Если запрещаем конечный файл: [B]C:\DOCUME~1\\LOCALS~1\Temp\[COLOR=#FF0000]sdelete.exe[/COLOR][/B] (утилита безвозвратного удаления файлов)
Файлы шифруются но оригиналы не удаляются, и папка [B]C:\Documents and Settings\%USERNAME%\Application Data\gnupg[/B] остается полной.

Спасибо.
Этот вирус зашифровывает документы, изображения, архивы, на всех жестких дисках и флешках.

Достаточно блокирующего HIPS правила:

[QUOTE]Исходные приложения:
для всех

Конечные приложения:
[COLOR=#0000FF]C:\Windows\System32\wscript.exe[/COLOR][/QUOTE]
[COLOR=#FF0000]Нельзя использовать правила с запросом.[/COLOR] Не корректно блокируются действия при запросе (т.к. необходимо указывать все системные приложения, с которыми взаимодействует вирус)

Отправил, тема: Virus шифровальщик .js
Пароль к архиву .7z - [B]virus[/B]

Кому из аналитиков отправить?
О вирусе шифровальщике, в теме: http://forum.esetnod32.ru/messages/forum9/topic11235/message79942/#message79942

На Касперском пострадавший выложил шифровальщика, куда скинуть?
Весит всего [B]1,4 Кб[/B] использует [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]wscript.exe[/COLOR] работает через .js (Java) зашифровывает документы и изображения на всех жестких дисках и флешках.

Обработчик команд Windows: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]wscript.exe[/COLOR]
Утилита редактирования системного реестра из командной строки: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]reg.exe[/COLOR]
Microsoft ® Windows Based Script Host: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]cmd.exe[/COLOR]
Attribute Utility: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]attrib.exe[/COLOR]
Служебная программа для поиска строк (QGREP): [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]findstr.exe[/COLOR]
Change CodePage Utility: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]chcp.com[/COLOR]
Принудительное завершение процесса: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]taskkill.exe[/COLOR]

Возможно ключ или создание ключа: [COLOR=#000000]C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[/COLOR][COLOR=#FF0000]keybtc.exe[/COLOR]
Поддельный системный файл: [COLOR=#000000]C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[/COLOR][COLOR=#FF0000]svchost.exe[/COLOR]
Поддельный системный файл: [COLOR=#000000]C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[/COLOR][COLOR=#FF0000]taskmngr.exe[/COLOR]
Файл подчистки, возможно удаления оригинальных файлов: [COLOR=#000000]C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[/COLOR][COLOR=#FF0000]sdelete.exe[/COLOR] (утилита безвозвратного удаления файлов)
Какой-то тунель: [COLOR=#000000]C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[/COLOR][COLOR=#FF0000]stunnel.exe[/COLOR] (stunnel - multiplatform SSL tunneling proxy)
[COLOR=#FF0000]bitdata.cmd + keyb.cmd[/COLOR]

[COLOR=#EE1D24][B]Скан-копии счетов.zip[/B][/COLOR]
[COLOR=#FF0000]Счета н.12, н.124 - ЗАО НПО Берег - поставка противопожарного оборудования (систем) - рукава, огнетушители, системы пожаротушения от 10.2014.dосх .js[/COLOR]

