Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

RSS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.07.2015 16:04:42
+ этот файл еще проверьте
Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE
[ Как создать образ автозапуска? ]

Ответы

Пред. 1 ... 57 58 59 60 61 ... 72 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.06.2016 12:27:55
Сергей Жало, прикрепленный файл удалите.
если необходима проверка системы, добавьте образ автозапуска.
файлик html используется для доставки архива с шифратором.
Цитата
meta http-equiv="refresh" content="0; url=хттп://адрес/документ"
Изменено: santy - 22.02.2020 14:54:56
[ Как создать образ автозапуска? ]
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 03.06.2016 12:36:06
Цитата
santy написал:
Сергей Жало, прикрепленный файл удалите.
если необходима проверка системы, добавьте образ автозапуска.
файлик html используется для доставки архива с шифратором.
Цитата
meta http-equiv="refresh" content="0; url=хттп://адрес/документ"

При заруске вытащили шифровщик и код на шифровку?
Изменено: Сергей Жало - 22.02.2020 14:54:56
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.06.2016 12:45:04
при открытии  html документа будет предложено скачать архив из сети,
если архив был скачен, и открыт, и запущен файл внутри архива, только в этом случае запустится шифратор.
------
да, архив скачал по ссылке внутри html дока. ESET его детектирует.
блокируем этот адрес:
Цитата
*centraljokmobil.com*
Изменено: santy - 22.02.2020 14:54:56
[ Как создать образ автозапуска? ]
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 03.06.2016 12:49:38
Цитата
santy написал:
при открытии  html документа будет предложено скачать архив из сети,
если архив был скачен, и открыт, и запущен файл внутри архива, только в этом случае запустится шифратор.
------
да, архив скачал по ссылке внутри html дока. ESET его детектирует.
блокируем этот адрес:
Цитата
*centraljokmobil.com*
А что он детектирует? стремно качать, а тестовой машины нет. Может поднять тестовую машину и посмотреть как он работает, может ключи на шифровку и дешифровку где то ложит?
Изменено: Сергей Жало - 22.02.2020 14:54:56
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.06.2016 13:13:47
детектирует как подозрительный объект, т.е. исполняемый в архиве.

Цитата
Column Name    Value
Scanner    HTTP filter
Object    file
Name    Documents_02-06-2016.rar » RAR » Документация от 02-06-2016 (версия для печати).scr
Threat    Blocked Object
Action    connection terminated
Information    Threat was detected upon access to web by the application: C:\Program Files\Mozilla Firefox\firefox.exe.

установите виртуальную машину для тестов, будет возможность поизучать работу шифраторов без ущерба для физической машины.
[ Как создать образ автозапуска? ]
 
Vasiliy Kotov
Vasiliy Kotov
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 08.06.2016
Размещено 08.06.2016 19:17:59
Важные файлы были зашифрованы вирусом в формате .cbf. Сам вирус был удалён. Что делать?
 
Vasiliy Kotov
Vasiliy Kotov
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 08.06.2016
Размещено 08.06.2016 19:32:15
образ автозапуска системы
 
Vasiliy Kotov
Vasiliy Kotov
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 08.06.2016
Размещено 08.06.2016 19:33:28
несколько небольших зашифрованных файлов
 
Vasiliy Kotov
Vasiliy Kotov
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 08.06.2016
Размещено 08.06.2016 19:34:24
Вот
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.06.2016 04:58:15
Vasily Kotov,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 57 58 59 60 61 ... 72 След.
Читают тему