Зашифрованы файлы "payfordecrypt1@qq.com.arena"

[Aputilov7sky]

Заразил комп с бд 1с

Просят битмонетку на кошелек, на письмо отвечают, пробные файлы расшифровал/

Вроде все вложил, если что то понадобится закину еще

Огромное спасибо за Вашу отзывчивость и помощь.

 

virus_info, будет в течении 20 минут

frst.zip

sfcdetails.zip

CBS.log

FilterList.log

abs.exe.id-FC20F078.payfordecrypt1@qq.com.zip

CollectionLog-2017.09.06-13.34.zip

massage_hacker.txt

email_massage_hacker.txt

Изменено 6 сентября, 2017 пользователем Aputilov7sky

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
 

 

Компьютер перезагрузится. 

 

Скрипт закроет уязвимости в IE. Увы, больше помочь нечем. Расшифровки для этого типа вымогателя пока нет.

[Aputilov7sky]

Заразил комп с бд 1с

Просят битмонетку на кошелек, на письмо отвечают, пробные файлы расшифровал/

Вроде все вложил, если что то понадобится закину еще

Огромное спасибо за Вашу отзывчивость и помощь.

 

virus_info, будет в течении 20 минут

https://virusinfo.info/virusdetector/report.php?md5=1367712EEF48581F111C080970EF6FBD

 

Скрипт закроет уязвимости в IE. Увы, больше помочь нечем. Расшифровки для этого типа вымогателя пока нет.

 

Ждать есть смысл?

Решение проблемы?!:

1) Заплатить 260 325 р

2) Переустанавливать

 

БД 1с нет надежды восстановить?

Изменено 6 сентября, 2017 пользователем Aputilov7sky

[Sandor]

Заплатить

Не советуем. Тем самым Вы поощряете злодеев продолжать их черное дело.

К тому же полной гарантии расшифровки тоже нет.

 

Переустанавливать

Нет смысла, активного заражения не видно.

 

Ознакомьтесь со статьей.

[Aputilov7sky]

Расшифровки для этого типа вымогателя пока нет.

А имя этому шифровальщику уже придумали? 

Как отслеживать появление дешифратора?

Вдруг кому интересно будет...

 

24 августа 2017 Майкл Гиллеспи из ID-Ransomware обнаружил новый вариант шифратора Crysis / Dharma, который добавляет расширение .arena к зашифрованным файлам. Неизвестно точно, как распространяется этот вариант, но в прошлом Crysis обычно распространялся путем взлома в Remote Desktop Services и ручной установки ransomware. 

 

Когда этот ransomware установлен, он сканирует компьютер для определенных типов файлов и шифрует их. При шифровании файла он добавит расширение в формате .id- [id]. [E-mail] .arena. Например, файл с именем test.jpg будет зашифрован и переименован в test.jpg.id-BCBEF350. [Chivas@aolonline.top] .arena. 

 

Как защитить себя от Crysis Ransomware 

 

Чтобы защитить себя от Crysis или от любых вымогательств, важно, чтобы вы соблюдали определенные правила для обеспечения безопасной работы в сети. Прежде всего, у вас всегда должно быть надежное и проверенное резервное копирование ваших данных, которые могут быть восстановлены в случае возникновения чрезвычайной ситуации, например, при попытке вымогательства. 

 

У вас также должно быть программное обеспечение безопасности, которое содержит поведенческие детектирования. 

 

Наконец, но не в последнюю очередь, убедитесь, что вы практикуете следующие хорошие привычки в отношении безопасности в Интернете, которые во многих случаях являются наиболее важными для всех: 

 

Резервное копирование, резервное копирование, резервирование 

Не открывайте вложения, если вы не знаете, кто их отправил. 

Не открывайте вложения, пока не убедитесь, что человек действительно отправил вам их, 

Сканирование вложений с помощью таких инструментов, как VirusTotal. 

Убедитесь, что все обновления Windows установлены, как только они выходят! Также убедитесь, что вы обновляете все программы, особенно Java, Flash и Adobe Reader. Более старые программы содержат уязвимости безопасности, которые обычно используются злоумышленниками. Поэтому важно обновлять их. 

Убедитесь, что вы используете какое-то программное обеспечение безопасности. 

Используйте сложные пароли и никогда не используйте один и тот же пароль на нескольких сайтах. 

Если вы используете службы удаленного рабочего стола, не подключайте его напрямую к Интернету. Вместо этого сделать это доступным только через VPN. 

 

https://www.bleepingcomputer.com/news/security/new-arena-crysis-ransomware-variant-released/

Изменено 6 сентября, 2017 пользователем Aputilov7sky

[Sandor]

имя этому шифровальщику уже придумали?

Да, Dharma (.cezar) по терминологии Emsisoft.

Как отслеживать появление дешифратора?

Здесь - https://www.nomoreransom.org/ru/index.html

или здесь - https://www.bleepingcomputer.com/