santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением .fairytail, .doubleoffset, Filecoder.NHT/ Cryakl CL 1.4.*-1.5.*;

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.01.2019 18:07:06

добавьте образ автозапуска из зашифрованной системы
+
по доступу к RDP: смените на сложные пароли пользователей, через которых произошел взлом,
настройте защиту от подбора паролей: блокирование ip после нескольких попыток неправильного ввода пароля.
ограничьте по возможности доступ из внешней сети, оставьте доступ только для проверенных ip

иначе взлом и шифрование могут повториться.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.01.2019 12:33:41

Цитата
RP55 RP55 написал: http://www.tehnari.ru/f183/t262601/ C:\USERS\1\APPDATA\ROAMING\TEMPO\ юмористы. или почему правая нога не знает, что чешет левая. NSCPUCN MINER 32.EXE

кстати у меня сразу все нашлось в каталоге "подозрительные и вирусы", без добавления новых сигнатур для DOC001.EXE

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.01.2019 19:39:19

по Crysis появились новые варианты в январе:

New variant of #CrySiS / #Dharma - ".gif" extension - email "[email protected]" - https://www.virustotal.com/#/file/9ecc9ae378a335453d58fe44c95a8f5b40595b8a2e11eedfe86521e6f61fdbc1/detection …

#CrySiS / #Dharma #ransomware - ".AUF" extension - "[email protected]" - https://www.virustotal.com/#/file/5280edad1dcecca9b0542556a775961bc620c31a06f2fe6383792a6f300ed81e/detection …

#CrySiS/#Dharma #ransomware again and again: extensions ".USA" and ".xwx", extortion email addresses "[email protected]" and "[email protected]". https://www.virustotal.com/#/file/35ade951e0713f31cbdc4844ea0e7c8ffff795efd6ab7e8d22fad5d3cf87ac0c/detection … https://www.virustotal.com/#/file/60f5a7aa2216c5688d56a59a0fe4e87320dd22f4606e2ad06dae0469c952b965/detection …
+
".best" - '[email protected]' - https://www.virustotal.com/#/file/73bf556b35606c9b9ea033d4e93f057e890698126b0cc8cb7b85604c3688434f/detection …
+
New Dharma / CrySiS Ransomware variant appends ".heets" to encrypted file extensions.
.heets extension; mail [email protected]
https://www.virustotal.com/#/file/eb67ad08ce4989d0106cc59f5954367a22c182e6e73ad88b649bd8ba3f3ac4f3/
https://id-ransomware.malwarehunterteam.com/identify.php?case=892b45aedd9929f8d5620491c7956e13c8de981b

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

Цитата
.cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets

.USA вариант уже есть на российских форумах.

Цитата
Помогите в расшифровки файлов Поймали сегодня ночью - все расшариные папки зашифровал Расширение у файлов - id-1814CB43.[[email protected]].USA

https://forum.kasperskyclub.ru/index.php?showtopic=61706

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.01.2019 05:52:56

Цитата
Сергей З написал: С кем связаться, чтобы решить вопрос для ящика " [email protected] " т.к. я понима что приватные ключи и всё необходимое для расшифровки есть?

вы можете выполнить расшифровку исходя из известной вам информации, проверить ваши логические выводы и получить новые знания. (о возможности или не возможности расшифровки в вашем случае)
на форуме мы можем вам помочь с очисткой системы.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.01.2019 18:45:35

Цитата
Сергей З написал: Спасибо!А с расшифрованием, что делать?Я смотрю что этот вирус стар. Были успехи?

по расшифровке, при наличие лицензии на продукт ESET напишите в [email protected]

Цитата
Хиро Онода ( род. 19 марта 1922 года) — японский офицер, вошедший в историю благодаря тому, что воевал на Филиппинах спустя ещё 30 лет после того, как Вторая мировая война закончилась.

даже если версия шифратора стара, ничто не мешает ему продолжать шифрование незащищенных компьютеров.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.01.2019 18:22:23

добавьте образ автозапуска системы, поможем с очисткой системы.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифровованы с расширением cripton; .crypton, Creeper

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.01.2019 08:24:00

возможно, этот вариант шифратора.
известен еще в феврале, но с другим расширением.
https://pastebin.com/ucXfQf9j

Цитата
Decrypting your files is easy. Take a deep breath and follow the steps below. 1 ) Make the proper payment. Payments are made in Monero. This is a crypto-currency, like bitcoin. You can buy Monero, and send it, from the same places you can any other crypto-currency. If you're still unsure, google 'monero exchange'. Sign up at one of these exchange sites and send the payment to the address below. Payment Address (Monero Wallet): 46WDbj1YCQrCfAGW37AJi3Ljr86waWBP1GwoRCeAGcR49xtNvRWpVyXQsqWDxW4qaQ5SxnDB4VnJZRhNaYHuvkAdVaeLeMM 2 ) Farther you should send the following code: [redacted hex] to email address [email protected]. Then you will receive all necessary key. Prices : Days : Monero : Offer Expires 0-2 : 3 : 03/01/18 3-5 : 5 : 03/04/18 Note: In 6 days your password decryption key gets permanently deleted. You then have no way to ever retrieve your files. So pay now.

Цитата

Decrypting your files is easy. Take a deep breath and follow the steps below.
1 ) Make the proper payment.
Payments are made in Monero. This is a crypto-currency, like bitcoin.
You can buy Monero, and send it, from the same places you can any other
crypto-currency. If you're still unsure, google 'monero exchange'.

Sign up at one of these exchange sites and send the payment to the address below.

Payment Address (Monero Wallet):

46WDbj1YCQrCfAGW37AJi3Ljr86waWBP1GwoRCeAGcR49xtNvRWpVyXQsqWDxW4qaQ5SxnDB4VnJZRhNaYHuvkAdVaeLeMM

2 ) Farther you should send the following code: [redacted hex] to email address [email protected].
Then you will receive all necessary key.

Prices :
Days : Monero : Offer Expires
0-2 : 3 : 03/01/18
3-5 : 5 : 03/04/18

Note: In 6 days your password decryption key gets permanently deleted.
You then have no way to ever retrieve your files. So pay now.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] davapi.dll вирус?, удаляется каждый раз при запуске компьютера

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.01.2019 15:27:45

выполните рекомендации по безопасной работе в сети
https://forum.esetnod32.ru/forum9/topic13764//

[ Как создать образ автозапуска? ]

Перейти

файлы зашифровованы с расширением cripton; .crypton, Creeper

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.01.2019 11:41:37

добавьте в ваше сообщение файл записки о выкупе + несколько зашифрованных файлов
+
добавьте образ автозапуска зашифрованной системы.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] davapi.dll вирус?, удаляется каждый раз при запуске компьютера

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.01.2019 06:13:24

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Перейти