http://forum.esetnod32.ru Новое в теме Защита от вирусных шифровщиков с помощью HIPS форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Mon, 20 Apr 2026 00:47:55 +0300 Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
Для исключения объекта из сканирования выполните следующие действия.
https://help.eset.com/eav/11/ru-RU/idh_config_exclude.html
28.04.2018 19:57:35, Лука Ефремов.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message103155/ http://forum.esetnod32.ru/messages/forum9/topic11235/message103155/ Sat, 28 Apr 2018 19:57:35 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
Вы это хотели узнать или я что то напутал? https://www.esetnod32.ru/support/knowledge_base/solution/?ELEMENT_ID=852921
26.04.2018 20:15:06, Андрей Серый.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message103122/ http://forum.esetnod32.ru/messages/forum9/topic11235/message103122/ Thu, 26 Apr 2018 20:15:06 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.

====quote====
Александр Калугин написал:
Обьясните как добавлять папки для защиты от изменений в 11 версии
=============
Подключаюсь к вопросу
05.04.2018 12:06:43, Константин Бершов.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message102782/ http://forum.esetnod32.ru/messages/forum9/topic11235/message102782/ Thu, 05 Apr 2018 12:06:43 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
Обьясните как добавлять папки для защиты от изменений в 11 версии
02.11.2017 15:02:01, Александр Калугин.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message100826/ http://forum.esetnod32.ru/messages/forum9/topic11235/message100826/ Thu, 02 Nov 2017 15:02:01 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
Eset 9.0 и Lortok

https://youtu.be/f8VHtvaT4hI
16.02.2016 09:16:52, mike 1.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message91610/ http://forum.esetnod32.ru/messages/forum9/topic11235/message91610/ Tue, 16 Feb 2016 09:16:52 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
Потестировал немного Eset. Очень неплохо. Если будет время еще на Cryakl потом проверю.

https://www.youtube.com/watch?v=Rk67dlfCGfg
09.02.2016 22:21:14, mike 1.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message91525/ http://forum.esetnod32.ru/messages/forum9/topic11235/message91525/ Tue, 09 Feb 2016 22:21:14 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
Подскажите, пожалуйста, могу я как-то в правилах HIPS разрешить доступ на запись файлов приложениям только по имени файла (без указания пути)?
28.01.2016 09:24:45, Олег Токарев.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message91260/ http://forum.esetnod32.ru/messages/forum9/topic11235/message91260/ Thu, 28 Jan 2016 09:24:45 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.

====quote====
santy написал:
по Касперскому не знаю, а ДрВеб 10 с превентивной защитой (рекомендуемый оптимальный уровень) пропускает последние варианты VAULT.

=============

Обойти можно любую защиту, конечно . Другое дело, что обойти компоненты "Мониторинг активности" в касперском, "превентивную защиту" в доктор вебе сложнее, чем компонент "Файловый антивирус" (сигнатурный, эвристический анализ) . Просто криптануть шифровальщик не получится, нужен новый алгоритм в трояне, который обойдет алгоритм, заложенный в Хипсе .

Мне на форуме касперского написали http://forum.kaspersky.com/index.php?s=&showtopic=239420&view=findpost&p=2390490

Да. Антивирусная компания всегда будет на шаг позади, так как вирусописатель может тестировать свои труды антивирусом на детектируемость. И, как следствие, сбивать детект.
В данном случае, можно вообще ничего не детектировать, и пользователи будут шифроваться месяц за месяцем. А можно сделать это с опозданием ( например, на 5 часов ). Тогда шансов не заразиться будет больше.
P.S. Но первые всегда пострадают. С этим ничего не поделаешь. Ну, пока не поделаешь.
10.04.2015 00:04:52, Anmawe.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message84207/ http://forum.esetnod32.ru/messages/forum9/topic11235/message84207/ Fri, 10 Apr 2015 00:04:52 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
Anmawe,
по Касперскому не знаю, а ДрВеб 10 с превентивной защитой (рекомендуемый оптимальный уровень) пропускает последние варианты VAULT.
(при условии, если js не детектируется и запускается в системе, я просто в качестве теста запускал js из папки исключения)
это конечно, не значит, что DrWeb с плохой защитой,
хорошо что ведется работа в направлении предупреждения деструктивных действий шифраторов.

