[QUOTE]Юрий Мисюрин написал:
Приветствую, комрады!
Очень интересная тема, у нас такая же беда. Не подскажете, чем дело закончилось?[/QUOTE]
Добрый день,
добавьте, пожалуйста, несколько зашифрованных файлов+записку о выкупе в одном архиве в ваше сообщение.
Если необходима очистка зараженной системы сделайте дополнительно образ автозапуска.

Уточните, пожалуйста, какую версию консоли используете, и какие версии продукта установлены.

[B]Пока в стадии бета[/B]
[QUOTE]---------------------------------------------------------
2.00
---------------------------------------------------------
o Добавлены дополнительные функции повышающие уровень защиты от повреждения и утечки данных:
  o История запуска процессов с момента старта системы.
  o Защита от внедрения потоков в процессы, в т.ч. и опциональная активная защита,
    прерывающая внедрение потока на этапе его создания с информированием о процессе.
    (!) Не рекомендуется использовать эту функцию в Windows 7.
  o Добавлены параметры процессов. Процессам можно запрещать запуск, разрешать внедрение потоков
    или включить информирование при запуске конкретного процесса.
    (например cmd.exe, что часто является признаком активности зловреда)
  o Установка прав доступа к каталогам (например для защиты файлов от шифровальщиков или утечки данных).
    В том числе можно разграничить права доступа на уровне приложений.
    Поддерживается настраиваемый лог операций для каждого каталога.
  o Защита каталогов приложений от модификации сторонними приложениями.
  o Защита файла драйвера, усилена защита файла фильтров.
  o Защита параметров запуска служб BFE, FltMgr.
  o Защита от запуска svchost зловредами.
  o Защита настроек паролем.
  (!) О влиянии новых функций на производительность см. readme, по умолчанию все доп. функции
  (!) влияющие на производительность отключены. Для их активации перейдите в окно настройки, после
  (!) чего потребуется перезагрузить компьютер.

o Драйвер Ф теперь загружается раньше, до старта BFE.

o Добавлена функция сохранения и восстановления настроек, в т.ч. можно переносить все настройки
  на другой компьютер. (кроме наименования и размера шрифта, которые хранятся в F.ini).

o Исправлена ошибка первоначальной регистрации фильтров в новой системе.[/QUOTE]
----------------
Для тестирования были использованы каталог с тестовыми файлами, каталог запуска фаервола и каталог запуска uVS. В предыдущем тесте Lockbit v3 шифровал все файлы в каталоге uVS за исключением исполняемых *.exe и это приводило к завершению контрольного процесса uVS.

Настройка защиты каталогов достаточно удобна. Можно запретить запись (или доступ) в данный каталог, и предоставить различные права доступа для определенных процессов, или полный доступ для приложения, которое запускается из данного каталога.

По результату нового запуска сэмпла Lockbit v3 были зашифрованы файлы во всех каталогах, за исключением защищенных. При этом после самоудаления сэмпла процессы uVS и Ф продолжали работать и зафиксировали в логах запуск процесса шифрования, все безрезультатные попытки добавить записку о выкупе,  и перезаписи оригинальных файлов зашифрованными копиями.

Проверил сегодня защиту каталогов  дополнительно  на сэмплах  crysis(*onion), FONIX(*RYUK), Crylock v2, Conti(*RUSSIA), LokiLocker, aesni_april

Никому не удалось прорваться в защищенные каталоги. (Lockbit делал 6 попыток записи файлов, Crylock - дважды)

[B]А комбинация uVS+Fv очень удачная для наблюдения за поведением шифровальщика.[/B]

FV фиксирует сетевую активность всех процессов. Интересно было наблюдать за поведением AES_NI (*aes_ni_0day). После запуска сэмпл самоудалился, но при этом запустил системный svchost.exe из SysWOW64, внедрил в него несколько потоков, svchost.exe попытался выйти во внешнюю сеть.



