Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи Andrew Komissarov
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 2 3 4 След.
зашифровано с расширением id-*[email protected]*, возможно, Filecoder.DG
 
Andrew Komissarov
Andrew Komissarov
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 21.10.2015
Размещено 06.01.2016 18:32:07
Цитата
Евгений Афанасьев написал:
Цитата
Andrew Komissarov   написал:
Судя по адресу   [email protected]   на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).
Нашел кто то под него дешифратор?
Для последней версии дешифратора не было.
Надо чтобы аналитики на новую посмотрели, может авторы там где-то напортачили.
Но боюсь это только после праздников.
Перейти
зашифровано с расширением id-*[email protected]*, возможно, Filecoder.DG
 
Andrew Komissarov
Andrew Komissarov
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 21.10.2015
Размещено 06.01.2016 18:07:23
Судя по адресу [email protected] на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).
Перейти
Шифровирусы шумной толпою
 
Andrew Komissarov
Andrew Komissarov
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 21.10.2015
Размещено 18.12.2015 12:09:03
santy
К сожалению, форумы люди начинают читать, когда уже поймали шифровальщика.
А до этого не думая открывают все подряд...

Блокировать адреса (типа *celiklerkuruyemis.com*) бессмысленно.
Они для одноразового применения.
Последнее время часто рассылают письма с mail.ru-шных одноразовых адресов через их же сервера, поскольку они обычно в белых списках почтовых серверов.
Нельзя же из-за этого блокировать mail.ru-шные сервера.
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
Andrew Komissarov
Andrew Komissarov
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 21.10.2015
Размещено 14.12.2015 12:23:43
Евгений Соков
Файл vault.hta должен быть на рабочем столе и в пользовательских папках. Только его все антивирусы знают и норовят удалить.
Посмотрите в карантине антивируса, если он там вообще был.

Недавно сталкивался с vault-ом у клиента.
Начальная цена за расшифровку берется видимо исходя из количества зашифрованных файлов (эта информация есть в vault.key).
За 16 тысяч файлов, примерно, просили 180 долларов.
Но как они пишут - "цена не окончательная"  :)
Перейти
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
Andrew Komissarov
Andrew Komissarov
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 21.10.2015
Размещено 11.12.2015 12:48:20
Цитата
Янина Дроздова написал:
Не прикрепляется
Попробуйте его заархивировать. zip-ом, например.
Перейти
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
 
Andrew Komissarov
Andrew Komissarov
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 21.10.2015
Размещено 11.12.2015 12:17:09
Вчера позвонил один старый клиент. Поймали vault.
Причем он ясно видел, что расширение файла .js но у него даже сомнения не возникло, что его можно открывать.
Уже после, он почитал форумы и набрался информации.

Странно вот что. Зашифровались практически только вордовские и экселевские файлы.
Ни базы 1c, ни картинки, ни pdf, ни архивы не тронуты.
Причем вирус похоже отработал до конца, поскольку MSE начал ругаться на vault.hta
И шифрование никак не прерывали, поскольку просто не понимали, что происходит.
Насколько я помню, раньше шифровалось все.

Это новая тенденция такая у vault-а или им просто почему-то повезло?

P.S. Теневые копии разумеется удалились. Но у них был двухнедельной давности бэкап на внешнем диске. Так что все закончилось не очень плохо.
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
Andrew Komissarov
Andrew Komissarov
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 21.10.2015
Размещено 24.11.2015 18:51:39
Цитата
Виктор Астанин написал:
Нужно отметить очень продуманное написание письма. Пришло сегодня такое же с шифровальщиком в zip файле  счет.doc.js

Сразу и не поймешь что оно левое. Вирус зашифровал часть файлов на диске С ( doc и xls) переименовал их в  файл  vault
Диск D и важные документы не тронул и картинки не тронуты. После перезагрузки убрал из автозагрзки его. Почистил папку TEMP. Больше он ничего не шифровал. Вроде как удален. Антивирус NOD32 .4.2 (Активирована "защита документов" и установлены последние обновления база антивируса)  никак не отреагировал и пропустил этот вирус шифровальщик. Отправил  через сайт этот файл пусть добавляют в базу.
Что в нем продуманного? Все просто очевидно.
Вы много видели бухгалтеров, которые сначала грузят файлы на какой-нибудь файлообменник (к примеру) а потом отправляют ссылку на него.
Вы вообще много видели бухгалтеров, которые умеют это делать?
А посмотреть куда ведет ссылка сложно? Она обычно на совершенно левый сайт ведет. Это никак не настораживает?

Да сам формат якобы бухгалтерсого письма с документом по сылке уже говорит, что это в лучшем случае спам, а в худшем вирус.
Перейти
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
 
Andrew Komissarov
Andrew Komissarov
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 21.10.2015
Размещено 20.11.2015 17:22:56
Я имел в виду вот такие два правила. Думаю по скрину понятно:

Перейти
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
 
Andrew Komissarov
Andrew Komissarov
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 21.10.2015
Размещено 20.11.2015 12:10:12
Цитата
santy написал:
Цитата
Andrew Komissarov   написал:
Кстати, до меня недавно дошло, что через HIPS очень удобно папки с бэкапами защищать.
Одно правило запрещает для этой папки запись и удаление,
а второе разрешает это программе, которая делает бэкап.
вот если бы это правило еще работало для сетевых папок, тогда это было бы крайне полезным.
(поскольку, как правило, именно на сетевых папках (файлового сервера) хранятся рабочие документы сотрудников.)
пока что данное правило (для сетевых папок) работает в Endpoint 5 и на удивление, не работает в Endpoint 6
Надо разработчиков подергать, тут вам флаг в руки.
Но вы видимо имеете в виду защиту рабочих файлов.
Я то писал конкретно про бэкапы на файловом сервере. Не всегда есть возможность хранить их на сьемных дисках.
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
Andrew Komissarov
Andrew Komissarov
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 21.10.2015
Размещено 20.11.2015 10:58:37
Цитата
Всеволод Лозовской написал:

Ну неужели никто не может
ключ длиной 1024 бита для шифрования расшифровать? И в дальнейшем через какое-то время тоже не сможет?
Стойкие алгоритмы шифрования для того и придумывают, чтобы их нельзя было расшифровать за приемлемое время.
Если у вас случайно есть доступ к суперкомпьютеру, то возможно лет через -дцать он сможет подобрать ключ к вашим файлам.
Но тогда эти файлы уже никому не будут нужны.
К счастью, авторы шифровальщиков иногда допускают ошибки, тогда и возможно создание дешифровщика.
Но поскольку они зарабатывают на этом деньги, то ошибки обычно оперативно устраняют.
Так что по некоторым шифровальщикам дешифровки не будет никогда.
Перейти
Пред. 1 2 3 4 След.