у ESET аналогом превентивной защиты является настраиваемый HIPS.
03.04.2015 10:37:55, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message83977/ http://forum.esetnod32.ru/messages/forum9/topic11235/message83977/ Fri, 03 Apr 2015 10:37:55 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
Касперский и доктор веб обнаруживают нового шифровальщика после 5-10 зашифрованного файла и завершают его работу. Есть ли такой функционал в Ноде ? Если нет, то будет ли ?
02.04.2015 15:26:07, Anmawe.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message83955/ http://forum.esetnod32.ru/messages/forum9/topic11235/message83955/ Thu, 02 Apr 2015 15:26:07 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
Anmawe

Теоретически можно всё.
А практически никто микроскопом гвозди не забивает.
Вирус сам по себе ( его создание ) требует денег.
Поддержание вируса ( защита от обнаружения антивирусами ) требует денег.
Чем сложнее вирус тем дороже он обходиться злоумышленникам/заказчикам.
--------
По защите файлов читайте про HIPS.
--------
По дискам и их включениям.
Это опять же, дополнительный функционал вируса...
за который нужно заплатить.
Как правило одни люди пишут вирусы - другие их покупают и используют в своих целях.
В данном случае платить за "штаны в крапинку" никто не будет.
Скажем заразили 1000 PC и на скольких из них будут/есть отключенные диски ?
на  0001% и чего ради стараться ?
Сейчас есть модульные вирусы/конструкторы - можно прикрутить доп. функции...
Но опять же чего ради ?
------
Кроме того у Антивирусов есть эвристика.
И чем вирус больше будет делать телодвижений - тем его легче будет вычислить.
 
27.03.2015 17:57:32, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message83797/ http://forum.esetnod32.ru/messages/forum9/topic11235/message83797/ Fri, 27 Mar 2015 17:57:32 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.

====quote====
RP55 RP55 написал:
Информировать о попытке несанкционированного доступа к хранилищу копий.
=============

Можете подробнее написать ? Если любой  процесс, в том числе системный, (кроме антивируса ) пытается внести изменения в хранилище копий  - информировать ?

Есть ли руткиты уровня ядра, которые файлы шифруют ? Или таких ещё не делают ? После загрузки драйвера вредоносная программа может и антивирус отключить, и  хранилище копий антивирус не будет защищать , верно ?

Ещё вопрос - если есть выключенный HDD, троян-шифровальщик может ли его включить и зашифровать файлы ? Читал на форумах, что шифровальщики сразу шифруют то, к чему доступ есть. Если я включаю HDD через диспетчер устройств, то и вредоносная программа может попробовать - а вдруг есть отключенные устройства  ? На форумах и сайтах я не видел, чтобы троян включил жесткие диски и зашифровал файлы.

Злоумышленники с этим не заморачиваются (с вышенаписанным) ?


27.03.2015 13:36:09, Anmawe.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message83780/ http://forum.esetnod32.ru/messages/forum9/topic11235/message83780/ Fri, 27 Mar 2015 13:36:09 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
Я бы так сделал.
ESET  создаёт копии всех важных данных ( список файлов/расширений может быть настроен вручную )
- Директория хранения... ( реализовать возможность _автоматического сохранения файла сразу в двух директориях ) - ( Указать место хранения )
Например хранилище  на HDD - а второе хранилище синхронизируется при подключении внешнего устройства.
- Настраивается максимальный вес файла.
- Настраивается максимальный объём занимаемого пространства.
- Настраиваются условия:
Сохранять копию файла раз в *** часов.
и/или
Сохранять при изменении файла.
Число ( теневых ) Копий файла = ***
Хранить копии дней = ***
- Информировать о попытке несанкционированного доступа к хранилищу копий.
24.03.2015 20:16:04, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message83670/ http://forum.esetnod32.ru/messages/forum9/topic11235/message83670/ Tue, 24 Mar 2015 20:16:04 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.

====quote====
Нет, к сожалению, нету.

=============
А в 9 версии антивируса будут добавлены новые модули для защиты от шифраторов?  
24.03.2015 18:20:59, mike 1.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message83669/ http://forum.esetnod32.ru/messages/forum9/topic11235/message83669/ Tue, 24 Mar 2015 18:20:59 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.

