Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

RSS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.07.2015 16:04:42
+ этот файл еще проверьте
Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE
[ Как создать образ автозапуска? ]

Ответы

Пред. 1 2 3 4 5 6 ... 72 След.
 
Николай Корнев
Николай Корнев
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 05.08.2015
Размещено 06.08.2015 09:44:40
Доброго времени суток! Один из пользователей схватил свежую версию Eric.Decoder.
Зловред приходит по "мылу" с темой "карточка предприятия" в теге From указано "ОАО Кар-Нэт [mailto:[email protected]]".
В письме вложение "карточка преприятия.rar", в котором запакован одноимённый екзешник.
Если у кого-то есть наработки в данном направлении, прошу помощи. В техпом уже написали, но мало ли, у кого-то уже есть решение...
В архиве *.7z находится uVS-образ автозагрузки инфицированной системы.
В архиве Crypted.rar запакованы образцы зашифрованных файлов и их исходных версий.
В архиве Filecoder.rar - сам зловред, пароль infected.
Спасибо...
зашифровано с расширением [email protected]* , *cbf
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.08.2015 10:27:39
1. по очистке системы от шифраторов (он все еще в автозапуске)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
addsgn 9A6447DA5582A28DF42BAEB164C81205158AFCF6D9FA1F78C5C3C5BCB437FB4985C38411ACEDA1C61B096814461649FA7DDFE97255DABB2C6C77262FB46E4318 8 Win32/Filecoder.EQ [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\1C\КАРТОЧКА ПРЕДПРИЯТИЯ.EXE
zoo %SystemDrive%\TMP\7ZO77.TMP\КАРТОЧКА ПРЕДПРИЯТИЯ.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

2. по расшифровке документов напишите в [email protected] при наличии лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
 
Николай Корнев
Николай Корнев
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 05.08.2015
Размещено 06.08.2015 10:35:26
Спасибо!
 
Кирилл Соловьев
Кирилл Соловьев
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 06.08.2015
Размещено 06.08.2015 15:16:47
По электронке пришло письмо с вложением, открыли вложение и вирус зашифровал файлы, которые были названы на англ. в [email protected]-CL 1.0.0.0.id-PQRSTTUUVWXXYYZZABBCCDDEFFGHHHIJJKLL-29.05.2015 9@[email protected], [email protected] 1.0.0.0.id-PQRSTTUUVWXXYYZZABBCCDDEFFGHHHIJJKLL-29.05.2015 9@[email protected] и тд.

После полной проверки антивирус NOD32 поместил в карантин 18 файлов с разными троянами.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.08.2015 15:48:21
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
Кирилл Соловьев
Кирилл Соловьев
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 06.08.2015
Размещено 06.08.2015 16:08:04
Образ автозапуска
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.08.2015 16:31:32
образ чистый

дата системная не сбита на компе?
судя по наименованию шифрование произошло еще в мае,
Цитата
29.05.2015
на тот момент, скорее всего еще не было версии CL 1.0.0.0

по расшифровке данных при наличие лицензии обратитесь за помощью в тех.поддержку
[email protected]
при наличии лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
 
Кирилл Соловьев
Кирилл Соловьев
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 06.08.2015
Размещено 06.08.2015 16:45:21
Нет, с датой всё нормально. Заражение и шифрование произошло 22 июля
 
Аркадий Петрович
Аркадий Петрович
Пользователь
Сообщений: 1
Регистрация: 10.08.2015
Размещено 10.08.2015 13:26:14
Доброго дня! Прошу прощения, что пишу в чужой теме. Аналогичная ситуация, из почты запустили зараженный файл. Шифровальщик отработал (на ПК обнаружил два зараженных файла договор.exe, карточка предприятия.exe) зашифрованные файлы получились с именами [email protected] 1.1.0.0...., [email protected] 1.1.0.0.... Реально ли расшифровать? Пользователем ESET не являюсь, но готов им стать.
 
Николай Корнев
Николай Корнев
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 05.08.2015
Размещено 10.08.2015 13:31:13
На данный момент дешифровать файлы невозможно. Единственный способ борьбы, кроме актуальных сигнатур (что не всегда является панацеей), - бекап критически важных данных.
 
Пред. 1 2 3 4 5 6 ... 72 След.
Читают тему