1309
Всем кто пострадал от шифровальщика CrySiS.
129 Комментариев в Информационная безопасность  
Исслeдователь и основатель сайта BleepingComputer Лоренс Абрамс (Lawrence Abrams), сообщил, что 14 ноября 2016 года пользователь под ником crss7777 опубликовал на форумах ресурса ссылку на Pastebin. По ссылке были обнаружены мастер-ключи для расшифровки данных, пострадавших в результате работы вымогателя CrySiS, а также подробная инструкция по их применению.


Ссылка на мастер-ключи: http://www.bleepingcomputer.com/forums/t/607680/crysis-exten...



Более подробно:https://xakep.ru/2016/11/15/crysis-master-keys/

+16
 OriginalVlad отправил
Дайте шифровальщик, а то ключи есть, но шифрованного нет ничего :(
+6
ewgen1982 отправил

Есть шифровальщик которого не расшифрует способ указанный здесь.

+2
Oskozo отправлено

Могу скинуть))

0
BaJIepaMoTo6JIok отправлено

https://www.youtube.com/watch?v=oHg5SJYRHA0 там под видео будет ссылка

+6
 BlackGur отправлено

Так и запишем: XcQ, HA0...

+1
 r0yman отправил

Спасибо :)

+67
 brnovk отправил

Сколько в интернетах не сижу - не разу не натыкался на шифровальщиков/порнобаннеров.

Хотя, бывает, в злобные клоаки интернета заглядываю, и по порносайтам процентов 30 трафика просаживаю.

Максимум за последние годы - adware на js для хромого браузера, кейген для какой-то софтины липовым оказался.

Звонят знакомые/родственники: "Витя, тыжпрограммист, как от этого избавиться?".

А я это чудо ни разу и в глаза не видел. Как зловреды распространяются сейчас, в 2016-ом?

+47
 footdot отправлено
Шивровальщики в основном распространяются по почте. В основном это корпоротивный сегмент. Т.е. Приходит почта в бухгалтерию с темой "проверьте накладную" и в теле письма вложение с названием "товарная накладная 2016 согласовано с руковдством..." И т.д. А в конце ращирение .vbs или .bat(может даже exe). Чтож, бухгалтерия открывает на ура! Затем ничего не происходит, а через пару часов появляется сообщение о том что все зашифровано (и правда, все зашифровано, и все это время шифровалось). И, конечно же, инструкция как связаться по яберу и перевести господам битки, чтобы те вернули ключ. Антивирусы такую хрень не видят. Так что здесь только инструктажи и грамотность пользователя играют роль. Бывало что один и тот же бухгалтер за месяц мог себя трижды "зашифровать". И ничего ты с этими файлами потом не сделаешь. Помогало разве что теневое копирование, но некоторые особо хитрые шифровальщики могли выключать и его.
+38
 behappyz отправлено
Самое забавное было на прошлой работе: менеджер открыл у себя на компе: не открывается. Открыл на компе соседнего менеджера. Не открывается. Пошел в бухгалтерию. Там на компе глав.буха и буха. В итоге четыре зашифрованных винта. Хорошо, что эта муть по открытому rdp не лезет.
раскрыть ветвь 6
+17
gabionchik отправил

Так все и было на работе

+5
Adik78 отправлено
Точняк, всё как ты описал
+3
imakofix отправлено

Знакомая проблема. У меня тоже бухгалтера ловили шифровальщиков. После 1го инцидента я организовал копирование документов на архивный компьютер и провёл инструктаж. (Который естественно никому не интересен. Всех волнуют картинки котиков и новейшие способы сброса лишнего веса)


Так вот. Архивом работает старенький компьютер. Каждый час этот компьютер производит инкрементное копирование из заранее обусловленных каталогов.

Эти каталоги есть на всех бухгалтерских машинах, в которые бухгалтера складывают все важные файлы (потеря которых принесет много головной боли)

Поставил 1 архивную машину и никакие шифровальщики не страшны. Главное не забывать проверять архивацию.


Рекомендую иметь на вооружении.

+3
 KRAKAKOT отправлено
А договор.exe это уже притча во языцех :)
+2
Bayan отправил

GPO с белым списком разрешенных программ спасает от любого шифровальщика в организации.

+2
 siniiinei отправил
А в конце ращирение .vbs или .bat(может даже exe)

Попадалась такая хрень несколько раз.

Приходила на почту в архиве .rar или .zip, а внутри файл с длинным названием "счет-фактураблаблабла.pdf.js".

Наименее опытные пользователи, естественно, запускали.

Скрипт скачивал с некоего сайта exe-шник или батник и шифровал все документы.

Лечили сносом всея винды.


