Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся
эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России,
Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане,
Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании
PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз
и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере
15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его
применить в корзине.
можно прямо в фаре открыть папку ТЕМП (очистить предварительно) и следить за ней, откопировать, то что успеешь потому что по завершении шифрования все лишнее будет удалено. остаются только KEY.PRIVATE, KEY.UNIQUE и еще несколько файлов_доков, объявлений.
Document Settings нужно сокращать в DOCUME~1 Application Data нельзя сокращать в APPLIC~1 Local Settengs нужно сокращать в LOCALS~1
Доступ к этим файлам не получит ни одно приложение, где бы оно не было. И само приложение не сможет создать файлы в этих папках.
Не хватает возможности использовать маску *.gpg тогда было бы намного серьезнее. Еще лучше если во всей папке Temp или Application Data запрещать маски *.gpg
маска на .gpg здесь особенно не нужна. все равно ключи при их создании gpg.exe будут с именами pubring.gpg, secring.gpg это если касается данного типа шифровальщиков. в других случаях это скорее всего было бы полезным. ---------- C:\DOCUME~1\\Application Data\gnupg\* эту папку нет необходимости жестко защищать, или надо настраивать, кому с ней разрешено работать, поскольку это рабочая папка для GnuPG, если человек им пользуется. в ней могут создаваться новые ключи, эти ключи импортироваться в связки публичных и секретных ключей. (хотя хранить в ней секретные ключи конечно не нужно. уведут.)
проверил для 8.1, действительно это правило (все исходные, конечный файл, конечное приложение) работает с двумя слэшами для конечного файла и для конечного приложения.
Цитата
26.09.2014 10:05:46 C:\Windows\System32\cmd.exe Получить доступ к файлу C:\Users\***\AppData\Local\Temp\pubring.tmp определенный доступ заблокирован block bat-encoder Удалить файл 26.09.2014 10:05:46 C:\Windows\System32\cmd.exe Получить доступ к файлу C:\Users\***\AppData\Local\Temp\pubring.tmp определенный доступ заблокирован block bat-encoder Удалить файл 26.09.2014 10:05:46 C:\Windows\System32\cmd.exe Получить доступ к файлу C:\Users\***\AppData\Local\Temp\pubring.tmp определенный доступ заблокирован block bat-encoder Удалить файл 26.09.2014 10:05:46 C:\Windows\System32\cmd.exe Получить доступ к файлу C:\Users\***\AppData\Local\Temp\pubring.tmp определенный доступ заблокирован block bat-encoder Удалить файл 26.09.2014 10:03:26 C:\Program Files\Far\Far.exe Получить доступ к файлу C:\Users\***\AppData\Local\Temp\pubring.gpg определенный доступ заблокирован block bat-encoder Выполнить запись в файл
cmd-ник делал копию файла pubring.tmp в pubring.tmp.old и пытался удалить pubring.tmp действительно, не хватает правила на конечные файлы и конечные приложения по маске, чтобы задавать например конечное приложение как *.cmd
видимо, это должно работать и для Win7. (для XP не прошел фокус с сокращенным именем пути и двумя слэшами.)
проверил на Win7 & ESS 8b, так же работает правило с двойным слэшем. все приложения (конечный файл (через слэш), конечное приложение (через слэш))
Цитата
26.09.2014 15:31:12 C:\Windows\System32\cmd.exe Get access to file C:\Users\***\AppData\Local\Temp\pubring.tmp some access blocked test hips Delete file 26.09.2014 15:31:12 C:\Windows\System32\cmd.exe Get access to file C:\Users\***\AppData\Local\Temp\pubring.tmp some access blocked test hips Delete file
-------------------- 26.09.2014 15:44:57 C:\Windows\System32\cmd.exe Get access to file C:\Users\***\AppData\Local\Temp\pubring.tmp some access blocked test_hips.bat Delete file 26.09.2014 15:44:57 C:\Windows\System32\cmd.exe Get access to file C:\Users\**\AppData\Local\Temp\pubring.tmp some access blocked test_hips.bat Delete file
+ такое работает в ESS 8, маска для конечных приложений. *.bat например.
