ESET CONNECT

[QUOTE]RP55 RP55 написал:
На канале предварительных обновлений  вышла версия 14.0.19.0 ( Английский, Хорватский... ) [/QUOTE]

для русской версии тоже есть обновление:

[QUOTE]Станислав Айкин написал:
Добрый день, требуется перейти с ERA 5 на новую версию, задача в том что в сети работают машины с windows xp, хотел поставить ERA 6 версии, т.к. Endpoint Antivirus 6 поддерживает windows xp. Соответственно вопрос, можно ли с помощью Security Management Center 7 управлять антивирусом Endpoint Antivirus 6.х? И не будет ли проблем с windows xp, т.е. установится ли агент Security Management Center 7 на windows xp?[/QUOTE]
по поддержке версий продуктов ESET из ESET Security Management Center7.2:
https://help.eset.com/esmc_admin/72/ru-RU/supported_products.html

по поддержке систем:
https://help.eset.com/esmc_install/72/ru-RU/?windows.html

RP55, ты постоянно данные темы здесь мониторишь, так что можно хотя бы раз и проверить как будет работать связка deldir+regt 18, а после этого снять логи FRST, для для большей точности, снять логи FRST+скрипт uVS с deldir+regt + новые логи FRST для проверки результата

[QUOTE]RP55 RP55 написал:
Так, как вирусы начали блокировать установку антивирусов  появились спец. скрипт\ы лечения.

[URL=https://www.cyberforum.ru/viruses/thread2711200.html]https://www.cyberforum.ru/viruses/thread2711200.html[/URL]
forum.kasperskyclub.ru/topic/74431-podhvatil-virusy-ne-zapuskaetsja-skanirovanie-kvrt/[/QUOTE]
да, видел эти темы. в uVS можно через exec cmd написать подобный скрипт, но опять же, чтобы это сделать, надо вначале увидеть все эти каталоги, и все равно придется получить логи в FRST, так проще тогда в FRST это сделать,
или через deldir пробовать вынести эти каталоги

[QUOTE]Ванька Яковлев написал:
на машинах с Win7 Sp1 не устанавливается Endpiont Antivirus 7.3[/QUOTE]

*в случае, если Вы получите сообщение, что Ваша ОС не поддерживается, то требуется убедиться, что в системе установлен пакет обновлений SP1, а также скачать и установить как минимум два обновления KB4490628 для 64-х битных систем и KB4474419 для 64-х битных систем, либо  KB4490628 для 32-х битных систем и KB4474419 для 32-х битных систем после чего повторно запустить установку последней версии.

https://www.esetnod32.ru/support/knowledge_base/solution/?IBLOCK_ID=53&SECTION_ID=1777&ELEMENT_ID=1247712

Возможно, будет реализован VT API v3

[QUOTE]VT APIv3 is the preferred way to programmatically interact with VirusTotal. While older API endpoints are still available and will not be deprecated, we encourage you to migrate your workloads to this new version. It exposes far richer data in terms of: IoC relationships, sandbox dynamic analysis information, static information for files, YARA workloads management, crowdsourced detection details, etc.[/QUOTE]

https://developers.virustotal.com/v3.0/reference#overview

+
лог esetsysinspector добавьте
http://forum.esetnod32.ru/forum9/topic10701/

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:


[QUOTE] .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; .NEWS; wrar; 2NEW; .msh; .CU; .rajar; .blend; .WHY; .crown; .ncov; self; .PAY; .qbix; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; .space; .BOMBO; .ONE; .act; .pgp; .FRM; .wch; .club; .dr; .hack; .HCK; .r3f5s; .bad; hlpp; base; .HOW; .team; .credo; .lxhlp; .NHLP; .gyga; .bmtf; .prnds; .teamV; .GNS; .felix; .null; smpl; .rxx; .data; .homer; HAT; .tcprx; .LOG; .1dec; .xati; .GET; .Back; .Aim; .get; .abc; .rec; .NW24; .gtf; .cl; .gold; .eur; .blm; [b].chuk; .AHP; .lina; .TEREN; .cve; .WSHLP; .fresh; .FLYU; .gtsc; .dme; .Crypt; .259; .LCK; .kut; .SWP; .zimba; .help; .sss; .dex; .ZIN; .SUKA; .msf; .lock; .gac; .21btc; .mpr; .4help [/b] [/QUOTE]

добавьте образ автозапуска системы,
+ лог ESETsysinspector
http://forum.esetnod32.ru/forum9/topic10701/

Создана новая программа вакцины от программ-вымогателей, которая завершает процессы, пытающиеся удалить теневые копии тома с помощью программы Microsoft vssadmin.exe,

Каждый день Windows будет создавать резервные копии вашей системы и файлов данных и сохранять их в моментальных снимках теневого копирования томов.

