Размещено 02.03.2017 17:23:18
Лог автозапуска
| Цитата |
|---|
| santy написал: Сергей Жало, добавьте образ автозапуска системы, где произошло шифрование *.no_more_* |
в вложении файл логов для вирусинфо
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
Размещено 02.03.2017 15:27:16
Пришло письмо на почту с следующим содержанием
Добрый день .
У Вас имеется счет на оплату.
Загрузить его можете на нашем сайте по данной ССЫЛКЕ
(прим. ссылка удалена администратором)
С уважением, ПАО КБ «ПРИВАТБАНК» тел.: +38-056-716-11-31 (для звонков из-за рубежа
Вы получили это письмо, поскольку являетесь клиентом ПриватБанка. Если Вы хотите отказаться от сообщений, пожалуйста, нажмите здесь
Нам будет Вас не хватать
.
При переходе скачали архив, открыли и конечно все зашифровало. Теперь все файлы имеют вид
ZNTio1UBXpDkeCcIJTT0Z5BIALTTdNA8ZBBA-kfMXLaz12Aw03HNkwFmtQWJeLS5+G2yyFsW+pM9Hi+7ERcUEGGJfpEDVPBO0
Теневое копирование было включено, но теперь ShadowExplorer видит только сегодняшнее состояние после шифрования.
По ссылке архив лежит который пришел на почту
NOD32 не словил этот вирус
Добрый день .
У Вас имеется счет на оплату.
Загрузить его можете на нашем сайте по данной ССЫЛКЕ
(прим. ссылка удалена администратором)
С уважением, ПАО КБ «ПРИВАТБАНК» тел.: +38-056-716-11-31 (для звонков из-за рубежа
Вы получили это письмо, поскольку являетесь клиентом ПриватБанка. Если Вы хотите отказаться от сообщений, пожалуйста, нажмите здесь
Нам будет Вас не хватать
.При переходе скачали архив, открыли и конечно все зашифровало. Теперь все файлы имеют вид
ZNTio1UBXpDkeCcIJTT0Z5BIALTTdNA8ZBBA-kfMXLaz12Aw03HNkwFmtQWJeLS5+G2yyFsW+pM9Hi+7ERcUEGGJfpEDVPBO0
Теневое копирование было включено, но теперь ShadowExplorer видит только сегодняшнее состояние после шифрования.
По ссылке архив лежит который пришел на почту
NOD32 не словил этот вирус
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
Размещено 03.06.2016 12:49:38
| Цитата | ||
|---|---|---|
| santy написал: при открытии html документа будет предложено скачать архив из сети, если архив был скачен, и открыт, и запущен файл внутри архива, только в этом случае запустится шифратор. ------ да, архив скачал по ссылке внутри html дока. ESET его детектирует. блокируем этот адрес:
|
Изменено: Сергей Жало - 22.02.2020 14:54:56
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
Размещено 03.06.2016 12:36:06
| Цитата | ||
|---|---|---|
| santy написал: Сергей Жало, прикрепленный файл удалите. если необходима проверка системы, добавьте образ автозапуска. файлик html используется для доставки архива с шифратором.
|
При заруске вытащили шифровщик и код на шифровку?
Изменено: Сергей Жало - 22.02.2020 14:54:56
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
Размещено 03.06.2016 11:51:10
Добрый день, словили шифровальщик, зашифровало все вот такого плана
1.3.0.0.id-QYZBEFFFFFFFGGGGGGHHHHHIIIJJJJIIJJJJ-02.06.2016 12@
Файлик пришел на почту, прикрепил. Систему просканировали вроде пусто.
1.3.0.0.id-QYZBEFFFFFFFGGGGGGHHHHHIIIJJJJIIJJJJ-02.06.2016 12@
Файлик пришел на почту, прикрепил. Систему просканировали вроде пусто.
Изменено: Сергей Жало - 22.02.2020 14:56:21
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
Размещено 13.04.2016 09:57:06
Делаю скан удаленной машины, смотрите что пока наше, это в mbam:
Trojan.WebMoner Key
PUP.Optional.ClientConnect Файл
Trojan.WebMoner Key
PUP.Optional.ClientConnect Файл
Изменено: Сергей Жало - 13.04.2016 09:59:31
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
Размещено 12.04.2016 21:55:05
Вот что нашел связанное с приватом
Изменено: Сергей Жало - 12.04.2016 23:33:27