Выбрать дату в календареВыбрать дату в календаре

зашифровано с расширением id-*_paycrypt@aol.com*, возможно, Filecoder.DG
[QUOTE]Евгений Афанасьев написал:
[QUOTE] Andrew Komissarov написал:
Судя по адресу   [URL=mailto:zed.zorro1@aol.com]zed.zorro1@aol.com[/URL] на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).[/QUOTE]
Нашел кто то под него дешифратор?[/QUOTE]
Для последней версии дешифратора не было.
Надо чтобы аналитики на новую посмотрели, может авторы там где-то напортачили.
Но боюсь это только после праздников.
зашифровано с расширением id-*_paycrypt@aol.com*, возможно, Filecoder.DG
Судя по адресу [URL=mailto:zed.zorro1@aol.com]zed.zorro1@aol.com[/URL] на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).
Шифровирусы шумной толпою
[B][URL=http://forum.esetnod32.ru/user/22/]santy[/URL]
[/B]К сожалению, форумы люди начинают читать, когда уже поймали шифровальщика.
А до этого не думая открывают все подряд...

Блокировать адреса (типа *celiklerkuruyemis.com*) бессмысленно.
Они для одноразового применения.
Последнее время часто рассылают письма с mail.ru-шных одноразовых адресов через их же сервера, поскольку они обычно в белых списках почтовых серверов.
Нельзя же из-за этого блокировать mail.ru-шные сервера.[B]
[/B]
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
[B][URL=http://forum.esetnod32.ru/user/23849/]Евгений Соков[/URL]
[/B]Файл vault.hta должен быть на рабочем столе и в пользовательских папках. Только его все антивирусы знают и норовят удалить.
Посмотрите в карантине антивируса, если он там вообще был.

Недавно сталкивался с vault-ом у клиента.
Начальная цена за расшифровку берется видимо исходя из количества зашифрованных файлов (эта информация есть в vault.key).
За 16 тысяч файлов, примерно, просили 180 долларов.
Но как они пишут - "цена не окончательная"  :) [B]
[/B]
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
[QUOTE]Янина Дроздова написал:
Не прикрепляется[/QUOTE]
Попробуйте его заархивировать. zip-ом, например.
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
Вчера позвонил один старый клиент. Поймали vault.
Причем он ясно видел, что расширение файла .js но у него даже сомнения не возникло, что его можно открывать.
Уже после, он почитал форумы и набрался информации.

Странно вот что. Зашифровались практически только вордовские и экселевские файлы.
Ни базы 1c, ни картинки, ни pdf, ни архивы не тронуты.
Причем вирус похоже отработал до конца, поскольку MSE начал ругаться на vault.hta
И шифрование никак не прерывали, поскольку просто не понимали, что происходит.
Насколько я помню, раньше шифровалось все.

Это новая тенденция такая у vault-а или им просто почему-то повезло?

P.S. Теневые копии разумеется удалились. Но у них был двухнедельной давности бэкап на внешнем диске. Так что все закончилось не очень плохо.
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
[QUOTE]Виктор Астанин написал:
Нужно отметить очень продуманное написание письма. Пришло сегодня такое же с шифровальщиком в zip файле  счет.doc.js

Сразу и не поймешь что оно левое. Вирус зашифровал часть файлов на диске С ( doc и xls) переименовал их в  файл  vault
Диск D и важные документы не тронул и картинки не тронуты. После перезагрузки убрал из автозагрзки его. Почистил папку TEMP. Больше он ничего не шифровал. Вроде как удален. Антивирус NOD32 .4.2 (Активирована "защита документов" и установлены последние обновления база антивируса)  никак не отреагировал и пропустил этот вирус шифровальщик. Отправил  через сайт этот файл пусть добавляют в базу.[/QUOTE]
Что в нем продуманного? Все просто очевидно.
Вы много видели бухгалтеров, которые сначала грузят файлы на какой-нибудь файлообменник (к примеру) а потом отправляют ссылку на него.
Вы вообще много видели бухгалтеров, которые умеют это делать?
А посмотреть куда ведет ссылка сложно? Она обычно на совершенно левый сайт ведет. Это никак не настораживает?

Да сам формат якобы бухгалтерсого письма с документом по сылке уже говорит, что это в лучшем случае спам, а в худшем вирус.
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
Я имел в виду вот такие два правила. Думаю по скрину понятно:

[IMG WIDTH=687 HEIGHT=262]http://s019.radikal.ru/i601/1511/7f/9d942590fb39.jpg[/IMG]
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
[QUOTE]santy написал:
[QUOTE] Andrew Komissarov написал:
Кстати, до меня недавно дошло, что через HIPS очень удобно папки с бэкапами защищать.
Одно правило запрещает для этой папки запись и удаление,
а второе разрешает это программе, которая делает бэкап.[/QUOTE]
вот если бы это правило еще работало для сетевых папок, тогда это было бы крайне полезным.
(поскольку, как правило, именно на сетевых папках (файлового сервера) хранятся рабочие документы сотрудников.)
пока что данное правило (для сетевых папок) работает в Endpoint 5 и на удивление, не работает в Endpoint 6[/QUOTE]
Надо разработчиков подергать, тут вам флаг в руки.
Но вы видимо имеете в виду защиту рабочих файлов.
Я то писал конкретно про бэкапы на файловом сервере. Не всегда есть возможность хранить их на сьемных дисках.
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
[QUOTE]Всеволод Лозовской написал:

Ну неужели никто не может
ключ длиной 1024 бита для шифрования расшифровать? И в дальнейшем через какое-то время тоже не сможет?[/QUOTE]
Стойкие алгоритмы шифрования для того и придумывают, чтобы их нельзя было расшифровать за приемлемое время.
Если у вас случайно есть доступ к суперкомпьютеру, то возможно лет через -дцать он сможет подобрать ключ к вашим файлам.
Но тогда эти файлы уже никому не будут нужны.
К счастью, авторы шифровальщиков иногда допускают ошибки, тогда и возможно создание дешифровщика.
Но поскольку они зарабатывают на этом деньги, то ошибки обычно оперативно устраняют.
Так что по некоторым шифровальщикам дешифровки не будет никогда.