Чтобы защитить себя от Crysis (или от любых шифраторов), важно, чтобы вы использовали правила безопасности и надежное программное обеспечение для обеспечения безопасности. Прежде всего, вы всегда должны иметь надежную и проверенную резервную копию своих данных, которая может быть восстановлена ​​в случае возникновения чрезвычайной ситуации, например, при атаках шифраторов.

Вы также должны иметь программное обеспечение безопасности, которое содержит функции поведенческие обнаружения атаки шифраторов.

убедитесь, что вы выполняете правила безопасной работы в Интернете, которые во многих случаях являются наиболее важными для всех:

Резервное копирование, резервное копирование, резервирование
Не открывайте вложения, если вы не знаете, кто их отправил.
Не открывайте вложения, пока не убедитесь, что человек действительно отправил вам их,
Сканирование вложений с помощью таких инструментов, как VirusTotal.
Убедитесь, что все обновления Windows установлены, как только они выходят! Также убедитесь, что вы обновили все программы, особенно Java, Flash и Adobe Reader. Более старые программы содержат уязвимости безопасности, которые обычно используются злоумышленниками. Поэтому важно обновлять их.
Убедитесь, что вы используете надежное программное обеспечение безопасности.
Используйте сложные пароли для учетных записей и никогда не используйте один и тот же пароль.
Если вы используете службы удаленного рабочего стола, не подключайте его напрямую к Интернету. Вместо этого сделать это доступным только через VPN.
необходимо ограничить доступ из внешней сети, разрешить доступ только с определенных IP,
необходимо настроить доступ к RDP, ограничить число попыток с неверным вводом паролей.

по очистке системы:


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[[email protected]].FUNNY
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[[email protected]].FUNNY
delall %SystemDrive%\USERS\BATOVAE\APPDATA\ROAMING\MICROSOFT\WINDOW­S\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[[email protected]].FUNNY
delall %SystemDrive%\USERS\SMIRNOVAM\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[[email protected]].FUNNY
delall %SystemDrive%\USERS\GRYAZNOVAM\APPDATA\ROAMING\MICROSOFT\WIN­DOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[[email protected]].FUNNY
delall %SystemDrive%\USERS\1C8\APPDATA\ROAMING\MICROSOFT\WINDOWS\ST­ART MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-143A1182.[[email protected]].FUNNY
delall %SystemDrive%\USERS\1C8\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
zoo %SystemDrive%\USERS\1C8\APPDATA\ROAMING\MICROSOFT\WINDOWS\ST­ART MENU\PROGRAMS\STARTUP\1N9M6V8_PAYLOAD.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6­714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEE­A8F9DDF0 8 Win32/Filecoder.Crysis.L 7

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1N9M6V8_PAYLOAD.EXE
zoo %Sys32%\1N9M6V8_PAYLOAD.EXE
chklst
delvir

apply

;-------------------------------------------------------------

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
по расшифровке не поможем.

на данный момент времени нет.
восстановление документов возможно из архивных копий.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

[QUOTE]Алексей Попович написал:
У меня сегодня аналогичная картина,правда я похоже поймал сам шифровальщик,[/QUOTE]
добавьте образ автозапуска системы, возможно в системе еще остались файлы шифратора.
пока что можем помочь вам с очисткой системы

исполняемые файлы детектируем
https://www.virustotal.com/#/file/046af53654b1fb8e0d61515a2f660b6f985c0ccb86e278a227dbd7­32577e43b4/detection
https://www.virustotal.com/#/file/3da3b704547f6f4a1497107e78856d434a408306b92ba7c6e270c7­c9790aa576/detection
анализ на hybrid-analysis.com
https://www.hybrid-analysis.com/sample/046af53654b1fb8e0d61515a2f660b6f985c0ccb86e278a22­7dbd732577e43b4/5bd70f247ca3e13393507146

судя по детекту на ID Ransomware ваши файлы зашифрованы шифратором Scarab

[QUOTE]Scarab
Этот вымогатель дешифруем при некоторых обстоятельствах.

Изучите руководство для дополнительной информации.

Опознан как

   sample_extension: .DD
   custom_rule: Encrypted size marker [0x00 - 0x08] 0x0440000000000000
[/QUOTE]

Если вы являетесь лицензионным пользвателем ESET, вы можете обратиться с запросом на расшифровку данных в [email protected]

для расшифровки файлов, может потребоваться следующая информация:

[QUOTE]For any Scarab ransomware request we need :

- the  ransom note file HOW TO RECOVER ENCRYPTED FILES.TXT

- 3-4 crypted files if possible .doc or docx, xls or pdf
- The registry files HKEY_CURRENT_USER & HKEY_USERS of the infected machine. You must run regedit.exe to export these files.[/QUOTE]

добавьте несколько зашифрованных файлов архиве + записку о выкупе,
+
сделайте образ автозапуска системы, где произошло шифрование.

[QUOTE]Виталий Вентель написал:
Аа.. к сожалению перед лечением я его почистил.[/QUOTE]
жаль, что почистили.
логи не представляют угрозы для системы,
но могут помочь в решении или понимании проблемы.

