зашифровано с расширением *id-*_xsmail@india.com , Filecoder.DG

RSS
Сегодня в организации у нас на обеде запустился шифровальщик, источник найти не удалось, поработал он и перестал, но много очень файлов было зашифровано, помогите пожалуйста вернуть их к жизни, пример файлов высылаю..
На вашем антивирусе уже давно сидим, не было таких проблем..

Ответы

образ чистый. по расшифровке обращайтесь в support@esetnod32.ru
есть у них расшифровка для данного типа шифраторов или нет.

и не забываем о копиях данных.
файловый сервер без резервного копирования данных, это все равно что башни Близнецы (Всемирного торгового центра) в Нью-Йорке.
Образ чистый потому что не на серваке запустился вирус, а с рабочей станции в сети общей..
А в саппорт писать обычным письмом? Или с сайта вашего?
Резервные копии в 4Тб файлов к сожалению пока не где делать..
можно ссылку дать на тему этого форума, в support да, обычным письмом. в support@esetnod32.ru
когда получите номер обращения, можно так же и позвонить, уточнить по возможности расшифровки данного вида шифратора.
-------
к сожалению, мы сейчас уже  перешли в другую реальность.
когда защитить и сохранить данные только средствами антивируса не представляется возможным.
нужны так же и другие механизмы защиты:
а именно:
1.резервное копирование данных.
2. настройка локальных политик ограничения запуска программ.
-----------
без этих инструментов вы будете постоянно подвергать опасности данные вашей компании.

кстати, в некоторых компаниях уже это практикуется,
когда один админ работает по антивирусной безопасности, другой - по резервному копированию и локальных политикам безопасности.
Изменено: santy - 17.06.2016 10:46:05
Добрый день.
К секретарю пришло письмо — Судебная повестка по гражданскому делу №18244. Она его собственно и запустила. После чего зашифровались файлы на ее ПК и на нескольких, которые были доступны по сети.
В приложениях: 1 – зашифрованный файл; 2 – браз автозапуска; 3 – сам вредоносный файл (пароль — infected)
Изменено: Валентин - 17.06.2016 10:48:26
Здравствуйте,

У Вас имеется всё необходимое для попытки подбора дешифратора, но необходимо переслать запрос на электронный адрес support@esetnod32.ru

В письме укажите логин по Вашей лицензии.

P.S.>> На форуме выкладывать вредоносные файлы запрещено. Даже запароленные.
ESET Technical Support
по очистке системы выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


;uVS v3.85.3 [http://dsrt.dyndns.org]
Код
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %SystemDrive%\DOCUME~1\9335~1\LOCALS~1\TEMP\208036.EXE
delref HBFUVWIC.BZ
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=C6BCF45B13BAFB4DD740727C5ED3F177&TEXT={SEAR...
;------------------------autoscript---------------------------

chklst
delvir

; Java(TM) 6 Update 31
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet
REGT 28
REGT 29
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
В саппорт написал, уже общаемся с ними.
По поводу наставлений хотел сказать, что это всё понятно, что нужно делать и как, но не всегда есть такие возможности, особенно в маленьких компаниях!
А хотелось бы получить дешифратор, а не нравоучения читать, если ваш продукт пропустил вирус, то тут не я виноват уже в первую очередь.. Будем надеяться, что служба поддержки поможет. Спасибо!
ну, объективно говоря, наставлений читать никто не любит. Так же как и признавать свою часть (или долю) ответственности за инциденты в сети, связанные с безопасностью данных.

по шифраторам можно сказать что случаи с bat.encoder-ом, ctb locker-ом безнадежны для восстановления, хотя прошел уже почти год с момента их запуска в сети.
encoder.741 все зависит от вирлабов, насколько активно они занимаются разбором шифраторов, поскольку основная их работа - это выпускать сигнатуры, и правила для HIPS для предотвращения запуска вредоносных программ.
Изменено: santy - 17.06.2016 10:46:05
Ну ребята, что запустили этот вирус расшифровали мне пять файлов, списывался с ними, хотят денег за дешефратор.. Dr.web занимается тоже активно разработкой дешефраторов и у них успехи есть, но они только для своих клиентов работают..
*xsmail@india.com - это скорее всего вариант encoder.741. поскольку у ДрВеб есть успешные расшифровки другого варианта encoder.741 (*protectdata@inbox.com), то вполне возможно, что они и для этого варианта найдут решение.
Читают тему (гостей: 2)