ESET CONNECT

➤ Оригинальный дешифровщик без закрытого RSA ключа бесполезен.
➤ Используется RSA-2048, потому взломать ключ не получится. По данным исследователя Майкла Джиллеспи, возможно, что вредонос отправляет ключ на свой сервер, если пострадавшие фиксировали сетевой трафик во время заражения, то ключ может быть перехвачен. Если трафик не фиксировался, то закрытый ключ RSA не получить.

Файлы, связанные с этим Ransomware:
Decryption-Info.HTA - название файла с требованием выкупа
IDo.txt
pubkey.txt
<random>.exe - случайное название вредоносного файла
stevenxx134@gmail.com.exe - файл из примера, представленного в анализе.

Наличие оригинального дешифровщика не обеспечивает расшифровку файлов, т.к. требуется RSA-ключ, который есть только у вымогателей.

https://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html

[QUOTE]Добрый день, развернули ESMC 7.2, активировал без проблем, установил агент и антивирус на windows 10 тоже без проблем. Не устанавливается агент на windows 7, просто не устанавливается без всяких ошибок, состояние "Запуск", в чем может быть проблема?
[/QUOTE]
продублируйте еще раз ваше сообщение.

Цитата

Данил Ямилов написал: Цитата  Данил Ямилов  написал: Доброго времени суток.Стоит ОС Windows XP, после удаления антивируса ESET NOD 32 не могу его снова установить.Для моей ОС последняя версия антивируса это 9. Когда запускаю установочный файл, то выдает вот такую ошибку:Ошибка установки 1603.В процессе установки произошла неисправимая ошибкаУдаление антивируса делал через Установку и удаление программ Windows.Также, пользовался специальной утилитой ESET Uninstaller v7 (для win xp), но результата нет.Подскажите в чем проблема и как ее исправить.P.S. ОС в данный момент не могу обновить, поэтому интересует решение конкретно под Win XP. Ребята, у кого-то есть варианты решения моей проблемы?

добавьте образ автозапуска системы,
http://forum.esetnod32.ru/forum9/topic2687/
и
лог ESETsysinspector
http://forum.esetnod32.ru/forum9/topic10701/

[QUOTE]Сергей Михайлов написал:
Выкладываю[/QUOTE]

Что сейчас с установкой антивируса после очистки в FRST?

ответил в почту по журналам

как минимум надо начать с отключения модуля самозащиты, но после перезагрузки системы он опять включится

Цитата
Ринат Курамшин написал: Столкнулся с проблемой ещё летом eset конфликтовак с программой перехвата трафика, не помогало даже отключение всех функций в винде.

в исключения ESET из проверки трафика по данной программе не пробовали добавить?

по очистке системы:
пока выполните следующее:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
[CODE]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
2020-12-11 07:19 - 2020-12-11 07:37 - 000002398 _____ C:\Windows\Tasks\!INFO.HTA
2020-12-11 07:19 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\Downloads\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Все пользователи\Documents\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Все пользователи\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\Documents\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\Downloads\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\Documents\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\Desktop\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Roaming\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\LocalLow\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\Local\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\AppData\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Anastasia\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Documents\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Windows\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Users\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Program Files\Common Files\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Program Files\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ C:\Program Files (x86)\!INFO.HTA
2020-12-11 07:38 - 2020-12-11 07:38 - 000002398 _____ C:\Windows\SysWOW64\Drivers\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Windows\SysWOW64\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Windows\Minidump\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Все пользователи\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Public\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Elena\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Elena\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\Downloads\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\Documents\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Roaming\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\Local\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\AppData\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\Downloads\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\Documents\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Roaming\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\Local\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\AppData\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\Default User\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\Downloads\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\Documents\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\Desktop\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start­ Menu\Programs\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start­ Menu\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Roaming\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\LocalLow\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\Local\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\AppData\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\Users\administrator\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!INFO.HTA
2020-12-11 07:37 - 2020-12-11 07:37 - 000002398 _____ C:\ProgramData\Desktop\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files (x86)\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files\Common Files\!INFO.HTA
2020-12-11 07:36 - 2020-12-11 07:36 - 000002398 _____ () C:\Program Files (x86)\Common Files\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ () C:\Users\Anastasia\AppData\Roaming\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ () C:\Users\Anastasia\AppData\Roaming\Microsoft\!INFO.HTA
2020-12-11 07:18 - 2020-12-11 07:37 - 000002398 _____ () C:\Users\Anastasia\AppData\Local\!INFO.HTA[/CODE]

[QUOTE]nikvpro nik написал:
Да, LiteManager сам устанавливал[/QUOTE]
в этом файле что у вас?
2020-12-11 18:52 - 2020-12-11 18:52 - 000524474 _____ C:\Users\Anastasia\Desktop\Hiden_pro@aol.com.rar
если тело шифратора, тоже вышлите с паролем infected в почту safety@chklst.ru

[QUOTE]nikvpro nik написал:
Зашифрованные файлы и выкуп.rar  (301.2 КБ)[/QUOTE]
да, судя по id-ransomware:
VoidCrypt
https://id-ransomware.malwarehunterteam.com/identify.php?case=ca402a65795bb481f6ec6d01908ea8be38dbedc1

[QUOTE]Есть файл вируса - если надо, могу прислать, судя по ВирусТоталу это VoidCrypt[/QUOTE]
файл можно выслать в почту safety@chklst.ru в архиве, с паролем infected
+
это информацию можно добавить в архив:

[QUOTE]2020-11-30 11:31 - 2020-11-30 11:31 - 000000398 _____ C:\Users\Все пользователи\pubk.txt
2020-11-30 11:31 - 2020-11-30 11:31 - 000000398 _____ C:\ProgramData\pubk.txt
2020-11-30 11:31 - 2020-11-30 11:31 - 000000015 _____ C:\Users\Все пользователи\IDk.txt
2020-11-30 11:31 - 2020-11-30 11:31 - 000000015 _____ C:\ProgramData\IDk.txt
[/QUOTE]