Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи Вячеслав Третьяков
Выбрать дату в календареВыбрать дату в календаре

1
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
Вячеслав Третьяков
Вячеслав Третьяков
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 15.06.2016
Размещено 17.06.2016 02:03:54
Благодарю за помощь, я примерно так и сделал, но сразу шире. В идеале надо запретить запуск отовсюду, куда у пользователя есть права доступа, да хоть уже сразу %userprofile%. Письмо скачали через веб-интерфейс, поэтому в таком раскладе сохранить его могут куда угодно. Будем работать.
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
Вячеслав Третьяков
Вячеслав Третьяков
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 15.06.2016
Размещено 16.06.2016 10:57:52
Почистили, перегрузились, на первый взгляд все нормально.
Не совсем понимаю механизм "запуска исполняемых файлов из архивных вложений", запретил запуск всего из Downloads и AppData (с учетом разных ОС) в GPO. Над исключениями работаем, пока всплыла только панель быстрого запуска.
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
Вячеслав Третьяков
Вячеслав Третьяков
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 15.06.2016
Размещено 15.06.2016 09:58:50
[QUOTE]имеет смысл через локальные политики запретить запуск исполняемых файлов из архивных вложений [/QUOTE]
этим надо заняться.  Письма к сожалению нет, повторно опросил пользователей, все как обычно на тему "все пропало, подробности в архиве".
[QUOTE]восстановить зашифрованные данные уже не получится[/QUOTE]
благо есть не сильно старый архив[QUOTE]добавьте образ автозапуска [/QUOTE]
вот, лучше перестраховаться

Благодарю за оперативный ответ
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
Вячеслав Третьяков
Вячеслав Третьяков
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 15.06.2016
Размещено 15.06.2016 09:05:53
[QUOTE]Сергей Глазовский написал:
Здравствуйте. Вчера, 25.05.2016, на одном из ПК отработал шифровальщик. Вчера почему-то антивирус ESET NOD32 не отловил скрипт. Заражение произошло через открытие письма в MS Outlook без открытия вложений. В письме была HTTP ссылка, переход по ссылке не выполнялся. В итоге все файлы .doc, .docx, .xls, .xlsx, .pdf зашифрованы, после расширения файла добавлено .vault. Есть образец файла VAULT.hta. Также скопирован файл VAULT.KEY. При проверке ПК вручную антивирус ругнулся на файл VAULT.hta, выдал сообщение, что обнаружен Win32/Filecoder.FH. Просьба помочь с расшифровкой файлов и выявлением хвостов зловреда. Возможно, подойдёт описываемая ранее в данной теме утилита ESETFilecoderNacCleaner.exe.[/QUOTE]
Имеем аналогичную проблему. Cо слов пользователей было какое-то письмо,  которое удалили. Глянул удаленную почту - есть похожее по описанию  письмо, но оно без ссылок и вложений. Яндекс почта, открывают через  Explorer. Win7x64, корпоративный антивирус 5.0.2228.1.

Какие действия имеет смысл произвести?
Перейти
1