщение не удалось запустить приложение поскольку его параллельная конфигурация неправильна.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.04.2020 14:09:44

Светлана, добавьте образ автозапуска системы

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] "Атака сканирования портов TCP"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.04.2020 18:24:08

добавьте образ автозапуска системы

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .rhino, Rhino; r/n: info.hta/ReadMe_Decryptor.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.04.2020 15:13:07

эти файлы можно удалить:

Цитата
2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\Tasks\ReadMe_Decryptor.txt 2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\SysWOW64\ReadMe_Decryptor.txt 2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\ReadMe_Decryptor.txt 2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\Minidump\ReadMe_Decryptor.txt 2020-04-17 04:22 - 2020-04-17 06:04 - 000003336 _____ C:\Users\Актив\AppData\Roaming\Decryptor_Info.hta 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Актив2\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\USR1CV8\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\TLA\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\tern.lilia\Desktop\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\tern.lilia\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Public\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Default\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Default User\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\axa\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Aktiv\Downloads\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Aktiv\AppData\Local\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Downloads\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Documents\ReadMe_Decryptor.txt 2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Desktop\ReadMe_Decryptor.txt 2020-04-17 04:17 - 2020-04-17 04:17 - 000000676 _____ C:\Users\Admin\AppData\Local\ReadMe_Decryptor.txt

Цитата

2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\Tasks\ReadMe_Decryptor.txt
2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\SysWOW64\ReadMe_Decryptor.txt
2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\ReadMe_Decryptor.txt
2020-04-17 06:03 - 2020-04-17 06:03 - 000000676 _____ C:\Windows\Minidump\ReadMe_Decryptor.txt
2020-04-17 04:22 - 2020-04-17 06:04 - 000003336 _____ C:\Users\Актив\AppData\Roaming\Decryptor_Info.hta
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Актив2\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\USR1CV8\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\TLA\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\tern.lilia\Desktop\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\tern.lilia\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Public\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Default\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Default User\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\axa\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Aktiv\Downloads\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Aktiv\AppData\Local\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Downloads\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Documents\ReadMe_Decryptor.txt
2020-04-17 04:18 - 2020-04-17 04:18 - 000000676 _____ C:\Users\Admin\Desktop\ReadMe_Decryptor.txt
2020-04-17 04:17 - 2020-04-17 04:17 - 000000676 _____ C:\Users\Admin\AppData\Local\ReadMe_Decryptor.txt

пароль на учетную запись администратора, скорее всего взломан
Admin (S-1-5-21-106301158-734874134-3783394130-1000 - Administrator - Enabled) => C:\Users\Admin
необходимо сменить все пароли, установив сложные пароли из чисел, символов и букв.

по расшифровке, если есть лицензия на продукты ESET сделайте запрос на расшифровку в [email protected]

пока что восстановление возможно только из бэкапов.

детект rhino на IDRansomware
https://id-ransomware.malwarehunterteam.com/identify.php?case=e120eab6577b483cec23ba18c5b0957a18359439

Этот вымогатель еще пока изучается.

Цитата
Опознан как ransomnote_email: [email protected] sample_extension: .rhino

так же можно следить за этой темой
https://www.bleepingcomputer.com/forums/t/716961/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .rhino, Rhino; r/n: info.hta/ReadMe_Decryptor.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.04.2020 14:05:28

судя по маркеру внутри зашифрованного файла
Marvel
и электронной почте [[email protected]] + расширению .rhino
этот шифратор называется Rhino
свежий, апрелевский
https://id-ransomware.blogspot.com/2020/04/rhino-ransomware.html
ждем записку о выкупе и логи FRST

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .rhino, Rhino; r/n: info.hta/ReadMe_Decryptor.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.04.2020 14:00:03

Цитата
Петр Петрович написал: попался какой-то новый шифровальщик, зажал все документы. посмотрите, пожалуйста. приложил образ автозапуска и типовой заражённый файл.

это не Crysis, другой, неведомый(пока) шифратор.
Если есть записка о выкупе (info.hta), добавьте записку, + сделайте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB;, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2020 11:45:15

как был получен доступ к вашему компьютеру?
Kostya (S-1-5-21-634283673-3470961786-1386641149-1000 - Administrator - Enabled) => C:\Users\Kostya
сменит пароль администратора, возможно был взломан пароль от данной учетной записи.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2020 18:14:02

так же примите меры безопасности по защите вашего ПК

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2020 18:10:17

по очистке в FRST выполните:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
HKU\S-1-5-21-1337099864-1586314783-2463288544-1109\...\MountPoints2: {c5ed6c88-dca7-11e8-81e5-9c5c8ecd9193} - F:\startme.exe HKU\S-1-5-18\...\Run: [] => [X] Startup: C:\Users\Kostya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MEGAsync.lnk.id-960F735F.[[email protected]].DOP [2020-04-11] Startup: C:\Users\Kostya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mozilla Thunderbird.lnk.id-960F735F.[[email protected]].DOP [2020-04-11] GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION 2020-04-11 17:18 - 2020-04-11 17:18 - 000007210 _____ C:\Windows\system32\Info.hta 2020-04-11 17:18 - 2020-04-11 17:18 - 000007210 _____ C:\Users\kostya.GOU\AppData\Roaming\Info.hta 2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt 2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\Users\kostya.GOU\Desktop\FILES ENCRYPTED.txt 2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt 2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\FILES ENCRYPTED.txt 2020-04-11 17:18 - 2020-04-11 17:18 - 000007210 _____ () C:\Users\kostya.GOU\AppData\Roaming\Info.hta

Код

HKU\S-1-5-21-1337099864-1586314783-2463288544-1109\...\MountPoints2: {c5ed6c88-dca7-11e8-81e5-9c5c8ecd9193} - F:\startme.exe
HKU\S-1-5-18\...\Run: [] => [X]
Startup: C:\Users\Kostya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MEGAsync.lnk.id-960F735F.[[email protected]].DOP [2020-04-11]
Startup: C:\Users\Kostya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mozilla Thunderbird.lnk.id-960F735F.[[email protected]].DOP [2020-04-11]
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
2020-04-11 17:18 - 2020-04-11 17:18 - 000007210 _____ C:\Windows\system32\Info.hta
2020-04-11 17:18 - 2020-04-11 17:18 - 000007210 _____ C:\Users\kostya.GOU\AppData\Roaming\Info.hta
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\Users\kostya.GOU\Desktop\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000000206 _____ C:\FILES ENCRYPTED.txt
2020-04-11 17:18 - 2020-04-11 17:18 - 000007210 _____ () C:\Users\kostya.GOU\AppData\Roaming\Info.hta

----------------------
если сохранились файлы шифратора в карантине антивируса, добавьте файлы в архив с паролем infected и вышлите в почту [email protected]
(или загрузите на этот сайт для анализа, разрешите доступ к файлу и дайте ссылку на результат анализа)
https://www.hybrid-analysis.com/

по расшифровке файлов к сожалению помочь не сможем. нет расшифровки для последних версий Crysis (уже в течение нескольких лет).

восстановить документы возможно только из чистых архивных копий.

[ Как создать образ автозапуска? ]

Перейти