Выбрать дату в календареВыбрать дату в календаре

dipladoks.org, Вероятный вирус не обнаруживается антивирусом
@Евгений Галишинский,

добавьте образ автозапуска системы
Файлы зашифрованы с расширением .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun, Filecoder.Crysis / Encoder.3953; r/n: info.hta
@Andrei Balan ,
добавьте образ автозапуска системы,
возможно в системе остались еще файлы шифратора
+
добавьте несколько зашифрованных файлов в архиве
возможно, WannaCash
[QUOTE]Deonis Andersen написал:
У меня подарочная лицензия и как я понял могу писать только на форум[/QUOTE]
на форум можно писать и без лицензии.
в support@esetnod32.ru имеет смысл написать еще и потому что у вас запросят специализированный лог ESET log collector с пострадавшей машины для вирлаба, помимо сэмпла и зашифрованных файлов. Сколько по времени этот процесс продлится, возможно 2-3 недели, если расшифровка станет возможной. Если вы заинтересованы в восстановлении зашифрованных документов, то стоит искать решение по нескольким направлениям.
возможно, WannaCash
@Deonis Andersen,

по расшифровке файлов напишите в support@esetnod32.ru при наличие лицензии на продукт ESET

пока что неясно, есть расшифровка файлов по данному варианту или нет. Как будет больше информации, отвечу в этой теме.
возможно, WannaCash
[QUOTE]Deonis Andersen написал:
Записки о выкупе нет, но есть само тело вируса. Если надо могу предоставить.[/QUOTE]
загрузите этот файл на https://www.hybrid-analysis.com/ для анализа с предоставлением доступа,
и дайте ссылку на тему анализа (когда он завершится) в личные сообщения

результат проверки:
https://www.virustotal.com/gui/file/168b7f0d1953f42adeabd744538c07a3bb24f6acef24458­b31fd1c29410cd631/detection

https://app.any.run/tasks/175b00d9-0858-474e-afaf-854ba032e66e
возможно, WannaCash
@Deonis Andersen,

добавьте образ автозапуска системы
+
несколько зашифрованных файлов в архиве,
+
записку о выкупе, если есть в системе.
Не перевелись еще Petya Ransomware на Руси
Сразу скажу, что спасти систему и документы не получилось, пользователь переустановил систему. А спасти было возможно.

Судя по источнику угрозы - это был Petya Ransomware,

[quote]DrWeb: Trojan.Ransom.369
ESET-NOD32: Win32/Diskcoder.Petya.A
Malwarebytes: Ransom.Petya
Kaspersky: Trojan-Ransom.Win32.Petr.a
[/quote]
https://www.virustotal.com/gui/file/26b4699a7b9eeb16e76305d843d4ab05e94d43f32014369­27e13b3ebafa90739/detection

после проверки на VM, оказалось что это классический Petya Ransomware (вариант Red) загруженный из бескрайних просторов сети. С этим вариантом распрощались еще [url="https://blog.malwarebytes.com/malwarebytes-news/2017/07/bye-bye-petya-decryptor-old-versions-released/"][b]два года назад[/b][/url], в связи с тем, что автором JanusSecretary (или авторским коллективом) были сданы мастер-ключи.

[img]https://chklst.ru/uploads/editor/yn/bo7904l61rui.jpg[/img]

На сегодня есть несколько надежных методов спасти систему и документы после подобной атаки.

во первых, это инструменты [b]hack-petya[/b] от [b]leo-stone[/b], которые применимы к Petya Red:
https://github.com/leo-stone/hack-petya/releases/tag/v2.0.1

во вторых, это загрузочный диск [b]antipetya_ultimate[/b] от [b]hasherezade[/b], который так же работает для случая Red
https://github.com/hasherezade/petya_key/releases/download/0.2/antipetya_ultimate.iso

в третьих, это инструменты [url="https://github.com/hasherezade/petya_key/releases/download/0.2/petya_key_v0.2_win32.zip"][b]petya_key[/b][/url] от [b]hasherezade[/b] для получения ключа по известному уникальному идентификатору (в данном случае был [code]e7QqD1pTUSGnkqKaHce5qfTZnkNG9CdTuqkGHNyYeCQad4RBmHspgMv7Wi8w517oCMBKH66rqSTE4nfRvKCSopCteN)[/code]), который содержится на экране ввода ключа, а так же может быть извлечен из из первых 64 секторов системного диска.