Затем эти снимки можно использовать для восстановления файлов, если они были по ошибке изменены или удалены.

Поскольку заражение программами-вымогателями не хочет, чтобы жертвы использовали эту функцию для бесплатного восстановления файлов, одно из первых действий, которые они делают при запуске, - это удаление всех копий теневых томов на компьютере.

Один из способов удаления теневых томов - использовать следующую команду vssadmin.exe:

[code]vssadmin delete shadows /all /quiet[/code]
[b]Вакцина от программ-вымогателей Raccine[/b]

В эти выходные исследователь безопасности Флориан Рот выпустил вакцину-вымогатель[b] Raccine[/b], которая отслеживает удаление теневых копий тома с помощью команды vssadmin.exe.

«Мы довольно часто видим, как программы-вымогатели удаляют все теневые копии с помощью vssadmin. Что, если бы мы могли просто перехватить этот запрос и остановить процесс вызова? Давайте попробуем создать простую вакцину», - объясняет страница Raccine на GitHub.

[b]Raccine[/b] работает путем регистрации исполняемого файла raccine.exe в качестве отладчика для vssadmin.exe с помощью раздела реестра Windows с параметрами выполнения файла образа.

После регистрации raccine.exe в качестве отладчика при каждом запуске vssadmin.exe он также запускает Raccine, который проверяет, пытается ли vssadmin удалить теневые копии.

Если он обнаруживает, что процесс использует «vssadmin delete», он автоматически завершает процесс, что обычно выполняется до того, как программа-вымогатель начнет шифрование файлов на компьютере.

[img]https://www.bleepstatic.com/images/news/ransomware/raccine/raccine.jpg[/img]

Хотя этот метод предотвратит шифрование с помощью большого количества программ-вымогателей, некоторые современные семейства программ-вымогателей удаляют теневые тома с помощью других команд, перечисленных ниже.

[code]Get-WmiObject Win32_Shadowcopy | ForEach-Object {$ _. Delete ();}
WMIC.exe shadowcopy удалить / nointeractive[/code]

Для этих вариантов вымогателей Raccine в настоящее время не будет блокировать вымогателей, поскольку они не используют vssadmin.exe. Поддержка этих команд может быть добавлена в будущем.

Следует также отметить, что Raccine может прекратить работу законного программного обеспечения, которое использует vssadmin.exe как часть своих процедур резервного копирования.

Рот планирует добавить в будущем возможность разрешать определенным программам обходить Raccine, чтобы они не прекращались по ошибке.

[b]Как установить Raccine[/b]

Чтобы установить Raccine, вы можете выполнить следующие действия:

  Загрузите [b]Raccine.exe[/b] и используйте командную строку с повышенными привилегиями, чтобы скопировать его в папку C: \ Windows.
    [b]raccine-reg-patch.reg[/b] и дважды щелкните его. Когда он предложит вам объединить содержимое в реестр, позвольте ему сделать это.

Raccine теперь зарегистрирован как отладчик для команды vssadmin.exe, отслеживающей попытки удаления теневых копий тома.

Если вы обнаружите, что Raccine завершает работу законных программ, которые вы используете, вы можете удалить его, запустив файл реестра [b]raccine-reg-patch-uninstall.reg[/b] и удалив C: \ windows \ raccine.exe.

После удаления Raccine больше не будут завершаться процессы, пытающиеся удалить копии теневых томов с помощью vssadmin.exe.

https://www.bleepingcomputer.com/news/security/new-ransomware-vaccine-kills-programs-wiping-windows-shadow-volumes/
----------
версия 0.4.1
https://github.com/Neo23x0/Raccine/releases