ESET CONNECT

[QUOTE]Евгений Афанасьев написал:
[QUOTE] Andrew Komissarov написал:
Судя по адресу   [URL=mailto:zed.zorro1@aol.com]zed.zorro1@aol.com[/URL] на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).[/QUOTE]
Нашел кто то под него дешифратор?[/QUOTE]
Для последней версии дешифратора не было.
Надо чтобы аналитики на новую посмотрели, может авторы там где-то напортачили.
Но боюсь это только после праздников.

Судя по адресу [URL=mailto:zed.zorro1@aol.com]zed.zorro1@aol.com[/URL] на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).

[B][URL=http://forum.esetnod32.ru/user/22/]santy[/URL]
[/B]К сожалению, форумы люди начинают читать, когда уже поймали шифровальщика.
А до этого не думая открывают все подряд...

Блокировать адреса (типа *celiklerkuruyemis.com*) бессмысленно.
Они для одноразового применения.
Последнее время часто рассылают письма с mail.ru-шных одноразовых адресов через их же сервера, поскольку они обычно в белых списках почтовых серверов.
Нельзя же из-за этого блокировать mail.ru-шные сервера.[B]
[/B]

[B][URL=http://forum.esetnod32.ru/user/23849/]Евгений Соков[/URL]
[/B]Файл vault.hta должен быть на рабочем столе и в пользовательских папках. Только его все антивирусы знают и норовят удалить.
Посмотрите в карантине антивируса, если он там вообще был.

Недавно сталкивался с vault-ом у клиента.
Начальная цена за расшифровку берется видимо исходя из количества зашифрованных файлов (эта информация есть в vault.key).
За 16 тысяч файлов, примерно, просили 180 долларов.
Но как они пишут - "цена не окончательная"  :) [B]
[/B]

[QUOTE]Янина Дроздова написал:
Не прикрепляется[/QUOTE]
Попробуйте его заархивировать. zip-ом, например.

Вчера позвонил один старый клиент. Поймали vault.
Причем он ясно видел, что расширение файла .js но у него даже сомнения не возникло, что его можно открывать.
Уже после, он почитал форумы и набрался информации.

Странно вот что. Зашифровались практически только вордовские и экселевские файлы.
Ни базы 1c, ни картинки, ни pdf, ни архивы не тронуты.
Причем вирус похоже отработал до конца, поскольку MSE начал ругаться на vault.hta
И шифрование никак не прерывали, поскольку просто не понимали, что происходит.
Насколько я помню, раньше шифровалось все.

Это новая тенденция такая у vault-а или им просто почему-то повезло?

P.S. Теневые копии разумеется удалились. Но у них был двухнедельной давности бэкап на внешнем диске. Так что все закончилось не очень плохо.

[QUOTE]Виктор Астанин написал:
Нужно отметить очень продуманное написание письма. Пришло сегодня такое же с шифровальщиком в zip файле  счет.doc.js

Сразу и не поймешь что оно левое. Вирус зашифровал часть файлов на диске С ( doc и xls) переименовал их в  файл  vault
Диск D и важные документы не тронул и картинки не тронуты. После перезагрузки убрал из автозагрзки его. Почистил папку TEMP. Больше он ничего не шифровал. Вроде как удален. Антивирус NOD32 .4.2 (Активирована "защита документов" и установлены последние обновления база антивируса)  никак не отреагировал и пропустил этот вирус шифровальщик. Отправил  через сайт этот файл пусть добавляют в базу.[/QUOTE]
Что в нем продуманного? Все просто очевидно.
Вы много видели бухгалтеров, которые сначала грузят файлы на какой-нибудь файлообменник (к примеру) а потом отправляют ссылку на него.
Вы вообще много видели бухгалтеров, которые умеют это делать?
А посмотреть куда ведет ссылка сложно? Она обычно на совершенно левый сайт ведет. Это никак не настораживает?

Да сам формат якобы бухгалтерсого письма с документом по сылке уже говорит, что это в лучшем случае спам, а в худшем вирус.

Я имел в виду вот такие два правила. Думаю по скрину понятно:

[IMG WIDTH=687 HEIGHT=262]http://s019.radikal.ru/i601/1511/7f/9d942590fb39.jpg[/IMG]

[QUOTE]santy написал:
[QUOTE] Andrew Komissarov написал:
Кстати, до меня недавно дошло, что через HIPS очень удобно папки с бэкапами защищать.
Одно правило запрещает для этой папки запись и удаление,
а второе разрешает это программе, которая делает бэкап.[/QUOTE]
вот если бы это правило еще работало для сетевых папок, тогда это было бы крайне полезным.
(поскольку, как правило, именно на сетевых папках (файлового сервера) хранятся рабочие документы сотрудников.)
пока что данное правило (для сетевых папок) работает в Endpoint 5 и на удивление, не работает в Endpoint 6[/QUOTE]
Надо разработчиков подергать, тут вам флаг в руки.
Но вы видимо имеете в виду защиту рабочих файлов.
Я то писал конкретно про бэкапы на файловом сервере. Не всегда есть возможность хранить их на сьемных дисках.

[QUOTE]Всеволод Лозовской написал:

Ну неужели никто не может
ключ длиной 1024 бита для шифрования расшифровать? И в дальнейшем через какое-то время тоже не сможет?[/QUOTE]
Стойкие алгоритмы шифрования для того и придумывают, чтобы их нельзя было расшифровать за приемлемое время.
Если у вас случайно есть доступ к суперкомпьютеру, то возможно лет через -дцать он сможет подобрать ключ к вашим файлам.
Но тогда эти файлы уже никому не будут нужны.
К счастью, авторы шифровальщиков иногда допускают ошибки, тогда и возможно создание дешифровщика.
Но поскольку они зарабатывают на этом деньги, то ошибки обычно оперативно устраняют.
Так что по некоторым шифровальщикам дешифровки не будет никогда.