Чтобы извлечь нужные 64сектора диска используем загрузочный Winpe + инструментарий [url="https://dmde.ru/download.html"]DMDE[/url]
[quote]DMDE поддерживает файловые системы NTFS/NTFS5, FAT12/16, FAT32, exFAT, Ext2/3/4, HFS+/HFSX, ReFS (Beta) и работает в Windows 98/..XP/..7/..10, Linux, macOS, DOS (консольный интерфейс).
[/quote]
для [b]hack-petya[/b] можно собрать информацию с помощью утилиты от Фабиана Восара [url="http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip"][b]PETYAEXTRACTOR.EXE[/b][/url]:
---------
для получения ключа, я использовал второй и третий методы, простой и сложный.

[i]по второму методу:[/i] можно загрузиться с antipetya_ultimate и далее, следуя подсказкам ввести необходимые команды и параметры, и автоматически получить ключ для расшифровки MFT.
[img]https://chklst.ru/uploads/editor/74/3u14thi2l043.jpg[/img]

по третьему методу: можно использовать простой путь: получить скриншот экрана, содержащего идентификатор, преобразовать изображение в plain text, выделить блок с идентификатором, [url="http://foxtools.ru/Text"][b]преобразовать в нужную кодировку[/b][/url] ANSI Win 1251(если текст с online сервиса был получен, например, в UTF-8),
далее, блок сохраняем в файл ID.txt и используем для получения ключа в petya_key:

[code]petya_key.exe ID.txt >>key.txt[/code]

[quote]Choose one of the supported variants:
r - Red Petya
g - Green Petya or Mischa
d - Goldeneye
[*] My petya is: Victim file: id.txt
[*] [+] Victim ID: e7QqD1pTUSGnkqKaHce5qfTZnkNG9CdTuqkGHNyYeCQad4RBmHspgMv7Wi8w517oCMBKH66rqSTE4nfRvKCSopCteN
---
[+] Your key : [b]GES27jh1Evud5HCs[/b][/quote]

однако, этот метод сработает, если распознание рисунка будет на 100% безошибочным. Ошибка с распознанием хотя бы одного символа приведет к ошибке с получением ключа. А визуально, найти ошибку будет непросто.

Надежнее, таки загрузиться с Winpe, скопировать с 0 по 63 секторы проблемного жесткого диска, сохранить в файл *.bin с последующим извлечением (можно использовать hex-редакторы: Winhex или xwforensics) необходимого идентификатора.

[img]https://chklst.ru/uploads/editor/b1/722308duqybd.jpg[/img]

Замечает, что после ввода правильного ключа идет процесс расшифровки.

[img]https://chklst.ru/uploads/editor/5o/1nq1c48mpt2v.jpg[/img]

Интересно, что по первому методу от[b] leo-stone[/b], ключ так же был вычислен (и успешно применен для расшифровки диска), но с некоторым отличием от метода [b]hasherezade[/b].
[code]
GxSx7xhxExux5xCx: hack-petya от leo-stone
GES27jh1Evud5HCs: petya_key от hasherezade
[/code]
остается добавить, что веб-генератор ключа, созданный leo-stone по адресам :
[b]petya-pay-no-ransom.herokuapp.com[/b] и [b]petya-pay-no-ransom-mirror1.herokuapp.com[/b]
спустя некоторое время прекратил работу, поэтому для получения ключа применяем им же созданную офлайновую утилиту hack-petya. И здесь есть некоторый нюанс. PetyaExtractor (F.Wosar) создавал файлики src.txt и nonce.txt в base64 кодировке (для веб-генератора ключа), а для офлайновой утилиты необходимо эти же данные предварительно [url="https://www.base64decode.org/"]декодировать из base64[/url].

[code]hack-petya.exe >>key.txt[/code]
результат:
Скрытый текст
-------------

-------------
(с), chklst.ru
поговорить о uVS, Carberp, планете Земля
[B]актуальная тема "Уничтожить dllhostex.exe"[/B], спасибо Кузнецову Дмитрию (и uVS) за помощь в решение этой проблемы.

