у нас - это где? на форуме? здесь никто не занимается тестированием защиты от Ransomware. За исключением, может быть mike_1. Но он использует реальные сэмплы шифраторов.

RansomFree инструмент помогает защитить ПК на базе Windows против вымогателей
https://www.tripwire.com/state-of-security/latest-security-news/ransomfree-tool-can-help-defend-windows-pcs-ransomware/

скачать можно отсюда:
https://ransomfree.cybereason.com/download/

установка возможна на следующие системы:
Windows 7, 8, 10, 2008 R2 and 2012 R2
----------
вот это можно потестировать, но опять же, только на виртуальных машинах.

update:
кстати, crysis.dharma был "пойман с поличным" после шифрования файлов в папке-ловушке. переименован, исключен из автозапуска и выгружен.

santy

Нужно изменить инструкцию: http://forum.esetnod32.ru/forum9/topic2687/

А именно эту часть: " (или "сохранить образ автозапуска без проверки цифровых подписей "

Заменив на: Если вы не смогли  создать: Полный образ автозапуска, только тогда пробуйте: сохранить образ автозапуска без проверки цифровых подписей "
-------
Такое положение дел приводит к тому, что на форуме ежедневно появляются не полноценные образы.
Что в свою очередь увеличивает время проверки, и затрудняет анализ.

RP55,
можно ведь и по другому поступить. Не помог образ автозапуска (если он был сделан без цифровой) - запроси полный образ автозапуска.

В том - то и дело, что образ должен ПОМОГАТЬ, а не мешать.
А когда вместо того чтобы проверить: 30 файлов приходиться проверять 300 это уже не помощь.
Образы\системы конечно разные бывают.
Но это не дело: " Хочу так делаю... а хочу так. "
--------
Если нельзя создать полноценный образ автозапуска - тогда и только тогда, переходим к поиску иного варианта.
Опять же дедушка О́ккама и его запреть на размножение.

RP55,
далеко не всегда нужен полный образ автозапуска, а по времени без проверки цифровых подписей процесс протекает быстрее.
Чтобы удалить пару записей из секции браузеров.

не думаю, что юзер придерживается логики чем меньше тем, быстрее мне помогут.
Он в первую очередь заинтересован в предоставлении полной информации о зараженной системе.

santy
В  системе есть интересный файл.
https://forum.esetnod32.ru/messages/forum35/topic13894/message97796/#message97796
-----------
Полное имя                  C:\PROGRAMDATA\ORACLE\JAVA\JAVAPATH\JAVAW.EXE
Имя файла                   JAVAW.EXE
Тек. статус                 ?ВИРУС? ПРОВЕРЕННЫЙ ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                           
www.virustotal.com          2017-02-27
-                           Файл был чист на момент проверки.
                           
Удовлетворяет критериям    
0 БАЙТ                      (РАЗМЕР = 0 БАЙТ)(1) [skip (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ [Запускался неявно или вручную]
File_Id                     56AC0E7533000
Linker                      10.0
Размер                      0 байт
Создан                      20.01.2016 в 20:41:14
Изменен                     06.02.2016 в 21:31:31
                           
TimeStamp                   30.01.2016 в 01:14:29
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано "Oracle America, Inc."
                           
Оригинальное имя            javaw.exe
Версия файла                8.0.730.2
Описание                    Java™ Platform SE binary
Производитель               Oracle Corporation
                           
Доп. информация             на момент обновления списка
SHA1                        4B21B9B998957A6E56D1C7496A5502710763455E
MD5                         5B98DCE4893425BA4F08C2BE134CABE5
                           
Ссылки на объект            
SHORTCUT                    C:\USERS\HOUSE\DESKTOP\iBank2UA - Восстановление из резервной копии.lnk

это не единичный случай,
вот строка из лога FRST
что это означает? может быть неверно показывается в файловой системе размер файла, может что-то другое.

5 мая свой профессиональный праздник отмечают люди весьма редкой профессии. Это шифровальщики.

https://topwar.ru/114921-den-shifrovalschika-v-rossii.html


В 1921 году в этот день, согласно Постановлению Совета народных комиссаров РСФСР, для защиты информации и передачи данных за пределы страны, была создана криптографическая служба.

похоже, что атаки майнеров накануне эпидемии WNCry были реализованы так же через эксплойты от ShadowBrockers.

WannaCryptor wasn’t the first to use EternalBlue: Miners misused it days after Shadow Brokers leak

https://www.welivesecurity.com/2017/05/17/wannacryptor-wasnt-the-first-to-use-eternalblue/