на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

[QUOTE] .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; [B].betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer[/B][/QUOTE]
[SIZE=14pt]
теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:[/SIZE]

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[SIZE=14pt] Microsoft предупреждает, что исправления безопасности Meltdown и Spectre несовместимы с некоторыми антивирусными продуктами.
[/SIZE]

Согласно рекомендациям Microsoft по безопасности, это обновления для системы безопасности Windows, которые устраняют недостатки Meltdown и Spectre для различных дистрибутивов Windows.

[QUOTE]Operating System Version Update KB

Windows Server, version 1709 (Server Core Installation)    4056892

Windows Server 2016                                                       4056890

Windows Server 2012 R2                                                   4056898

Windows Server 2012                                                   Not available

Windows Server 2008 R2                                                   4056897

Windows Server 2008                                                    Not available
[/QUOTE]
«Во время нашего тестирования мы обнаружили, что некоторые сторонние приложения делают неподдерживаемые вызовы в ядро ​​памяти Windows, которые вызывают ошибки остановки (также известные как ошибки bluescreen)», - заявила Microsoft в примечании о совместимости для вчерашних исправлений безопасности.

«Эти вызовы могут приводить к ошибкам остановки [...], которые не позволяют загружать устройство. Чтобы предотвратить ошибки остановки, вызванные несовместимыми антивирусными приложениями, Microsoft предлагает только обновления безопасности Windows, выпущенные 3 января 2018 года, на устройства, запущенные антивирусное программное обеспечение от партнеров, которые подтвердили свое программное обеспечение, совместимо с обновлением безопасности операционной системы Windows в январе 2018 года ».

«Если вам не было предложено обновление для системы безопасности, у вас может быть несовместимое антивирусное программное обеспечение, и вы должны следить за своим поставщиком программного обеспечения», - сказала Microsoft.

Не сообщалось о том, что вредоносные группы не используют ни Meltdown, ни Spectre в реальных атаках, поэтому Microsoft также рекомендует пользователям предоставлять антивирусным поставщикам больше времени для обновления своих продуктов.

Microsoft заявляет, что, когда производители антивирусов обновляют свой продукт для поддержки исправлений Meltdown и Spectre, им было поручено создать пользовательский раздел реестра в ОС, что позволит Windows загружать и получать исправления безопасности (если пользователь также соглашается с ним).

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-updates-to-fix-meltdown-and-spectre-cpu-flaws/

Эпидемия бат-энкодера в России бурно протекала в период с марта 2014 года по октябрь 2015 года.

Согласно дате создания приватных ключей

[IMG WIDTH=787 HEIGHT=370]https://chklst.ru/uploads/editor/94/r4sn2wio3a2x.jpg[/IMG]

мы можем условно выделить несколько периодов:

1. начиная с 01.03.2014 г. для шифрования *.unblck@gmail_com, *.uncrpt@gmail_com, *.unstyx@gmail_com использовались следующие мастер-ключи:
[CODE]P-crypt (P-crypt) <[email protected]>0x5C63D713/0x591A1333 создан 01.03.2014 года.
passphrase к данному мастер-ключу к сожалению неизвестна.
passphrase для сессионных ключей — "P-crypt"[/CODE]
[CODE]StyxKey (StyxKey) <[email protected]> 0xF3E75FD0/0x01270FE6 создан 26.05.2014 года
passphrase: «HckTeam”
passphrase для сессионных ключей: «unstyx»[/CODE]
[CODE]HckTeam (HckTeam) <[email protected]>0xE578490A/0xF107EA9F создан 01.06.2014 года.
Passphrase:”HckTeam”
passphrase для сессионных ключей могут быть: «paycrypt», «unblck», «uncrpt» в зависимости от идентификатора сессионного ключа.[/CODE]
т.о. если шифрование данным шифратором происходило в период с 26.05.2014 по 28.06.2014 года, используя известные мастер-ключи StyxKey (StyxKey) и HckTeam (HckTeam) возможно расшифровать ключевой файл KEY.PRIVATE и извлечь сессионный secring.gpg, который необходим для расшифрования документов пользователя.

2. следующий период в истории bat-энкодера начинается с 28 июня 2014г, когда был создан новый ключ
[CODE]HckTeam (HckTeam) <[email protected]>0x3ED78E85/0xF05CF9EE[/CODE]
с этого момента шифрование документов идет с расширением *.paycrypt@gmail_com
по данному ключу нет в доступе секретной части.

05 августа 2014 г создан новый ключ
[CODE]keybtc (keybtc) <[email protected]>0xAAB62875/0xA3CE7DBE[/CODE]
с этого момента шифрование документов идет с расширением *.keybtc@gmail_com
по данному ключу нет секретной части.

Сессионные ключи в этот период имеют идентификаторы genesis ([email protected]) <[email protected]> и cryptpay (cryptpay) <[email protected]> создаваемые без парольной фразы.