по этой эпидемии WannaMine4.0  обзор:

[QUOTE]Attack Procedure:

   The DLL file ApplicationNetBIOSClient.dll is corresponding to the service ApplicationNetBIOSClient and loaded through the executable svchost.exe. Every time it starts upon system startup, another executable spoolsv.exe is loaded.
   Then spoolsv.exe scans the local area network on port 445 to find target hosts and starts the vulnerability exploit program svchost.exe and spoolsv.exe. Svchost.exe performs [B]EternalBlue[/B] butter overflow attacks against the hosts targeted in Step 2.
   Upon successful intrusion, spoolsv.exe (a NSA-linked exploit kit,[B] DoublePulsar[/B]) installs backdoor and malicious payload (x86.dll/x64.dll).
   The payload (x86.dll/x64.dll) is executed to duplicate rdpkax.xsl from local host to target host, decompress the file, register ApplicationNetBIOSClient service and start spoolsv to perform attacks. Each host is infected in the above ways, step by step.[/QUOTE]


[QUOTE]Одно из отличий заключается в том, что оригинальный сжатый пакет заменен на rdpkax.xsl, набор эксплойтов, который содержит все компоненты для выполнения атак. Как и в предыдущей версии 3.0, этот вариант также использует методы уклонения от вирусов. rdpkax.xsl - это специальный пакет данных, для которого требуется, чтобы вариант расшифровывал себя и разделял его компоненты, включая набор эксплойтов EternalBlue (svchost.exe, spoolsv.exe, x86.dll / x64.dll и т. д.), которые хранятся в следующие каталоги:
C: \ Windows \ System32 \ rdpkax.xsl
C: \ Windows \ System32 \ dllhostex.exe
C: \ Windows \ System32 \ ApplicationNetBIOSClient.dll
C: \ Windows \ SysWOW64 \ ApplicationNetBIOSClient.dll
C: \ Windows \ SysWOW64 \ dllhostex.exe
C: \ Windows \ NetworkDistribution[/QUOTE]

https://www.sangfor.com/source/blog-network-security/1201.html

+
Хакер.ру о WannaMine

[QUOTE]В начале 2018 года многие ИБ-компании и независимые эксперты предупреждали о появлении майнингового ботнета, который использует зараженные хосты для добычи криптовалюты Monero. По данным специалистов, тогда было скомпрометировало от 500 000 до 1 000 000 машин, а операторы малвари «заработали» порядка 8900 Monero (около 2 млн долларов по курсу на тот момент).

Данная малварь получила название WannaMine, которое угрозе дали специалисты компании CrowdStrike. Разумеется, параллель с WannaCry неслучайна. Дело в том, что для распространения малварь использует эксплоиты EternalBlue (CVE-2017-0144) и EsteemAudit (CVE-2017-0176), направленные против уязвимых Windows-машин. Названия этих эксплоитов хорошо знакомы не только ИБ-специалистам, но даже рядовым пользователям, так как именно EternalBlue весной 2017 года применялся для распространения нашумевшего шифровальщика WannaCry.[/QUOTE]

https://xakep.ru/2018/09/17/wannamine-alive/
[ Закрыто] Блокировка антивирусов, сайтов
[B]используем tnod[/B]
C:\PROGRAM FILES (X86)\TNOD\TNODUP.EXE
по правилам нашего форума, помощь пользователям, которые используют взлом антивируса, не оказывается.
тема будет закрыта.
обращайтесь за помощью на другой форум.
Eset Edndpoint Antivirus 7.0.2100.4 - локальная сеть не доступна, Eset Edndpoint Antivirus 7.0.2100.4 - локальная сеть не доступна
[QUOTE]Sergiu Copacean написал:
Был установлен Symantec Endpoint. По поводу локализации - не совсем понимаю что Вы имеете ввиду.. Если это страна - то Республика Молдова.[/QUOTE]
+
вопрос: антивирусные продукты установлены вручную, или через консоль управления в ESET Security Management Center (ESMC)?