Цитата
26.09.2014 16:07:55 C:\Windows\System32\cmd.exe Get access to file C:\Users\***\AppData\Local\Temp\pubring.tmp some access blocked test_hips.bat Delete file 26.09.2014 16:07:55 C:\Windows\System32\cmd.exe Get access to file C:\Users\***\AppData\Local\Temp\pubring.tmp some access blocked test_hips.bat Delete file
bat encoder слегка модифицировался (смотрел вариант от 26.09.2014), теперь используются два ключа на рандомный выбор (AAB62875/A3CE7DBE и 3ED78E85/F05CF9EE) для шифрования secring.gpg из ключевой пары, созданной на стороне юзера. вместо "taskmgr.exe" модуль gpg.exe (скачивается из сети) теперь называется "svchost.exe". сцена по прежнему разворачивается в папке %temp% пользователя. и по прежнему актуально блокирующее правило защиты от перезаписи и удаления для конечного файла %temp%\pubring.gpg
На Касперском пострадавший выложил шифровальщика, куда скинуть? Весит всего 1,4 Кб использует C:\WINDOWS\system32\wscript.exe работает через .js (Java) зашифровывает документы и изображения на всех жестких дисках и флешках.
Обработчик команд Windows: C:\WINDOWS\system32\wscript.exe Утилита редактирования системного реестра из командной строки: C:\WINDOWS\system32\reg.exe Microsoft ® Windows Based Script Host: C:\WINDOWS\system32\cmd.exe Attribute Utility: C:\WINDOWS\system32\attrib.exe Служебная программа для поиска строк (QGREP): C:\WINDOWS\system32\findstr.exe Change CodePage Utility: C:\WINDOWS\system32\chcp.com Принудительное завершение процесса: C:\WINDOWS\system32\taskkill.exe
Возможно ключ или создание ключа: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\keybtc.exe Поддельный системный файл: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\svchost.exe Поддельный системный файл: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\taskmngr.exe Файл подчистки, возможно удаления оригинальных файлов: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\sdelete.exe (утилита безвозвратного удаления файлов) Какой-то тунель: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\stunnel.exe (stunnel - multiplatform SSL tunneling proxy) bitdata.cmd + keyb.cmd
Скан-копии счетов.zip Счета н.12, н.124 - ЗАО НПО Берег - поставка противопожарного оборудования (систем) - рукава, огнетушители, системы пожаротушения от 10.2014.dосх .js
Скрытый текст
Цитата
Внимание. Ваши документы, фото, базы данных, а также другие важные файлы, были зашифрованы при помощи криптостойкого алгоритма RSA-1024.
1. Компьютер зашифрован
1.1. К сожалению, Вы стали жертвой вируса-шифровальщика. 1.2. Проведем паралель работы вируса-шифровальщика на примере материального предмета (=Вашего файла) - Вирус берет Ваш чемодан с документами. - Используя 1024 битный ключ выполняет его шифрование(это не кладет его под замок-оболочку, нет). - Вирус перетирает содержимое в пыль, фактически затирая и перезаписывая каждый байт данных при помощи уникального ключа - Вы сможете из пыли собрать чемодан с документами? Нет. - Восстановить данные можно имея только специальный ключ, который содержится у нас в базе.
2. Подробнее
2.1. Каждый компьютер/пользователь имеет свой уникальный ключ (KEY.PRIVATE) и дополнительный файл-идентификатор (UNIQUE.PRIVATE) 2.2. Для восстановления всех Ваших данных нужны только эти два файла. 2.3. Все гарантии дешифрования Вы получите в процессе работы с автоматизированной системой [email protected] 2.4. Ваш случай - ассиметричное шифрование RSA-1024, используется в военной сфере. Подобрать/взломать его невозможно. При шифровании, в разные места компьютера был скопирован 'KEY.PRIVATE' и специальный ID-файл 'UNIQUE.PRIVATE'. Не потеряйте их ()
3. Решение вопроса
3.1. У Вас есть 2 варианта: - если данные важны - делаем запрос на дешифрование. Вполне разумное решение - если данные не важны - форматируем диск Не стоит ждать появления универсального дешифратора от антивирусных лабораторий. Беспокоимся про ограниченные сроки годности Вашего ключа. 3.2. Ваши ресурсы, необходимые для быстрого решения вопроса: - KEY.PRIVATE - UNIQUE.PRIVATE - Несколько зашифрованных файлов с расширением .keybtc@gmail_com 3.3. Без вышеперечисленных составляющих дешифровка не представляется возможной.
4. ГАРАНТИИ восстановления, а также пошаговая инструкция.