====quote====
Anmawe написал:
Есть ли у Нода защита от шифровальщиков как в антивирусе Доктор веб ? Защита от потери данных - создается защищенное  хранилище (папка в корне диска ) резервных копий важных файлов.
=============
Нет, к сожалению, нету.



====quote====
Anmawe написал:
Скажите пожалуйста, защищает ли HIPS в Ноде от шифровальшиков, которые внедряются в доверенный процесс?
=============
Какое - то универсальное правило, которое было бы панацеей от всех шифраторов, не придумали. Варианта два - создавать правила для запрета доступа недостоверным приложениям к редактированию конкретных папок с документами, либо создавать правила для защиты от конкретных шифраторов, зная пути их распространения в системе.
23.03.2015 15:09:26, Валентин.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message83633/ http://forum.esetnod32.ru/messages/forum9/topic11235/message83633/ Mon, 23 Mar 2015 15:09:26 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
Скажите пожалуйста, защищает ли HIPS в Ноде от шифровальшиков, которые внедряются в доверенный процесс? Например, троян создает новый поток в процессе explorer.exe . Предупредит ли HIPS, что процесс такой-то пытается внедриться в доверенный процесс explorer.exe ?
Процесс  explorer.exe не контролируется HIPS-ом и шифровальщик будет делать всё что угодно ?

Есть ли у Нода защита от шифровальщиков как в антивирусе Доктор веб ? Защита от потери данных - создается защищенное  хранилище (папка в корне диска ) резервных копий важных файлов.  
05.03.2015 20:55:09, Anmawe.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message83248/ http://forum.esetnod32.ru/messages/forum9/topic11235/message83248/ Thu, 05 Mar 2015 20:55:09 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
в ESET Endpoint Security 6 похоже улучшили HIPS. в %temp% можно запретить создание pubring.gpg для всех приложений, соответственно gpg.exe (или ее варианты с другим наименованием) не сможет создать pubring.gpg даже если будет запущена из других приложений: *.bat, *.cmd

кстати, хелп по корпоративной шестерке (пока в английской редакции):
http://help.eset.com/ees/6/en-US/?idh_hips_editor_single_rule.htm
25.12.2014 08:41:31, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message81499/ http://forum.esetnod32.ru/messages/forum9/topic11235/message81499/ Thu, 25 Dec 2014 08:41:31 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
метод, который здесь описан позволяет защититься от бат-энкодеров, .т.е. если шифрование все таки произойдет, то произойдет оно известным ключом, так что в последствие возможна расшифровка.

по другим шифраторам каких то четких рекомендаций нет, в силу того, что мало кто занимается исследованием подобных шифраторов здесь на форуме.
27.10.2014 09:43:43, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message80393/ http://forum.esetnod32.ru/messages/forum9/topic11235/message80393/ Mon, 27 Oct 2014 09:43:43 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
По поводу отслеживания таких неоднозначных операций шифрования.

Я вот тут вчера прочитал всю эту тему, обсуждали тут все работоспособность защиты файлов от удаления и какие файлы надо защитить от удаления.
В итоге выходит не все просто и однозначно и все равно гарантии нет, тем более может что-то поменяться.

А вот в принципе то ничего не меняется, само шифрование, как было с помощью одних и тех же механизмов и программных средств, так и осталось.
Так вот в связи с этим я  там выше и спрашивал по поводу отслеживания таких операций.
27.10.2014 08:51:22, Alex82.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message80392/ http://forum.esetnod32.ru/messages/forum9/topic11235/message80392/ Mon, 27 Oct 2014 08:51:22 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
hips с возможностью создавать правила есть в продуктах ESET начиная с линейки продуктов 5.


====quote====
Ну хорошо, насчет этого я написал, а по осташьному то чего?  
=============

а что вы имеете ввиду под "остальным"? напишите конкретнее
27.10.2014 08:09:03, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message80389/ http://forum.esetnod32.ru/messages/forum9/topic11235/message80389/ Mon, 27 Oct 2014 08:09:03 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
Хм... Странно ) я тут мельком глянул чего то не заметил, в том же месте они?
Пощелкал побыстрому, прглядел наверное, под рукой просто нету.
Ну хорошо, насчет этого я написал, а по осташьному то чего?
26.10.2014 21:16:17, Alex82.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message80382/ http://forum.esetnod32.ru/messages/forum9/topic11235/message80382/ Sun, 26 Oct 2014 21:16:17 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.