Скрытый текст

[QUOTE]Внимание. Ваши документы, фото, базы данных, а также другие важные файлы, были зашифрованы при помощи криптостойкого алгоритма RSA-1024. 1. Компьютер зашифрован 1.1. К сожалению, Вы стали жертвой вируса-шифровальщика. 1.2. Проведем паралель работы вируса-шифровальщика на примере материального предмета (=Вашего файла) - Вирус берет Ваш чемодан с документами. - Используя 1024 битный ключ выполняет его шифрование(это не кладет его под замок-оболочку, нет). - Вирус перетирает содержимое в пыль, фактически затирая и перезаписывая каждый байт данных при помощи уникального ключа - Вы сможете из пыли собрать чемодан с документами? Нет. - Восстановить данные можно имея только специальный ключ, который содержится у нас в базе. 2. Подробнее 2.1. Каждый компьютер/пользователь имеет свой уникальный ключ (KEY.PRIVATE) и дополнительный файл-идентификатор (UNIQUE.PRIVATE) 2.2. Для восстановления всех Ваших данных нужны только эти два файла. 2.3. Все гарантии дешифрования Вы получите в процессе работы с автоматизированной системой [email protected] 2.4. Ваш случай - ассиметричное шифрование RSA-1024, используется в военной сфере. Подобрать/взломать его невозможно. При шифровании, в разные места компьютера был скопирован 'KEY.PRIVATE' и специальный ID-файл 'UNIQUE.PRIVATE'. Не потеряйте их () 3. Решение вопроса 3.1. У Вас есть 2 варианта: - если данные важны - делаем запрос на дешифрование. Вполне разумное решение - если данные не важны - форматируем диск Не стоит ждать появления универсального дешифратора от антивирусных лабораторий. Беспокоимся про ограниченные сроки годности Вашего ключа. 3.2. Ваши ресурсы, необходимые для быстрого решения вопроса: - KEY.PRIVATE - UNIQUE.PRIVATE - Несколько зашифрованных файлов с расширением .keybtc@gmail_com 3.3. Без вышеперечисленных составляющих дешифровка не представляется возможной. 4. ГАРАНТИИ восстановления, а также пошаговая инструкция. 4.1. Автоматизированная система KEYBTC построена таким образом, что она учитывает Ваши интересы в получении гарантий. - Вы получаете гарантии от нас. Система демонстрирует, что Ваши файлы подлежат восстановлению. Для этого Вы отправляете два зашифрованных файла с расширением keybtc@gmail_com нам на почту. В ответ, Вы получите два тестовых расшифрованных файла и дальнейшие шаги. Тестовое дешифрование предоставляет Вам гарантию того, что мы можем дешифровать файлы. - Вы получаете гарантии людей, кто уже работал с нами и восстановили данные. В нашем Твиттер аккаунте система автоматически публикует e-mail покупателей. Можете написать письмо, поинтересоваться. 4.2. При подаче нам запроса, для определения стоимости и предоставления гарантий, необходимо отправить нам следующее: - вложение к письму без архива: KEY.PRIVATE - вложение к письму без архива: UNIQUE.PRIVATE - [по желанию] тестовый зашифрованный файл с расширением .keybtc@gmail_com не более 3МБ - [по желанию] 2-й тестовый зашифрованный файл с расширением .keybtc@gmail_com не более 3МБ. Более 2-х файлов не отправляйте. Для демонстрации дешифрования этого достаточно. - Система определит, если Вы решите проявить хитрость и подменить расширение с xls на doc. Стоимость резко вырастет. 4.3. Тестовое дешифрование разрешено ТОЛЬКО следующих типов файлов: (JPG, JPEG, PDF, DOC, DOCX) и НЕ БОЛЕЕ 3 мегабайт за файл. 4.4. ВАЖНО. XLS, базы 1C и пр важные документы по понятным причинам не дешифруются для демонстрации. При получении дешифратора они будут восстановлены, как и остальные файлы. 4.5. АВТООТВЕТЧИК: [email protected] 5. Другие моменты 5.1. Если в течение длительного времени Вы не получите ответа - напишите с другой почты. 5.2. После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители. 5.3. В процессе дешифрования желательно не трогать компьютер, () ДВА раза запускать с ключем дешифратор не нужно. 5.4. Сам процесс дешифрования происходит в скрытом режиме (обычно до 6-ти часов) 5.5. Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте виртуальную систему и там проведите дешифровку. 5.6. Если какие-то файлы не будут окончательно расшифрованы, читайте FAQ 5.7. После дешифрования все оригинальные имена файлов восстанавливаются 5.8. Во время работы Вы получите дополнительные инструкции по почте. 6. FAQ (Вопрос-Ответ) [-] Где найти KEY.PRIVATE и UNIQUE.PRIVATE = При начале работы ПО, KEY.PRIVATE копируется в несколько мест, дабы Вы его не удалили где-то = Без файла KEY.PRIVATE дешифровка невозможна. Он может находится по след. путям: Корни дисков, папка APPDATA, папка TEMP = Программа дешифрвщик будет идти вместе с ключем и инструкцией [-] Я не могу найти KEY.RPIVATE и UNIQUE.PRIVATE. = Возможно это сетевой диск, поищите в папках C:\Users\vitalii\AppData\Roaming на всех компьютерах сети [-] А если мне нужно только 1 файл дешифровать и все? А у меня 50 тыс ненужных?? = К сожалению, у Вас есть выбор или дешифровать все, или ничего. [-] ОЧЕНЬ ВСЕ СЛОЖНО КАК-ТО, я ничего не понимаю = Процедура очень проста. 1. Ваши файлы зашифрованы. Расшифровать можем только мы. Для получения стоимости и гарантий отправьте нам письмо с KEY и UNIQUE. Посетите Twitter 2. При отправке запроса, Нашли KEY.PRIVATE и UNIQUE.KEY на своем ПК, взяли пару зашифрованных файлов - отправили автоответчику [email protected] 3. Через некоторое время получаете автоматический ответ с гарантиями, инструкцией и стоимостью 4. Получаете ключ дешифрования после оплаты, ПО и инструкцию по дешифрованию 7. НОВОСТИ И ГАРАНТИИ 7.1. Проводится небольшой набор партнеров. Подробнее ищите в Интернете или пишите на почту [email protected] 7.2. Обращаем внимание, система работает в Автоматическом режиме Начиная от обработки запросов и заканчивая отправкой Ваших ключей из базы. 7.3. Новостная лента, а также ГАРАНТИИ (почты покупателей) в Твиттере: http://twitter.com/keybtc - пишите им, интересуйтесь. Много корпоративных почт. Время блокировки: 02.10.2014 / [/QUOTE] [COLOR=#FFFFFF]earthlings.com/?page_id=12[/COLOR]

