CrySiS Ransomware - zaszyfrowane wszystkie pliki w postaci <email>.CrySiS

[damascus7]

Witam. Dziś rano po weekendzie włączając komputer okazało się, że wszystkie pliki, dane na komputerze zostały zaszyfrowane przez ransomware grupy CrySiS. Przykładowy plik na nazwę: TeamViewer.exe.id-E842183D.{mailrepa.lotos@aol.com}.CrySiS. W komputerze nie był otwierany żaden email, żaden program, po prostu służy za serwer i chodzi non stop i nikt z niego nie korzysta, a z raportów bazy danych wynika że atak miał miejsce w niedzielę ok 1 w nocy. Komputer nie ma antywirusa (wymysł informatyka bo i tak nikt z tego komputera nie korzysta). Generalnie jestem w czarnej d... bo inne komputery pobierają pewne dane z serwera, a bez tego nie mogę pracować. Zrobiłem skan FRST i GMER i załączam pliki. GMER nic nie wykrył więc skan jest pusty. Trochę czytałem w internecie i sprawa jest poważna. Nie mogę usiedzieć w miejscu, więc potem zrobiłem skan malwarebytes anti-malware ale nic nie wykrył. Proszę o pomoc.
 

FRST.txt

Shortcut.txt

Addition.txt

[picasso]

Opisy infekcji: KLIK / KLIK / KLIK. Niestety, nie ma szans na odkodowanie plików nowych wariantów, a id-numer.{mailrepa.lotos@aol.com}.CrySiS to nowy wariant. Niektóre starsze warianty był w stanie odkodować ESET, dla swoich klientów.

 

 

W komputerze nie był otwierany żaden email, żaden program, po prostu służy za serwer i chodzi non stop i nikt z niego nie korzysta, a z raportów bazy danych wynika że atak miał miejsce w niedzielę ok 1 w nocy. Komputer nie ma antywirusa (wymysł informatyka bo i tak nikt z tego komputera nie korzysta). Generalnie jestem w czarnej d... bo inne komputery pobierają pewne dane z serwera, a bez tego nie mogę pracować. (...) Nie mogę usiedzieć w miejscu, więc potem zrobiłem skan malwarebytes anti-malware ale nic nie wykrył.

W podanych tu raportach nie ma żadnych śladów aktywnej infekcji, tylko notki ransom (m.in. wstawione do katalogu Autostart). Skanery więc tu raczej nic nie wykryją, bo nie ma co wykrywać... Brak obecności / widoczności infekcji może wynikać z następujących przyczyn:

- Przeważnie infekcja ma planowane samoczynne skasowanie się po wykonaniu zadania szyfrowania, gdy nie jest już po prostu potrzebna.

- Oglądamy nie to środowisko użytkownika co należy. Podałeś raporty z wbudowanego serwisowego konta Administrator, wg FRST są conajmniej dwa dodatkowe Adm1n i k. A nie wykluczone że więcej. FRST wykrywa tylko i wyłącznie jeden typ kont lokalnych, schematy serwerowe nie są obsługiwane.

- Widziany tu serwer nie jest źródłem. Atak mógł nastąpić z poziomu komputera klienckiego. Infekcja szyfrująca atakuje wszystkie możliwe dyski lokalne i sieciowe. Wystarczyło, że jeden z komputerów miał częściowy dostęp do serwera i już po zabawie.

 

Ostrzeżenie, zwróć uwagę na zdolności wykradania haseł (cytat z trzeciego linka) :

 

According to a new report, Crysis doesn't just encrypt and hold a computer's files hostage. It also has the ability to exfiltrate data and user credentials stored in the machine. The malware can also remotely take over an infected computer by stealing its administrator privileges. Wayne Rash writes, "The Crysis malware also copies the admin login information for any computer it attacks to its command-and-control server, allowing that machine and others to be attacked as long as the credentials haven't been changed."

 

---

 

Z zakodowanymi danymi nic nie jestem w stanie zrobić. Jedyne więc w czym mogę pomóc, to usunięcie masowo nabitych notatek ransom i działania poboczne.

 

1. Usunięcie notatek ransom. Otwórz Notatnik i wklej:

 

attrib -r -h -s "C:\How to decrypt your files.*" /s
del /q /s "C:\How to decrypt your files.*"
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako DEL.BAT

 

Kliknij prawym na plik i z menu wybierz opcję Uruchom jako administrator.

 

2. Próbując się ratować zainstalowałeś lewy skaner SpyHunter. Skorzystaj z narzędzia SpyHunterCleaner.

 

3. Konieczna szybka zmiana wszystkich poświadczeń logowania. Sugerowany też kompleksowy format.

[romand]

Witam

Mam pytanie do Picasso: Jak utworzę folder (kontener) programem True Crypt 7.1a z odpowiednio silnym hasłem, to czy programy typu TeslaCrypt, CrySiS itp, będą potrafiły zaszyfrować pliki przechowywane w tym kontenerze?

Pz

[picasso]

damascus7

 

Upłynął miesiąc, brak odpowiedzi, więc temat zamykam.

 

 

romand

 

Tę kwestię objaśnia odpowiedź tutaj: KLIK.

 

Because Truecrypt is transparent On-The-Fly encryption, in an FDE scenario, the attacker would be encrypting the plaintext-data within the container, which Truecrypt would then convert to ciphertext-data, so yes, it can affect you, but no it is not "overwriting" the truecrypt encryption. The OS can't see the Truecrypt layer, just the plaintext that Truecrypt exposes when the encrypted disk is mounted.

 

So you would in effect be storing encrypted data that someone else (the ransomware) had already encrypted once. Alternately, Ransomware might encrypt a truecrypt volume (non-FDE) upon your filesystem by encrypting the container file. Once you decrypted the files the ransomware messed with, your Truecrypt volume would revert to being exactly as it was before the attack.

 

The only way to protect your data from Ransomware at a disk level is to prevent your user from writing to that data. If the user can write, then the attacker can encrypt your files and delete the originals.

[picasso]

Na wszelki wypadek zawiadamiam, że jakiś czas temu wyciekły master-klucze i RakhniDecryptor został zaktualizowany pod kątem dekodowania CrySiS: KLIK.