Andrew Komissarov (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

Сообщений: 35

Баллов: 17

Регистрация: 21.10.2015

Размещено 03.03.2016 22:49:47

Это Filecoder.NFY по ESET (Trojan-Ransom.Win32.Crysis по ЛК)
[URL=https://www.virustotal.com/ru/file/0df497d3e0637772eed7ffe3ec335d521ff4a1a7d707c8b448de55062480e356/analysis/]https://www.virustotal.com/ru/file/0df497d3e0637772eed7ffe3ec335d521ff4a1a7d707c8b448de55062480e356/...[/URL]

Перейти

Шифровальщик в rar с адресом: [email protected], Вирус зашифровал в rar с паролем

Сообщений: 35

Баллов: 17

Регистрация: 21.10.2015

Размещено 29.02.2016 11:23:16

[QUOTE]Савицкий Сергей написал:
Помогите!!!
Всю информацию на сервере запаковал в архив rar с паролем.
Стоит NOD32 лицензия.
Следов не нашел, архивы все затерты в ноль.[/QUOTE]
Скорее всего к вам зашли по RDP и все проделали вручную. Поэтому и следов никаких нет.
А взломать достаточно сложный rar-овский пароль вряд ли реально.

Перейти

файлы зашифрованы с расширением .crime

Сообщений: 35

Баллов: 17

Регистрация: 21.10.2015

Размещено 26.02.2016 10:39:46

[QUOTE]Евгений Кононенко написал:
После очистки системы ничего не изменилось[/QUOTE]
Очистка системы это не расшифровка файлов. После очистки системы новые файлы не будут шифроваться.

По [B]расшифровке[/B] файлов, как вам уже писали, обращайтесь в техподдержку, при наличии лицензии на антивирус ESET.

Перейти

Шифровирусы шумной толпою

Сообщений: 35

Баллов: 17

Регистрация: 21.10.2015

Размещено 24.02.2016 17:20:12

Видимо следует ждать эпидемии по шифрованию сайтов.
Хотя перспективы доходов на этом на мой взгляд сомнительны.
Серьезные проекты имеют бэкапы. А за поделки на бесплатных CMS-ках (которые и будут ломать прежде всего) вряд ли кто-то будет платить.
Хотя кто знает, конечно..

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 35

Баллов: 17

Регистрация: 21.10.2015

Размещено 20.02.2016 10:58:41

[QUOTE]Роман Воробьёв написал:
Я не в курсе про xtbl и breaking_bad. Если есть возможность расшифровать, подскажите куда можно обратиться?[/QUOTE]
Универсальной расшифровки нет.
В антивирусных компаниях помогают в индивидуальном порядке. Это значит, что расшифровка возможна не во всех случаях.
Обращаться надо в техподдержку антивирусных компаний. Но для этого нужна лицензия на продукт этой компании.

Перейти

Шифровирусы шумной толпою

Сообщений: 35

Баллов: 17

Регистрация: 21.10.2015

Размещено 14.02.2016 09:30:20

[QUOTE]mike 1 написал:
[QUOTE]A new variant of the TeslaCrypt ransomware was released that contains some minor changes. The version number is still 3.0. but the ransom notes have been renamed and the file extension for encrypted files is now .MP3. Unfortunately, there is still no way to decrypt this latest version of TeslaCrypt.[/QUOTE]
У меня семпл есть этой Теслы. Что интересно при установленном Eset Antivirus отказался шифровать файлы. Если установлен другой антивирус, то доходит до шифрования файлов.[/QUOTE]
А какая версия антивируса?
В логах что-нибудь пишет?

Перейти

Шифровирусы шумной толпою

Сообщений: 35

Баллов: 17

Регистрация: 21.10.2015

Размещено 10.02.2016 17:52:29

Я каждый раз не устаю поражаться.
Письма составлены безграмотно, это просто бросается в глаза.

Как можно на такое попадаться...

Перейти

зашифровано с расширением id-*[email protected]*, возможно, Filecoder.DG

Сообщений: 35

Баллов: 17

Регистрация: 21.10.2015

Размещено 08.01.2016 12:34:10

[QUOTE]Евгений Купреев написал:
Также поймали такую гадость 2 января ( интересно, это через запуск вложения из почты произошло или иначе ? (я не сисадмин). И стоит ли перечислять мошенникам деньги или это кидалово? Также вопрос, будет ли дешифратор общий для всех или для каждой атаки он уникальный? Спасибо.[/QUOTE]
Если у вас действительно такой же шифровальщик, то заражение происходит путем подбора паролей удаленного доступа и ручного запуска шифровальщика на вашем компьютере (сервере).
Поэтому если у вас настроен удаленный доступ к компьютеру, то поменяйте все пароли пользователей.
Расшифровкой занимается техподдержка, поэтому если у вас есть лицензия на антивирус ESET пишите на [URL=mailto:[email protected]][email protected][/URL]
На форуме вам могут помочь с удалением остатков вируса, если вы предоставите [URL=http://forum.esetnod32.ru/forum9/topic2687/]образ автозапуска[/URL] системы.

Перейти

зашифровано с расширением id-*[email protected]*, возможно, Filecoder.DG

Сообщений: 35

Баллов: 17

Регистрация: 21.10.2015

Размещено 06.01.2016 19:13:54

Да, и зашифрованные файлы и картинки похожи.
Ну значит в любом случае - в техподдержку [IMG WIDTH=16 HEIGHT=16]http://forum.esetnod32.ru/bitrix/images/main/smiles/5/icon_smile.gif[/IMG]

Перейти

зашифровано с расширением id-*[email protected]*, возможно, Filecoder.DG

Сообщений: 35

Баллов: 17

Регистрация: 21.10.2015

Размещено 06.01.2016 18:57:55

[B]Santy[/B]
Я исходил только из контактного адреса.
Значит что-то новое.
Но это не единичное заражение. На форуме DrWeb-а есть аналогичные обращения.
Боюсь волна начнется 11-го числа, когда большинство людей на работу выйдет.

Перейти