[QUOTE]Исходные приложения:
для всех

Конечные файлы:
C:\DOCUME~1\\LOCALS~1\Temp\bitdata.cmd
C:\DOCUME~1\\LOCALS~1\Temp\pubring.gpg
C:\DOCUME~1\\LOCALS~1\Temp\sdelete.exe[/QUOTE]

[QUOTE](для XP не прошел фокус с сокращенным именем пути и двумя слэшами.)[/QUOTE]
Какой путь был?

[QUOTE]cmd-ник делал копию файла[/QUOTE]
Тут да... если 1 файл указан, его копировать можно, просто правила не точные, была бы еще галка на запрет копирования при доступе к этому файлу.

На Windows XP работает только так:

[QUOTE]Исходные приложения:
для всех

Конечные файлы:
C:\[COLOR=#0072BC]DOCUME~1[/COLOR]\\[COLOR=#0000FF]Application Data[/COLOR]\gnupg\*
C:\[COLOR=#0072BC]DOCUME~1[/COLOR]\\[COLOR=#91278F]LOCALS~1[/COLOR]\Temp\pubring.gpg
C:\[COLOR=#0072BC]DOCUME~1[/COLOR]\\[COLOR=#91278F]LOCALS~1[/COLOR]\Temp\secring.gpg[/QUOTE]
[COLOR=#000000]Document Settings[/COLOR] нужно сокращать в [COLOR=#0072BC]DOCUME~1[/COLOR]
[COLOR=#0000FF]Application Data[/COLOR] нельзя сокращать в [COLOR=#FF0000]APPLIC~1[/COLOR]
[COLOR=#91278F]Local Settengs[/COLOR] нужно сокращать в [COLOR=#045F20]LOCALS~1[/COLOR]

Доступ к этим файлам не получит ни одно приложение, где бы оно не было.
И само приложение не сможет создать файлы в этих папках.

Не хватает возможности использовать маску [B]*.gpg[/B] тогда было бы намного серьезнее.
Еще лучше если во всей папке Temp или Application Data запрещать маски [B]*.gpg[/B]

Завтра попробую.
Пока вопрос, как следить за файлами из любой папки, если вдруг папка TEMP будет изменена.

Нашел исходную программу Gpg4win
Файлы она хранит здесь:
[COLOR=#0000FF]C:\Documents and Settings\Virlab\Application Data\gnupg\[/COLOR][COLOR=#FF0000]pubring.gpg[/COLOR] и [COLOR=#FF0000]pubring.gpg.lock[/COLOR]
[COLOR=#0000FF]C:\Documents and Settings\Virlab\Application Data\gnupg\[/COLOR][COLOR=#FF0000]secring.gpg[/COLOR] и [COLOR=#FF0000]secring.gpg.lock[/COLOR]

Это если устанавливать программу. Вирусный файл в другом месте держит файлы.
В общем если указать эти файлы, файлы не шифруются.

Выбирать эти файлы исходным приложением, [B]не работает[/B].
Работает указание конечным приложением:
[COLOR=#0000FF]C:\Documents and Settings\Virlab\Application Data\gnupg\[/COLOR][COLOR=#FF0000]pubring.gpg[/COLOR]
[COLOR=#0000FF]C:\Documents and Settings\Virlab\Application Data\gnupg\[/COLOR][COLOR=#FF0000]secring.gpg[/COLOR]

Как я понял вся суть работы шифровальщика, получить команды в [B]cmd[/B] и затем через него шифровать и удалять не шифрованные исходные файлы.