В период июль 2014 года так же параллельно шло распространение простого энкодера с шифрованием *.PZDC, *.CRYPT, *.GOOD с использованием следующих ключей:
[CODE]uncrypt <[email protected]>0x6E697C70/0xDF907172 создан 30.06.2014года
extension: (*.pzdc, *.crypt)
passphrase: “,tpgfhjkZ”[/CODE]
[CODE]unlock <[email protected]>0xE71BDC55/0x63D1F277 от 17.07.2014 года
extension: (*.good)
passphrase: "Jur59ETnqq"[/CODE]
3. с января 2015 года

[IMG WIDTH=788 HEIGHT=210]https://chklst.ru/uploads/editor/o3/nllvj3b5qak3.jpg[/IMG]

и по октябрь 2015 года бат-энкодер шифрует файлы пользователей с расширением *.vault

[IMG WIDTH=784 HEIGHT=276]https://chklst.ru/uploads/editor/5u/kb3vgt6p1cln.jpg[/IMG]

в этот период смена мастер-ключей происходила часто, и неизвестен ни один ключ VaultCrypt для восстановления сессионных secring.gpg из VAULT.KEY

сессионные ключи в этот период имеют идентификатор Cellar и не содержат пассфразу.

В конце декабря 2015 года энкодер из России переместился в Германию, и трижды там отметился как *.xrtn, *.trun, *.xort. Во всех трех случаях был использован ключ kkkkk <[email protected]> (от 15.04.2015г)

[IMG WIDTH=830 HEIGHT=56]http://chklst.ru/uploads/editor/9o/f5sch9rglfab.jpg[/IMG]

[B]©, chklst.ru, forum.esetnod32.ru[/B]

TrID - это утилита, предназначенная для идентификации типов файлов из их двоичных подписи.
Хотя существуют аналогичные утилиты с жестко закодированной логикой, TrID не имеет фиксированных правил.
Вместо этого он расширяемый и может быть обучен распознавать новые форматы быстрым и автоматическим способом.

[IMG WIDTH=693 HEIGHT=582]http://mark0.net/screenshots/tridnet.png[/IMG]

http://mark0.net/soft-trid-e.html

Задача Обновление компонентов Remote Administrator используется для обновления компонентов ERA (агент ERA, прокси-сервер ERA, сервер ERA Server, веб-консоль и MDM). Например, если нужно выполнить обновление с версий ERA 6.1.28.0, 6.1.33.0, 6.2.x, 6.3.x, 6.4.x до версии ERA 6.5.x.

https://help.eset.com/era_admin/65/ru-RU/index.html?client_tasks_upgrade_components.htm


Чтобы обновить инфраструктуру ERA, рекомендуется использовать задачу обновления компонентов, доступную в веб-консоли ERA. Ниже приведен пример того, как настраивать задачу Обновление компонентов Remote Administrator для обновления ERA 6.1.x или более поздней версии до версии ERA 6.5.

http://help.eset.com/era_install/65/ru-RU/index.html?components_upgrade.htm

http://support.eset.com/kb3668/

[B]по расшифровке файлов с расширением cripttt (Filecoder.NDO) обращайтесь в техподдержку [URL=mailto:[email protected]][email protected][/URL] при наличие лицензии на антивирус ESET[/B]

[FONT=Arial Black,Gadget][COLOR=#0072BC][B]Поздравляю администраторов, сотрудников тех.поддержки ESET, модераторов, участников и гостей форума
с Наступающим Новым годом![/B][/COLOR][/FONT]

[IMG WIDTH=875 HEIGHT=605]http://cs1.clodo.ru/v1/CLODO_06a52b58b55248f3335517f6d66cbf97/ktokogda/iblock/570/570d8eeb41f2f2f6db62ba22f65fd944/2016snegovikpovozka.png[/IMG]

тут другой алгоритм работы шифратора. с ним надо будет еще разбираться.
возможно другой алгоритм шифрования. без применения gpg, а значит и ключи будут другие.

привет.
смотрел настройки HIPS в восьмерке 8.0.319. вижу что есть возможность защиты папки с документами следующим способом.
1. создаем правило для папки с документами, которое
[U]запрещает[/U] удалять, и изменять файлы из данной папки для всех приложений
2. создаем второе правило, которое разрешает удалять и изменять файлы из данной папки для выбранных приложений,
например: far, explorer, total, office, xnview, acrobat reader и проч. легальный софт для работы с документами.

и все. шифратор тут ничего не сможет сделать.
-----------------
защиту папок можно сделать так же в Endpoint v 5, а вот Endpoint 6 почему то убрали защиту папок,
возможно защитить только отдельные файлы.
что это? глюк 6.1? или недоработка?

посмотрю еще в бетке 9 есть ли такая возможность.

Просьба к специалистам техподдержки надавить на разработчиков и вернуть такую возможность в Endpoint v 6

Тестируем это продукт, может получится заставить его реагировать на шифрование файлов.


EasySync CryptoMonitor is one of the best prevention measures for an encrypting Ransomware. CryptoMonitor will actually kill an encryption infection, blacklist it from running again, and notify you as soon as the infection starts. Because of the unique way that CryptoMonitor is made, it will effectively stop even the newest of encryption infections and requires no signatures or updates. It will protect you in a way that traditional antiviruses can’t!

[IMG WIDTH=521 HEIGHT=291]https://nebula.wsimg.com/7d6e3cf7460b66c2091b8b934d8a5085?AccessKeyId=22F842173B2E38F84596&disposition=0&alloworigin=1[/IMG]

[IMG WIDTH=523 HEIGHT=235]https://nebula.wsimg.com/0309b22c9f6616afbf30745204bb9573?AccessKeyId=22F842173B2E38F84596&disposition=0&alloworigin=1[/IMG]

https://www.easysyncsolutions.com/products.html