Выбрать дату в календареВыбрать дату в календаре

1 2 3 4 5 6 7 8 9 10 11 ... 1609 След.
Шифровирусы шумной толпою
добавьте несколько зашифрованных и незашифрованных файлов,
+ записку о выкупе, если есть
+
сделайте образ автозапуска системы, где произошло шифрование.
отключается клавиатура, отключилась юсб клавиатура, ps2 клавиатура отключается со временем..
попробуйте погуглить по этой проблеме:
"отключается usb клавиатура"
возможно найдется для вас решение
Добавление файла в исключения.
Цитата
Arxangel написал:
Со вторым пунктом вопроса, по прежнему нужна помощь.
добавьте образ автозапуска
отключается клавиатура, отключилась юсб клавиатура, ps2 клавиатура отключается со временем..
+
замените клавиатуру и мышь - проверьте результат
поговорить о uVS, Carberp, планете Земля
ESET machine-learning engine Augur versus the most infamous ransomware families of 2017

(ESET машинное обучение в движке Augur  против наиболее известных семейств ransomware 2017 года)


Чтобы продемонстрировать результаты Augur, мы протестировали его ранние сборки, полученные в первые месяцы 2017 года, против самых распространенных штампов ransomware, ориентированных на бизнес-среду в конце этого года. Набор тестов включал в себя образцы Diskcoder.C / NotPetya, DiskCoder.D / BadRabbit и WannaCryptor.D / WannaCry, а также множество вариантов Crysis ransomware.

Результаты показывают, что, несмотря на то, что модель Augur на несколько месяцев старше образцов вредоносных программ, коэффициент обнаружения файлов высокий, в некоторых случаях близок к безупречному. Тем не менее, самым важным результатом является то, что Augur смог правильно идентифицировать вредоносный характер образца в момент его запуска в память зараженного устройства. Это предоставит защитникам возможность остановить угрозу до того, как она может нанести серьезный ущерб в инфраструктуре компании.

[IMG WIDTH=900 HEIGHT=600]https://cdn1.esetstatic.com/ESET/US/Newsroom/2018/cpb-augur-table-900x600.jpg[/IMG]

https://www.eset.com/us/about/newsroom/corporate-blog/eset-machine-learning-engine-augur-versus-the-most-infamous-ransomware-families-of-2017/

https://www.welivesecurity.com/wp-content/uploads/2018/08/Can_AI_Power_Future_Malware.pdf
отключается клавиатура, отключилась юсб клавиатура, ps2 клавиатура отключается со временем..
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall F:\REIMAGEREPAIR.EXE
delref E:\SETUP.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT INTELLIPOINT\IPOINT.EXE
delref %SystemDrive%\PROGRAM FILES\SKILLBRAINS\UPDATER\UPDATER.EXE
delref WINHTTP.DLL
delref %SystemDrive%\PROGRAM FILES\KERIO\WINROUTE FIREWALL\WINROUTE.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\DEREK\РАБОЧИЙ СТОЛ\TOR BROWSER\BROWSER\FIREFOX.EXE
delref %SystemDrive%\PROGRAM FILES\SKILLBRAINS\LIGHTSHOT\LIGHTSHOT.EXE
delref %SystemDrive%\PROGRAM FILES\SKILLBRAINS\LIGHTSHOT\UNINS000.EXE
apply

deltmp
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\INF\MSNETMTG.INF,NETMTG.INSTALL.PERUSER.NT
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {88895560-9AA2-1069-930E-00AA0030EBC8}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref UXPATCH\[SERVICE]
delref %Sys32%\DRIVERS\NM.SYS
delref UPLOADMGR\[SERVICE]
delref %Sys32%\DRIVERS\CHANGER.SYS
delref %Sys32%\DRIVERS\I2OMGMT.SYS
delref %Sys32%\DRIVERS\PDCOMP.SYS
delref %Sys32%\DRIVERS\PDFRAME.SYS
delref %Sys32%\DRIVERS\PDRELI.SYS
delref %Sys32%\DRIVERS\PDRFRAME.SYS
delref %Sys32%\DRIVERS\WDICA.SYS
delref %Sys32%\PSXSS.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\C:\WINDOWS\SYSTEM32\OOBE\MSOOBE.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Ransom.Shade; ransom_note: readme*.txt
[QUOTE]Vladimir Makhonin написал:
но  по указанному пути нет папки с временным файлом  4\RAD6FEB9.TMP[/QUOTE]
этот файлик (судя по характерному параметру в реестре Client Server Runtime Subsystem) и выполнил шифрование ваших файлов, но скорее всего был удален антивирусом через некоторое время
[QUOTE]KVRT и drweb cureit отработали[/QUOTE]
или по этой причине.
[QUOTE]Может это быть из-за того, что пользователь выходил из сеанса и папка очистилась?[/QUOTE]
в данном случае скрипт выполнит только очистку параметра в реестре.
более, чего то вредоносного в системе уже нет.
автоматической перезагрузки системы не будет.
отключается клавиатура, отключилась юсб клавиатура, ps2 клавиатура отключается со временем..
добавьте образ автозапуска системы
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Ransom.Shade; ransom_note: readme*.txt
[QUOTE]Vladimir Makhonin написал:
Добрый день.Прошу проверить образ автозапуска на наличие остатков вирусов. [/QUOTE]

по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\USER15\APPDATA\LOCAL\TEMP\4\RAD6FEB9.TMP
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
поговорить о uVS, Carberp, планете Земля
кроме того, там же,
по уже после очистки от BOOT.DarkGalaxy, система была не пропатчена, и еще раз произошло заражение через сетевую атаку и WMI

можно предположить, что на этот раз в WMI был прописан запуске через powershell закодированного скрипта.

[QUOTE]powershell.exe в Windows
и грузит ЦП на 50% [/QUOTE]

[QUOTE]Процесс: 1
Spyware.InfoStealer.Themida, C:\WINDOWS\TEMP\COHERNECE.EXE, Проигнорировано пользователем, [8497], [529451],1.0.7465

Модуль: 1
Spyware.InfoStealer.Themida, C:\WINDOWS\TEMP\COHERNECE.EXE, Проигнорировано пользователем, [8497], [529451],1.0.7465

Инструментарий управления Windows (WMI): 3
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:__FilterToConsumerBinding.Consumer="CommandLineEventConsumer.Name=\"Windows Events Consumer\"",Filter="__EventFilter.Name=\"Windows Events Filter\"", Проигнорировано пользователем, [14167], [528077],1.0.7465
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:__EventFilter.Name="Windows Events Filter", Проигнорировано пользователем, [14167], [528077],1.0.7465
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:CommandLineEventConsumer.Name="Windows Events Consumer", Проигнорировано пользователем, [14167], [528077],1.0.7465
[/QUOTE]

+
добавлю строки из раскодированного скрипта.
взят из другого примера.

[QUOTE]$se=@(('update.7h4uk.com'),('info.7h4uk.com'),('185.128.43.62'),('185.234.217.139'))


$defun=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($funs))

RunDDOS "[B]cohernece.exe[/B]"

KillBot('System_Anti_Virus_Core')[/QUOTE]
1 2 3 4 5 6 7 8 9 10 11 ... 1609 След.