====quote====
Alex82
Настройки hips конечно хорошо, а что пользователям антивируса делать?  Там же нет такой настройки hips как в смарт секьюрити.

=============
hips есть и в антивурусе) и настройки такие же
26.10.2014 21:13:40, Petrovic.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message80381/ http://forum.esetnod32.ru/messages/forum9/topic11235/message80381/ Sun, 26 Oct 2014 21:13:40 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
Ну тут разговор об уже давней проблеме, не вчера появилось.
Настройки hips конечно хорошо, а что пользователям антивируса делать?  Там же нет такой настройки hips как в смарт секьюрити.
Да и способы уж больно радикальные, запретить запись, изменение и т.п, а работать то как? :
Там и так чуть что нестандартное из последовательности действий, то сразу претензии или обьяснять по 10 раз а вы хотите все позапрещать ) Конечно это поможет, там и ограничениями пользователя средствами системы можно много чего позапрещать, только гимора будет чуть ли не больше чем от шифровальщика ))
Я вот не пойму, почему нельзя тупо операцию шифрования (тем более используются стандартные механизмы и один и тот же метод и программные средства) взять и занести в список действий по отслеживанию которых выводилось хотя бы предупреждение, что вы собираетесь сделать то-то и то-то и к чему этг может привести, красным каким нибудь страшным шрифтом
26.10.2014 20:04:29, Alex82.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message80380/ http://forum.esetnod32.ru/messages/forum9/topic11235/message80380/ Sun, 26 Oct 2014 20:04:29 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
Alex82,...Так что делается для защиты от этой напасти? - определенные настройки и рекомендации на форуме выложены,думаю Вы их видели...   "Только не надо говорить насчет бэкапов, сознательности пользователей и т.п., это все понятно, я бы антивирус не покупал бы тогда если бы было все так просто."...Ну можно вообще в интернет не заходить с таким подходом...Общеизвестно,что сначала изобретают вредонос,а уж затем способ борьбы с ним. Универсального и волшебного антивируса я во всяком случае не встречал.
26.10.2014 15:24:03, TAVI.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message80379/ http://forum.esetnod32.ru/messages/forum9/topic11235/message80379/ Sun, 26 Oct 2014 15:24:03 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
Вообще интересные вещи мы тут обсуждаем
Проблема уже столько времени существует, а воз и ныне там я так понял?

И все ищем, как защититься.
Вот у нас организация, куплено куча лицензий на NOD32 Antivirus, вот скажите мне разработчики, как будет защищать  мои компы ваш антивирус от этих шифровальщиков?

Только не надо говорить насчет бэкапов, сознательности пользователей и т.п., это все понятно, я бы антивирус не покупал бы тогда если бы было все так просто.

Так что делается для защиты от этой напасти? Деньги то платим за продукты ваши.
26.10.2014 15:05:06, Alex82.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message80378/ http://forum.esetnod32.ru/messages/forum9/topic11235/message80378/ Sun, 26 Oct 2014 15:05:06 +0300 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.

====quote====
Получилось расшифровать, только если файл secring.gpg остается целым и не зашифрованным.
=============
для того и нужен secring.gpg чтобы расшифровать то, что было зашифровано с помощью pubring.gpg
причем это должны быть ключи из одной пары, т.е. с одним отпечатком или keyID.


====quote====
Файл KEY.PRIVATE он же secring.gpg.gpg имеет совсем другой ID вот только откуда он шифруется не понятно.
=============
secring.gpg шифруется другим ключем, ключом от злоумышленников. он есть в самом бат-файле. т.е. формируется в батнике из символьных строк.
вот этот ключ.
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1 - GPGshell v3.78

