Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано с расширением *id-*[email protected] , Filecoder.DG

RSS
 
Александр Окуличев
Александр Окуличев
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 03.02.2015
Размещено 03.02.2015 10:53:57
Сегодня в организации у нас на обеде запустился шифровальщик, источник найти не удалось, поработал он и перестал, но много очень файлов было зашифровано, помогите пожалуйста вернуть их к жизни, пример файлов высылаю..
На вашем антивирусе уже давно сидим, не было таких проблем..

Ответы

Пред. 1 2 3 4 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.02.2015 06:44:48
образ чистый. по расшифровке обращайтесь в [email protected]
есть у них расшифровка для данного типа шифраторов или нет.

и не забываем о копиях данных.
файловый сервер без резервного копирования данных, это все равно что башни Близнецы (Всемирного торгового центра) в Нью-Йорке.
[ Как создать образ автозапуска? ]
 
Александр Окуличев
Александр Окуличев
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 03.02.2015
Размещено 04.02.2015 06:55:37
Образ чистый потому что не на серваке запустился вирус, а с рабочей станции в сети общей..
А в саппорт писать обычным письмом? Или с сайта вашего?
Резервные копии в 4Тб файлов к сожалению пока не где делать..
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.02.2015 07:02:17
можно ссылку дать на тему этого форума, в support да, обычным письмом. в [email protected]
когда получите номер обращения, можно так же и позвонить, уточнить по возможности расшифровки данного вида шифратора.
-------
к сожалению, мы сейчас уже  перешли в другую реальность.
когда защитить и сохранить данные только средствами антивируса не представляется возможным.
нужны так же и другие механизмы защиты:
а именно:
1.резервное копирование данных.
2. настройка локальных политик ограничения запуска программ.
-----------
без этих инструментов вы будете постоянно подвергать опасности данные вашей компании.

кстати, в некоторых компаниях уже это практикуется,
когда один админ работает по антивирусной безопасности, другой - по резервному копированию и локальных политикам безопасности.
Изменено: santy - 17.06.2016 10:46:05
[ Как создать образ автозапуска? ]
 
Радмир Анима
Радмир Анима
Пользователь
Сообщений: 1
Регистрация: 04.02.2015
Размещено 04.02.2015 15:28:30
Добрый день.
К секретарю пришло письмо — Судебная повестка по гражданскому делу №18244. Она его собственно и запустила. После чего зашифровались файлы на ее ПК и на нескольких, которые были доступны по сети.
В приложениях: 1 – зашифрованный файл; 2 – браз автозапуска; 3 – сам вредоносный файл (пароль — infected)
Изменено: Валентин - 17.06.2016 10:48:26
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 04.02.2015 15:42:31
Здравствуйте,

У Вас имеется всё необходимое для попытки подбора дешифратора, но необходимо переслать запрос на электронный адрес [email protected]

В письме укажите логин по Вашей лицензии.

P.S.>> На форуме выкладывать вредоносные файлы запрещено. Даже запароленные.
ESET Technical Support
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.02.2015 16:41:15
по очистке системы выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


;uVS v3.85.3 [http://dsrt.dyndns.org]
Код
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %SystemDrive%\DOCUME~1\9335~1\LOCALS~1\TEMP\208036.EXE
delref HBFUVWIC.BZ
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=C6BCF45B13BAFB4DD740727C5ED3F177&TEXT={SEAR...
;------------------------autoscript---------------------------

chklst
delvir

; Java(TM) 6 Update 31
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet
REGT 28
REGT 29
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
 
Александр Окуличев
Александр Окуличев
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 03.02.2015
Размещено 05.02.2015 05:28:30
В саппорт написал, уже общаемся с ними.
По поводу наставлений хотел сказать, что это всё понятно, что нужно делать и как, но не всегда есть такие возможности, особенно в маленьких компаниях!
А хотелось бы получить дешифратор, а не нравоучения читать, если ваш продукт пропустил вирус, то тут не я виноват уже в первую очередь.. Будем надеяться, что служба поддержки поможет. Спасибо!
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.02.2015 05:40:49
ну, объективно говоря, наставлений читать никто не любит. Так же как и признавать свою часть (или долю) ответственности за инциденты в сети, связанные с безопасностью данных.

по шифраторам можно сказать что случаи с bat.encoder-ом, ctb locker-ом безнадежны для восстановления, хотя прошел уже почти год с момента их запуска в сети.
encoder.741 все зависит от вирлабов, насколько активно они занимаются разбором шифраторов, поскольку основная их работа - это выпускать сигнатуры, и правила для HIPS для предотвращения запуска вредоносных программ.
Изменено: santy - 17.06.2016 10:46:05
[ Как создать образ автозапуска? ]
 
Александр Окуличев
Александр Окуличев
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 03.02.2015
Размещено 05.02.2015 07:03:00
Ну ребята, что запустили этот вирус расшифровали мне пять файлов, списывался с ними, хотят денег за дешефратор.. Dr.web занимается тоже активно разработкой дешефраторов и у них успехи есть, но они только для своих клиентов работают..
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.02.2015 09:57:17
*[email protected] - это скорее всего вариант encoder.741. поскольку у ДрВеб есть успешные расшифровки другого варианта encoder.741 (*[email protected]), то вполне возможно, что они и для этого варианта найдут решение.
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 4 След.
Читают тему