Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи Ирек Галимуллин
Выбрать дату в календареВыбрать дату в календаре

1
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
Ирек Галимуллин
Ирек Галимуллин
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 31.05.2018
Размещено 01.06.2018 05:01:21
Подключал зараженный диск к чистому компу и запускал uVS на чистой системе выбрав папку system зараженного диска, применив данный скрипт, после чего [I][S]подозрительные[/S][/I][S] [/S]файлы с автозапуска исчезли.

Да, мне тоже кажется что взлом был по RDP, надо будет глянуть логи подключений если их не потерли.

Исходя из политики старшего администратора сети, пароли очень слабые. Остается использовать дополнительный пароль для входа.
Перейти
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
Ирек Галимуллин
Ирек Галимуллин
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 31.05.2018
Размещено 31.05.2018 11:44:49
Скрипт выполнил с другого ПК
В момент работы UVS, ESS обнаружил Win32/Filecoder.Crysis.P и положил в карантин файл \UVS\ZOO\WINHOST.EXE._AC240398AF8E6EDBCB20A979497C1786F78E4983
Больше в директории UVS\ZOO\ ничего нет
Система работает без видимых изменений, файлы шифруются на лету
Изменено: Ирек Галимуллин - 31.05.2018 11:45:23
Перейти
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
Ирек Галимуллин
Ирек Галимуллин
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 31.05.2018
Размещено 31.05.2018 08:22:27
Здравствуйте.
Были зашифрованы все файлы, троян Win32/Filecoder.Crysis, добавленное расширение: id-40DCD218.[[URL=mailto:[email protected]][email protected][/URL]].bip
Нужен только декодировщик для файлов, систему восстанавливать нет необходимости.
Стандартные декодеры не могут справиться, либо не нашел подходящий.

[URL=http://rgho.st/8m8KrRLmf]образ автозапуска[/URL]
[URL=http://rgho.st/7nWPCV5Vs]Пример зашифрованного файла PDF[/URL]
Изменено: Ирек Галимуллин - 31.05.2018 08:41:37
Перейти
1