ESET CONNECT

Это Filecoder.NFY по ESET (Trojan-Ransom.Win32.Crysis по ЛК)
[URL=https://www.virustotal.com/ru/file/0df497d3e0637772eed7ffe3ec335d521ff4a1a7d707c8b448de55062480e356/analysis/]https://www.virustotal.com/ru/file/0df497d3e0637772eed7ffe3ec335d521ff4a1a7d707c8b448de55062480e356/...[/URL]

[QUOTE]Савицкий Сергей написал:
Помогите!!!
Всю информацию на сервере запаковал в архив rar с паролем.
Стоит NOD32 лицензия.
Следов не нашел, архивы все затерты в ноль.[/QUOTE]
Скорее всего к вам зашли по RDP и все проделали вручную. Поэтому и следов никаких нет.
А взломать достаточно сложный rar-овский пароль вряд ли реально.

[QUOTE]Евгений Кононенко написал:
После очистки системы ничего не изменилось[/QUOTE]
Очистка системы это не расшифровка файлов. После очистки системы новые файлы не будут шифроваться.

По [B]расшифровке[/B] файлов, как вам уже писали, обращайтесь в техподдержку, при наличии лицензии на антивирус ESET.

Видимо следует ждать эпидемии по шифрованию сайтов.
Хотя перспективы доходов на этом на мой взгляд сомнительны.
Серьезные проекты имеют бэкапы. А за поделки на бесплатных CMS-ках (которые и будут ломать прежде всего) вряд ли кто-то будет платить.
Хотя кто знает, конечно..

[QUOTE]Роман Воробьёв написал:
Я не в курсе про xtbl и breaking_bad. Если есть возможность расшифровать, подскажите куда можно обратиться?[/QUOTE]
Универсальной расшифровки нет.
В антивирусных компаниях помогают в индивидуальном порядке. Это значит, что расшифровка возможна не во всех случаях.
Обращаться надо в техподдержку антивирусных компаний. Но для этого нужна лицензия на продукт этой компании.

[QUOTE]mike 1 написал:
[QUOTE]A new variant of the TeslaCrypt ransomware was released that contains some minor changes. The version number is still 3.0. but the ransom notes have been renamed and the file extension for encrypted files is now .MP3. Unfortunately, there is still no way to decrypt this latest version of TeslaCrypt.[/QUOTE]
У меня семпл есть этой Теслы. Что интересно при установленном Eset Antivirus отказался шифровать файлы. Если установлен другой антивирус, то доходит до шифрования файлов.[/QUOTE]
А какая версия антивируса?
В логах что-нибудь пишет?

Я каждый раз не устаю поражаться.
Письма составлены безграмотно, это просто бросается в глаза.

Как можно на такое попадаться...

[QUOTE]Евгений Купреев написал:
Также поймали такую гадость 2 января (  интересно, это через запуск вложения из почты произошло или иначе ? (я не сисадмин). И стоит ли перечислять мошенникам деньги или это кидалово? Также вопрос, будет ли дешифратор общий для всех или для каждой атаки он уникальный? Спасибо.[/QUOTE]
Если у вас действительно такой же шифровальщик, то заражение происходит путем подбора паролей удаленного доступа и ручного запуска шифровальщика на вашем компьютере (сервере).
Поэтому если у вас настроен удаленный доступ к компьютеру, то поменяйте все пароли пользователей.
Расшифровкой занимается техподдержка, поэтому если у вас есть лицензия на антивирус ESET пишите на [URL=mailto:support@esetnod32.ru]support@esetnod32.ru[/URL]
На форуме вам могут помочь с удалением остатков вируса, если вы предоставите [URL=http://forum.esetnod32.ru/forum9/topic2687/]образ автозапуска[/URL] системы.

Да, и зашифрованные файлы и картинки похожи.
Ну значит в любом случае - в техподдержку  [IMG WIDTH=16 HEIGHT=16]http://forum.esetnod32.ru/bitrix/images/main/smiles/5/icon_smile.gif[/IMG]

[B]Santy[/B]
Я исходил только из контактного адреса.
Значит что-то новое.
Но это не единичное заражение. На форуме DrWeb-а есть аналогичные обращения.
Боюсь волна начнется 11-го числа, когда большинство людей на работу выйдет.