лог журнала обнаружения угроз антивирусум
http://forum.esetnod32.ru/forum9/topic1408/

добавьте таки лог журнала обнаруженных угроз,
может из него что-то прояснится, каким образом был внедрен троян в процесс svchost.exe

The ESET GandCrab decryption tool is designed to decrypt files of 979 Syrian victims irrespective of the malware version they were affected with (1.0 to 5.0). Users can download the decryptor here. For further instructions and information, please refer to our GandCrab decryptor knowledgebase article.

This is not the first time malware authors have released keys for a prevalent ransomware family (or its variants), allowing cybersecurity companies to create decryptors. Previously, ESET has released such tools for TeslaCrypt, several variants of Crysis, as well as for earlier variants of the AESNI ransomware.
---------------
Средство дешифрования ESET GandCrab предназначено для дешифрования файлов из 979 сирийских жертв независимо от версии вредоносного ПО, на которую они были затронуты (от 1.0 до 5.0). [URL=https://help.eset.com/eset_tools/ESETGandCrabDecryptor.exe][B]Здесь можно скачать дешифратор[/B][/URL]. Для получения дополнительных инструкций и информации обратитесь к [URL=https://support.eset.com/kb7049/][B]нашей статье базы знаний дешифратора GandCrab[/B][/URL].

Это не первый раз, когда авторы вредоносных программ выпустили ключи для распространенного семейства ransomware (или его вариантов), что позволяет компаниям кибербезопасности создавать дешифраторы. Ранее ESET выпустила такие инструменты для TeslaCrypt, несколько вариантов Crysis, а также для более ранних версий AESNI ransomware.

https://www.welivesecurity.com/2018/10/25/eset-releases-new-decryptor-syrian-victims-gandcrab-ransomware/

1. добавьте лог журнала обнаружения угроз


2. выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
icsuspend
;------------------------autoscript---------------------------

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNNNHMFLJNHOODGDIJCBOMAKIMDNECOHD%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %Sys32%\WSAUDIO.DLL
apply

deltmp
delref F:\ADWCLEANER_7.2.4.0.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\ADOBE\OOBE\PDAPP\UWA\UPDATERSTARTUPUTILITY.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %Sys32%\GWX\GWX.EXE
delref %Sys32%\GWX\GWXCONFIGMANAGER.EXE
delref %SystemDrive%\USERS\ЕВГЕНИЙ\DOWNLOADS\ONLINERECOVERY_V1.0.0.53.EXE
delref F:\HTCDRIVERINSTALLER.EXE
delref %SystemDrive%\USERS\ЕВГЕНИЙ\DOWNLOADS\JXPIINSTALL(1).EXE
delref %SystemDrive%\USERS\ЕВГЕНИЙ\DOWNLOADS\JXPIINSTALL(4).EXE
delref %SystemDrive%\УКРСОЦБАНК\PC-BANKING.EXE
delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\MICROSOFT\WINDOWS\­TEMPORARY INTERNET FILES\CONTENT.IE5\BDP1FQ4X\JAVASETUP8U171 (1).EXE
delref %SystemDrive%\USERS\ЕВГЕНИЙ\DOWNLOADS\JXPIINSTALL(8).EXE
delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\MICROSOFT\WINDOWS\­TEMPORARY INTERNET FILES\CONTENT.IE5\BDP1FQ4X\JRE-8U161-WINDOWS-I586.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\DRIVE\CONTEXTMENU32.DLL
delref {0B0EFF97-C750-462C-9488-B10E7D87F1A6}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.17\NPGOOGLEUPDATE3.DLL
delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\PICASA3\NPPICASA3.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\COMMON\GOOGLE UPDATER\GOOGLEUPDATERSERVICE.EXE
delref %Sys32%\DRIVERS\TAPHSS6.SYS
delref %SystemDrive%\PROGRAM FILES\ANVIR TASK MANAGER\OPENHARDWAREMONITOR\OPENHARDWAREMONITORLIB.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.17\GOOGLEUPDATEONDEMAND.EXE
delref %SystemDrive%\PROGRAM FILES\OPENOFFICE.ORG
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.17\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %Sys32%\GWX\GWXUI.DLL
delref %Sys32%\GWX\GWXUX.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref F:\HTC_SYNC_MANAGER_PC.EXE
delref H:\HTC_SYNC_MANAGER_PC.EXE
delref G:\AUTORUN.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\PICASA3\PICASA3.EXE
delref %SystemDrive%\PROGRAM FILES\GRETECH\GOMPLAYER\GOMWIZ.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\DRIVE\GOOGLEDRIVESYNC.EXE
delref %SystemDrive%\PROGRAM FILES\K-LITE CODEC PACK\FFDSHOW\FFDSHOW.AX
delref %SystemDrive%\PROGRAM FILES\GOOGLE\PICASA3\PICASAPHOTOVIEWER.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\PICASA3\UNINSTALL.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте образ автозапуска из безопасного режима системы
+

есть подозрение на скрытый запуск сервиса AudioDrv

pid=392 C:\Windows\System32\svchost.exe -k AudioDrv
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [392], tid=2376