зашифровано с расширением *id-*_blockchain@inbox.com* , возможно, Filecoder.DG

RSS
Здравствуйте! Подловили шифровальщик "Текстовый документ.txt.id-4701762356_blockchain@inbox". Во вложении пара файлов.

Ответы

Для начала
http://forum.esetnod32.ru/forum9/topic2687/

sendvirus2019@gmail.com
Добрый день.
Бухгалтер открыла файл с почты и поймала данный шифровальщик.

Вот файл автозапуска и файл из письма. Пароль на архив infected.
тело шифратора здесь сохранилось, активного шифратора нет.

Цитата
Полное имя                  C:\DOCUMENTS AND SETTINGS\VMAIBORODA.VENDOR\LOCAL SETTINGS\TEMP\RAR$EX00.846\ПЕРЕРАСЧЕТ ПО ИТОГАМ ПЕРВОГО КВАРТАЛА 2015 ГОДА.EXE
Имя файла                   ПЕРЕРАСЧЕТ ПО ИТОГАМ ПЕРВОГО КВАРТАЛА 2015 ГОДА.EXE
Тек. статус                 ?ВИРУС? [Запускался неявно или вручную]
                           
www.virustotal.com          2015-07-29
Kaspersky                   UDS:DangerousObject.Multi.Generic
BitDefender                 Gen:Variant.Symmi.38885
DrWeb                       Trojan.Encoder.741
ESET-NOD32                  a variant of Win32/Injector.CFTE
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     55B67209C3000
Linker                      6.0
Размер                      365568 байт
Создан                      27.07.2015 в 18:20:36
Изменен                     27.07.2015 в 18:20:36
                           
TimeStamp                   27.07.2015 в 18:01:45
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            dwengine.exe
Версия файла                6.0.3.02040 (Build 8304)
Версия продукта             6.0.3.02040
Описание                    Dr.Web ® Scanning Engine
Продукт                     Dr.Web ® Anti-Virus
Copyright                   Copyright © Doctor Web, Ltd., 1992-2011
Производитель               Doctor Web, Ltd.
                           
Доп. информация             на момент обновления списка
SHA1                        2633C7BC42808ACA48C4AB9A7F33EFAA34DE7C0F
MD5                         428778683A46A5972DAA545148AC1E8B
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1971894017-3069099733-274846109-1162\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\VMAIBO~1.VEN\LOCALS~1\TEMP\RAR$EX00.846\ПЕРЕРАСЧЕТ ПО ИТОГАМ ПЕРВОГО КВАРТАЛА 2015 ГОДА.EXE
----------
при наличие лицензии на наш  антивирус обратитесь за помощью в техническую поддержку support@esetnod32.ru

рекомендую если вы используете корпоративную ESET NOD32 перейти хотя бы на 5 версию                        
+
в локальные политики добавить запрет на запуск исполняемых файлов из архивов.
Спасибо, отправил письмо в техническую поддержку.
Читают тему (гостей: 2)