4.1. Автоматизированная система KEYBTC построена таким образом, что она учитывает Ваши интересы в получении гарантий. - Вы получаете гарантии от нас. Система демонстрирует, что Ваши файлы подлежат восстановлению. Для этого Вы отправляете два зашифрованных файла с расширением keybtc@gmail_com нам на почту. В ответ, Вы получите два тестовых расшифрованных файла и дальнейшие шаги. Тестовое дешифрование предоставляет Вам гарантию того, что мы можем дешифровать файлы.
- Вы получаете гарантии людей, кто уже работал с нами и восстановили данные. В нашем Твиттер аккаунте система автоматически публикует e-mail покупателей. Можете написать письмо, поинтересоваться.
4.2. При подаче нам запроса, для определения стоимости и предоставления гарантий, необходимо отправить нам следующее: - вложение к письму без архива: KEY.PRIVATE - вложение к письму без архива: UNIQUE.PRIVATE - [по желанию] тестовый зашифрованный файл с расширением .keybtc@gmail_com не более 3МБ - [по желанию] 2-й тестовый зашифрованный файл с расширением .keybtc@gmail_com не более 3МБ. Более 2-х файлов не отправляйте. Для демонстрации дешифрования этого достаточно. - Система определит, если Вы решите проявить хитрость и подменить расширение с xls на doc. Стоимость резко вырастет.
4.3. Тестовое дешифрование разрешено ТОЛЬКО следующих типов файлов: (JPG, JPEG, PDF, DOC, DOCX) и НЕ БОЛЕЕ 3 мегабайт за файл. 4.4. ВАЖНО. XLS, базы 1C и пр важные документы по понятным причинам не дешифруются для демонстрации. При получении дешифратора они будут восстановлены, как и остальные файлы. 4.5. АВТООТВЕТЧИК: [email protected]
5. Другие моменты
5.1. Если в течение длительного времени Вы не получите ответа - напишите с другой почты. 5.2. После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители. 5.3. В процессе дешифрования желательно не трогать компьютер, () ДВА раза запускать с ключем дешифратор не нужно. 5.4. Сам процесс дешифрования происходит в скрытом режиме (обычно до 6-ти часов) 5.5. Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте виртуальную систему и там проведите дешифровку. 5.6. Если какие-то файлы не будут окончательно расшифрованы, читайте FAQ 5.7. После дешифрования все оригинальные имена файлов восстанавливаются 5.8. Во время работы Вы получите дополнительные инструкции по почте. 6. FAQ (Вопрос-Ответ)
[-] Где найти KEY.PRIVATE и UNIQUE.PRIVATE = При начале работы ПО, KEY.PRIVATE копируется в несколько мест, дабы Вы его не удалили где-то = Без файла KEY.PRIVATE дешифровка невозможна. Он может находится по след. путям: Корни дисков, папка APPDATA, папка TEMP = Программа дешифрвщик будет идти вместе с ключем и инструкцией [-] Я не могу найти KEY.RPIVATE и UNIQUE.PRIVATE. = Возможно это сетевой диск, поищите в папках C:\Users\vitalii\AppData\Roaming на всех компьютерах сети
[-] А если мне нужно только 1 файл дешифровать и все? А у меня 50 тыс ненужных?? = К сожалению, у Вас есть выбор или дешифровать все, или ничего. [-] ОЧЕНЬ ВСЕ СЛОЖНО КАК-ТО, я ничего не понимаю = Процедура очень проста. 1. Ваши файлы зашифрованы. Расшифровать можем только мы. Для получения стоимости и гарантий отправьте нам письмо с KEY и UNIQUE. Посетите Twitter 2. При отправке запроса, Нашли KEY.PRIVATE и UNIQUE.KEY на своем ПК, взяли пару зашифрованных файлов - отправили автоответчику [email protected] 3. Через некоторое время получаете автоматический ответ с гарантиями, инструкцией и стоимостью 4. Получаете ключ дешифрования после оплаты, ПО и инструкцию по дешифрованию
7. НОВОСТИ И ГАРАНТИИ
7.1. Проводится небольшой набор партнеров. Подробнее ищите в Интернете или пишите на почту [email protected] 7.2. Обращаем внимание, система работает в Автоматическом режиме Начиная от обработки запросов и заканчивая отправкой Ваших ключей из базы. 7.3. Новостная лента, а также ГАРАНТИИ (почты покупателей) в Твиттере: - пишите им, интересуйтесь. Много корпоративных почт.
Нельзя использовать правила с запросом. Не корректно блокируются действия при запросе (т.к. необходимо указывать все системные приложения, с которыми взаимодействует вирус)
