ESET CONNECT

Лог автозапуска

[QUOTE]santy написал:
Сергей Жало,
добавьте образ автозапуска системы, где произошло шифрование *.no_more_*[/QUOTE]
Машину уже пролечил, есть смысл вылаживать?
в вложении файл логов для вирусинфо

Пришло письмо на почту с следующим содержанием

[I][U]Добрый день .[/U][/I]

[I][U]У Вас имеется счет на оплату.[/U][/I]
[I][U]Загрузить его можете на нашем сайте по данной ССЫЛКЕ[/U][/I]
[B](прим. ссылка удалена администратором)[/B]

[I][U]С уважением, ПАО КБ «ПРИВАТБАНК» тел.: +38-056-716-11-31 (для звонков из-за рубежа[/U][/I]
[I][U]Вы получили это письмо, поскольку являетесь клиентом ПриватБанка. Если Вы хотите отказаться от сообщений, пожалуйста, нажмите здесь [/U][/I]
[I][U]Нам будет Вас не хватать [/U][/I]:([I][U].[/U][/I]

При переходе скачали архив, открыли и конечно все зашифровало. Теперь все файлы имеют вид
ZNTio1UBXpDkeCcIJTT0Z5BIALTTdNA8ZBBA-kfMXLaz12Aw03HNkwFmtQWJeLS5+G2yyFsW+pM9Hi+7ERcUEGGJfpEDVPBO0­Qju9esaJyifQkO6LLL0tRSt49TGI09GoArM87z27KY-gY+gi8kcrDJmITquxunj33n+Jwa4vsE=.1DB5E25C09277358FBD5.no_more_ransom

Теневое копирование было включено, но теперь ShadowExplorer видит только сегодняшнее состояние после шифрования.

По ссылке архив лежит который пришел на почту

NOD32 не словил этот вирус

[QUOTE]santy написал:
при открытии  html документа будет предложено скачать архив из сети,
если архив был скачен, и открыт, и запущен файл внутри архива, только в этом случае запустится шифратор.
------
да, архив скачал по ссылке внутри html дока. ESET его детектирует.
блокируем этот адрес:[QUOTE]*centraljokmobil.com*[/QUOTE]
[/QUOTE]
А что он детектирует? стремно качать, а тестовой машины нет. Может поднять тестовую машину и посмотреть как он работает, может ключи на шифровку и дешифровку где то ложит?

[QUOTE]santy написал:
Сергей Жало, прикрепленный файл удалите.
если необходима проверка системы, добавьте образ автозапуска.
файлик html используется для доставки архива с шифратором.
[QUOTE]meta http-equiv="refresh" content="0; url=хттп://адрес/документ"[/QUOTE]
[/QUOTE]

При заруске вытащили шифровщик и код на шифровку?

Добрый день, словили шифровальщик, зашифровало все вот такого плана
[URL=mailto:email-iizomer@aol.com.ver-CL]email-iizomer@aol.com.ver-CL[/URL] 1.3.0.0.id-QYZBEFFFFFFFGGGGGGHHHHHIIIJJJJIIJJJJ-02.06.2016 12@[URL=mailto:47@48807071.randomname-GUVWCGIKOS...PQRSUU.YZA.cbf]47@48807071.randomname-GUVWCGIKOS...PQRSUU.YZA.cbf[/URL]

Файлик пришел на почту, прикрепил. Систему просканировали вроде пусто.

Наверно закрываем тему до лучшех времен) просканил удаленную машину, вирусов кучу, на почту приходило только два письма в doc и от постоянных клиентов, там все нормально, в загрузках тоже. ну и человек сидит гороскопы читает и гадает в интернете))))

Делаю скан удаленной машины, смотрите что пока наше, это в mbam:
Trojan.WebMoner Key
PUP.Optional.ClientConnect Файл

Короче, больше нечего, сейчас поставлю машину еще на скан которая удаленно подключается, может там что то интересное, половину выращил через р-студию

Вот что нашел связанное с приватом