И еще один вариант недавно прислали: обычный .doc, в нём мутная картинка и текст: "Для просмотра содержимого нажмите". На картинку привязана гиперссылка, и так далее.

+1
 chip474 отправил
Да как так? Я с детства как-то понял, что david guetta.exe-это не нормально, т.к "песенки" не так пишутся. В бугалтерии документооборот не ворд/эксель и т.п? Как можно быть таки тупым и занимать должность ответсвенную, ааар, подгорело, элементарно же билять!!)))
0
 OGNEVI отправил

А запуск браузера в песочнице защитит от шифровальщика?

раскрыть ветвь 2
0
 kotyaraSS отправил

домен + перемещаемые профили + бэкап всего ежедневно + 1с в отдельной виртуалке ну есть шанс не просрать всё

0
 VzdrizhnePyani отправила
А с чего бы у юзверей права на запуск исполняемых файлов были-то?
раскрыть ветвь 8
-2
 nainer отправил

Теновое копирование но дзюцу!

+16
yaroslawww отправил

По почте письмо приходит с вложением вида "аваносвый отчет за май 2016 по (название организации) для (бухгалтера) и т.д. и т.п.doc.js" (для примера написал, в конце может и .exe быть). Пользователь не читая, и не думая, пытается запустить вложение от незнакомого пользователя. Срабатывает антивирус "вы пытаетесь запустить  исполняемый файл из интернета, это может быть зловредная программа, вы уверены". Пользователь продолжает. Срабатывает доменная политика. Пользователь продолжает, и так еще несколько окон на которые пользователь нажимает ОК. Происходит запуск шифровальщика, и все сгорает. На работе так произошло две недели назад. Я в первый день в отпуск ушел, и подцепили. Выйду буду пробовать расшифровать.

+4
 wakeonlan отправлено
Надо долго ныть что ты студент, а файлов всего штук сто. Через неделю могут и тыщи за три ключ поодать. Они сами не знают что и у кого зашмфровали
раскрыть ветвь 12
0
 footdot отправлено
Не подскажите антивирус и политику которая срабатывает на этот зловред?
раскрыть ветвь 10
+4
vladonlink отправил

От зловредов страдает бизнес, а не частные лица потому что.

У нас за четыре месяца пять раз зафиксированы попытки проникновения вредоноса, один раз пользователь открыл файлик. Благо, важных файлов локально не было, а на сетевой диск записывать прав не хватило. И это мы проводим постоянные инструктажи по информационной безопасности. Люди в курсе этих проблем. Что уж говорить про конторы, где с этим не так строго.

Вот представьте, присылают вам сообщение, где человек, с которым вы до этого общались на тему заключения договора, гневно требует оплатить что-либо и высылает файл, который называется "претензия.docm". Получатель, когда видит, что Компании могут выставить счет, якобы из-за его косяка, приходит в ужас, начинает паниковать и тут же файл открывает. И вот читает там, что косяк вообще не его, да и отправитель перепутал почту вообще.  Успокаивается и забывает. А через пару часов файлы зашифрованы.

Причина очень простая - злоумышленник взломал почту отправителя.

+1
 VzdrizhnePyani отправила
Так даже взламывать не надо, вроде. Емнип, есть же сервисы, где любой почтой подписаться можно.
раскрыть ветвь 5
+1
gabionchik отправил

нам повезло меньше

0
 Igorious отправил

Но ведь по умолчанию выполнение макросов запрещено -_-

раскрыть ветвь 1
+3
 wakeonlan отправлено
Целью этих атак является корпоративный сегмент .
+1
finn0the0hueman отправил
Качал архив, в нем был другой архив нужный мне пока первый расшифровал установились проги, вчера вот только чистил комп от этой дряни
0
 Igorious отправил

Как это вообще возможно? Разархивирование не может устанавливать проги.

+1
 JaffreyAdler отправлено
Зловреды как правило распростроняются либо скрытно, либо freemoney.exe. В первом случае обнаружить почти нереально.
0
Tiolpxe отправил

Через связки эксплоитов.

0
BaJIepaMoTo6JIok отправлено

У нас глав бух недавно словил на свою рабочую почту шифровальщик под видом приказа от минфина. Ей что .ехе что .doc одна фигня

0
 Pochti отправил
Знакомые словили по почте. Прайс, вроде бы, поставщик прислал.
0
 chelovek.pizdesh отправлено
Качают где попало, пытаются увеличить член, сесть на мега диету и т. д.
ещё комментарии
+6
gabionchik отправил

На работе кому то по почте пришло письмо с шифровщиком, все файлы в сетевых папках зашифровались , сисадмин нечего не смог сделать. Так что новость отличная, проверил ,все дешифровщик на этих ключах с сайта касперского ,справился. ТС однозначно плюсов можно накидать, за такую новость)

ещё комментарии
+2
Sevta отправила

Поймали на домашнем компьютере подобный (только расширение vault). Муж открыл архив, который прислали заказчики по работе...и полетело все к чертям! Все вордовские, экселевские файлы, абсолютно все фото за весь период существования цифрового фотоаппарата. Обидно до слез. Причем фото зашифровались даже на облаке. Перешли по ссылке, требовали 12 тысяч+увеличивалась стоимость каждую неделю. Платить соответственно не стали. Винду переустановили, фото скинули на жесткий, ждем когда кто-нибудь придумает как расшифровать...