Далее шифрование пошло из под процесса SysWOW64\svchost.exe,  После завершения шифрования процесс SysWOW64/svhost.exe  остается активным. Т.е. все добавленные новые файлы будут зашифрованы. Перед расшифровкой файлов (для AES_NI есть универсальный дешифратор) через uVS заморозил все потоки. Шифрование новых файлов прекратилось.

Update: В настройках фаервола добавилась блокировка запуска svchost.exe вредоносами,  "aes_ni_april" при этом изменил свое поведение: не смог запустить процесс SysWOW64\svchost.exe, чтобы добавить в него вредоносные потоки шифровальщика, процесс "aes_ni" сохранился, в него были добавлены потоки, шифрование продолжилось, но защищенные каталоги не были затронуты шифрованием.

[4] Объект невозможно открыть. Он используется другим приложением или операционной системой.

Чтобы проверить эти объекты необходимо проверить систему из под загрузочного диска. С большой вероятностью - это чистые файлы.

по очистке системы в uVS:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\20.8.3.115\SERVICE_UPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\NEFARIUS SOFTWARE SOLUTIONS\VIGEM BUS DRIVER\VIGEMBUSUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BORLAND\DELPHI7\BIN\BORDBG70.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\CREDO\ЦЕНТР УПРАВЛЕНИЯ ПО CREDO\CSM.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES\CREDO\ECHELON-II\ECHMONITOR.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\CREDO\ECHELON-II\ECHSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\DDG.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\GOOGLE.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\MAILRU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\OZONRU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\PRICERU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\WIKIPEDIA-RU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX-SLOVARI.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX.XML
delref E:\HISUITEDOWNLOADER.EXE
delref %SystemDrive%\PROGRAM FILES\4KDOWNLOAD\4KVIDEODOWNLOADER\4KVIDEODOWNLOADER.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

Проверьте доступен ли  сервис ESET Live Grid на вашем устройстве,
https://support.eset.com/ru/kb332-ports-and-addresses-required-to-use-your-eset-product-with-a-third-party-firewall

Воспользуйтесь изложением работы с Universal Virus Sniffer.
https://forum.esetnod32.ru/forum8/topic15785/

Безопасно скачивать файлы и игры с официальных сайтов разработчиков. С прочих других лучше выполнить проверку на virustotal.com, если размер файла или программы позволит загрузить его для проверки. (есть ограничения на размер.)

[QUOTE]RP55 RP55 написал:
Malwarebytes Free

Похоже с территории Р.Ф. больше недоступен. ( только через VPN \ Tor )[/QUOTE]
Давно уже. Дистр с офсайта недоступен, но обновления на установленное ПО еще работают.

Уточните, пожалуйста, подробнее, что произошло в вашей системе в связи с данным сообщением.

[QUOTE]Macros macros написал:
то есть, для нас этот дешифратор все равно бесполезен?[/QUOTE]
Ключ не сработал в этом дешифраторе. Выясняйте, почему - у ТП этого шифровальщика. Как указать правильно расширение : с точкой или без точки, в какой кодировке необходимо открыть файл ключа, чтобы скопировать его содержимое в поле дешифратора, вообщем, все что может влиять на работу дешифратора, если он все еще работает для новых версий Ouroboros.
--------
есть два варианта дешифратора: от 06.10.2020 и 22.09.2021, но  по хэшам они одинаковы.

C MRN (с точкой и без точки) не работает дешифратор из вашей загрузки.
Таблица1.mxl.(MJ-LT4527198360)([email protected]).MRN
В чем проблема, вопросы к разработчикам и их сообщникам: или древний дешифратор не работает с некоторых пор с новыми версиями Ouroboros, или неверно обрабатывает новый тип ключей и .т.п.



Так же не сработал с Recov, MrWhite, solo.

Но работает с *.mifr, причем в поле расширения так и указал .mifr
winbox.exe.[[email protected]][LYOEVJXCKBFNPTW].mifr



С zxc один из нескольких файлов неожиданно расшифровался.
ExcelMUI.msi.(MJ-HW5062417389)([email protected]).zxc
ключ использовал из файла prvkey.txt, который остался незашифрован в тестовой сессии на a.a.r