Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано с расширением id-*[email protected] , возможно, Filecoder.DG

1 2 3 4 След.
RSS
 
Олег Касьянов
Олег Касьянов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 18.03.2015
Размещено 18.03.2015 18:47:21
На ноутбук попал вирус шифровщик, переименовывает документы, фото и архивы.
К имени файла добавляет [email protected]

Увидел что Яндекс.Диск начал внезапно синхронизироваться, сначала значения не придал.
Потом комп начал тормозить, и на рабочем столе у ярлыков какие то непонятные названия появились.
Решил перезагрузиться.

Перезагрузился, но названия так и остались с приставкой [email protected]
Завёл сканирование антивирусом.
Ещё windows спрашивал чем открыть файл EA.tmp, я так понял он попал в автозапуск - это видимо и был вирус.

Пример зашифрованного файла во вложении.
...Ан нет, пишет ошибка при сохранении.

Тогда вот ссылка на файл на Я.Диске - https://yadi.sk/d/hucidMS8fLpro

Спасибо!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.03.2015 18:58:13
1. добавьте образ автозапуска системы, где произошло заражение.
http://forum.esetnod32.ru/forum9/topic2687/

2. если известен источник заражения: письмо с вредоносным вложением, или вредоносная ссылка, вышлите в почту [email protected]
[ Как создать образ автозапуска? ]
 
Олег Касьянов
Олег Касьянов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 18.03.2015
Размещено 18.03.2015 19:15:51
Архив образа во вложении.
Кстати говоря, вирус не успел зашифровать все файлы, не тронутых осталось совсем чуть-чуть.
Видимо NOD32 поместил вирус в карантин, во время принудительного сканирования.

P.S.: Подозрительное сообщение отправил на [email protected]

Спасибо!
Изменено: Олег Касьянов - 28.05.2016 03:11:25
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.03.2015 19:25:56
а проверьте карантин Есета, что там есть из свежих объектов?
возможно выключение компа прервало процесс шифрования.
образ на первый взгляд чист.

аналогичная тема
http://virusinfo.info/showthread.php?t=179896
Изменено: santy - 28.05.2016 03:11:25
[ Как создать образ автозапуска? ]
 
Олег Касьянов
Олег Касьянов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 18.03.2015
Размещено 18.03.2015 19:41:43
C:\Users\Олег\AppData\Local\Temp\EA.tmp - модифицированный MSIL/Injector.IPX троянская программа - очищен удалением - изолирован [1]

Вот этот EA.tmp из свежих, как раз после перезагрузки ноута система спрашивала чем открыть его, я нажал отмену.
А из карантина его как то можно достать?
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 18.03.2015 20:00:02
Из карантина достать можно ( если нужно )
1) Отключить защиту в режиме реального времени ( правой лапой мыши по глазу ESET )
2) Открыть окно карантина - выбрать объект.
Восстановить В...
Выберите место куда его следует восстановить.
___При этом снимите расширение с EA.tmp до EA.tm1
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.03.2015 20:09:22
файл из карантина надо восстановить в любой другой каталог, переименовать с другим расширением, например: EA.vtmp, заархивировать с паролем infected и выслать в почту [email protected]
[ Как создать образ автозапуска? ]
 
mike 1
mike 1
Пользователь
Сообщений: 142
Баллов: 113
Регистрация: 10.06.2011
Размещено 19.03.2015 15:55:39
Скорее всего очередная разновидность 741 шифратора, которая использует AES шифрование. Кстати, уже похоже и расшифровка есть. :)
Изменено: mike 1 - 28.05.2016 03:11:25
Михаил
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.03.2015 16:03:55
да, есть и уже известно где :)

Изменено: santy - 28.05.2016 03:11:25
[ Как создать образ автозапуска? ]
 
Олег Касьянов
Олег Касьянов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 18.03.2015
Размещено 19.03.2015 16:04:55
Цитата
santy написал:
да, есть и уже известно где
Где?  
 
1 2 3 4 След.
Читают тему