Теперь научилась делать бэкапы и архивировать фото)

+4
cMax отправил

если пользуетесь Google Drive или другими известными облаками, то там есть версионирование файлов. Откройте (на сайте облака) информацию о файле и попробуйте откатить до предыдущей версии, меня не раз спасало

+2
Sevta отправила

Спасибо! Жаль, что я об этом раньше не узнала. Попробовала, а там пред. версия хранится всего 30 дней

+1
 kliMaster отправил
+2
Ku6epHeTuKa отправлено

метод не рабочий

+2
 UsbTypeZ отправлено
тут удивляются, как же люди ловят такого рода вирусы? мол ищут "как увеличить член", неправильно, чаще шифровальщики замаскированы в емейл сообщениях со сканами на оплату. пример: приходит в организацию счет, с требованием оплатить что-либо и это сообщение 99%откроют, так происходит заражение.
+1
ericnait отправлено
странно что никто не написал про анти шифровальшик . программа которая отслеживает частое изменение файлов по определенному алгоритму. грубо говоря после зашифрования 2х 3х файлов она просекает шифровальшика и стопорит. щас не знаю в какой стадии такие программы, но разработка шла у пару компаний.
+1
 fem23 отправила

А от vault есть что-нибудь?

+1
 kliMaster отправил
+1
 fem23 отправила

Не берет(

раскрыть ветвь 2
+1
 Kirill2013 отправил

ох спасибо тебе добрый человек, тоже было зашифровано очень много файлов. твоя утилита не помогла, но зашел на сайт касперского и увидел, что вышла наконец утилита для расшифрования моих фоток.

+1
ChudoVValenkah отправлено

Спасибо огромное! Еще б от ДаВинчи ключики выложил кто((

0
 pirojkov отправил

Кстати да. Я думал - это похожее что-то.

Есть люди с кодом давинчи

0
 ADFREY отправил
0
Oskozo отправлено

Подтверждаю, все работает

0
Oskozo отправлено
Поймали шифровальщика. Сначала подумали "ну и йух с ним", бэкапы ежедневные. Полезли откатывать, так выяснилось что эта хрень ломанула учетку пользователя, влезла на сервак, ПОЧИСТИЛА бэкапы и шифранула все. С таким сталкиваемся первый раз. Сегодня проверим дешифратор
0
 Kirill2013 отправил
Ещё раз спасибо за новость. Утро понедельника началось с хорошего настроения!
0
Kajerun отправил
Помню знакомому в таком случае просто систему менял и все было ок.
Зато помню на телефоне с системой андроид видел подобное, удивился конечно, но перепрошивка также помогла
0
 Kirill2013 отправил
Систему то можно переустановить, вот только это не поможет расшифровать фотки и др. важную инфу.
0
Kajerun отправил
Наверное я все-таки сталкивался с вирусом без шифрования. Просто баннер типа "ваш компьютер заблокирован за просмотр запретного прона" итд. С файлами проблем не было
0
 SergiuZ отправил

Зашифрованное вирусом ещё есть шанс расшифровать, если шифровальщик распространённый. А вот к моим давним клиентам, которых обслуживал ещё до того, как устроился на постоянку, тупо влезли через открытый порт rdp и хацкер вручную запаковал в раровский архив с паролем все данные, а все исходные файлы и бэкапы стёр эрейзером, чтобы восстановить нельзя было. Там без вариантов было - только башлять.    

0
laurum отправлено
!
-4
 YaLublyMayonez отправлено

ты теперь после того как дали бесплатную подписку на хакер.ру будешь от туда на пикабу все посты вылаживать?

+1
 AkkaK отправлено

Вылаживать...

-2
 YaLublyMayonez отправлено

просто все КЛАДУТ и ВЫКЛАДЫВАЮТ, а я ЛОЖУ и ВЫЛАЖИВАЮ :)))

раскрыть ветвь 1
0
 Pe4eNEG отправил
"вылаживать"?)
ещё комментарии


Пожалуйста, войдите в аккаунт или зарегистрируйтесь