mQENBFPgfZQBCACwmI/ra8/PJnw1YAvQZ8mszyEtIfJ4GA2jTM3ih9qCWMRb­3cCI
heeVFaBTyAp33AP0EGjRDcg7E4VihowO2zCqJa7QkEfxVLwYKbEiEEnns4VD­Nnut
eOsyHF/ZyiNshYUN3Fj+YiFMtOzEUcJEE0QuUfl2o0Ajl9BRz3cQPPSnUhKS­/vmc
Fut1Y5GcJVWhjl4f51Grp1Q5lB9ndqCVGpG7PZ7tqQgA6934DOjGQQF3BK9Z­uSJq
v4bMKs12cOndOIFuoim/KV5NL4wXlUes7GIlTp4P3izlobNlVfYKXgS4Vc/H­/FiA
YVOaB7L4rVXwc7oixYSI1a4TwqXfifDhJNSRABEBAAG0ImtleWJ0YyAoa2V5­YnRj
KSA8a2V5YnRjQGdtYWlsLmNvbT6JATgEEwECACIFAlPgfZQCGwMGCwkIBwMC­BhUI
AgkKCwQWAgMBAh4BAheAAAoJEIUsFvyqtih1ly4IAJlYEiJX2VeXV77c8M/0­PRtN
XAGmgFjt9WNvnMGlvAY88/QUMwMU9XV2gXTc+KiLacuagofhGpHOuZf3suSB­YMDS
oi135YTGs1sAWOx2kBwmyW8rrNLZ84V4wa97I9nEbzIYB0thzr3euu0QTz78­hj2v
Gai2uA82F45XFcjXhPKINbSgMCYIpbhfjUCMbSVy8+3rF9fUDWICVwzAof46­7GOI
b4SKcDkX5IOzDugDnKXvKwDNr9fcomZhhVUz5djF1TTORc0qXQye2GiFa6Zt­E4aH
WFw6hKfBIgaJGFIqnr7be0Di1duWisnCYS2n9/VDcZpeOpv7uqc78KDJ+Ogm­27W5
AQ0EU+B9lAEIAMcXK4tuglxptwQKg4aODX8OnSbAyAQW5QHTK9d4GG40vry8­IJVx
pUYe7fgax7OIkKLnYjo0uNXnBD70e3Z80WhDK1/2eIC4MxqVAD4cKP2yKZOF­LKi2
BJ7BdYk+y4d2MgqGuGIt84Wp0Zrcs1O32pS2lXfaBxjREaAUuqzy4MU0AJ5+­5tK0
qeD1OTxJhYivIky/qrmDtMf0G/WzxULV1iy0pkDP/s44KmsQxept3MzmCMgd­AXmg
2ANdP5r+UOglQeLKBmyLhCAcNqvHPU5I2X5qWmAbU0Z8IT/M1m/SE0/r9VF6­3C+Y
g3HQQDVZYOFWqi2uHOoU/LZ157kgF5gYqNUAEQEAAYkBHwQYAQIACQUCU+B9­lAIb
DAAKCRCFLBb8qrYodQp3B/0SeVJOLU+3gmq+R7VLqNbeS6NZ9KnZQvda3vyE­0/+t
FGx3Xo6Gf4chi+hTY33Ph+/4xA0cFg3i2YDSZRunDKG3OavrRDIpF6SNIH/X­/sPU
IQxATi1Sq/EmNzJdAqqqYNQT7YlWyVjI2pLcbberET+9LHIMcatnQ08GZQDV­iiSI
o7fW4sVYMgnRS5OXOwzMqW7wLuLbIGuTZQXTIOAoOhuZtfmy5woCRwF9sygY­u5yw
iwQkX2P/Ffzwrpu92J8uqoVeUXdBV8bgnK92KKKi/F4czak/DLa453cLlwoz­PxSv
6/RKzQXVaopzuOdvdRTwKSb+mFr+gsMlQ1t7xNcMdW84
=yxjK
-----END PGP PUBLIC KEY BLOCK-----
можно эти строки скопировать в буфер, и импортировать к себе этот ключ, но толку.... для расшифровки KEY.PRIVATE нужна приватная часть этого ключа. Которой вообще нет на машине юзера. Она хранится у разработчиков энкодера.


====quote====
Сам файл secring.gpg весит всего ~700 байт, если его найти удаленным, через программы восстановления данных, которые смогут обойти утилиту sdelete.exe то можно все расшифровать.

=============
посмотри описание sdelete
файл secring.gpg удаляется в 16 проходов. Кроме того, он еще раз создается, в него чего то вписывают, и после этого его еще раз удаляют.


====quote====
Проще наверное файл KEY.PRIVATE расшифровать, но в каком месте был его ключ неизвестно.
=============
ключ к KEY.PRIVATE у разработчиков энкодера. Судя по сообщениям на техфорумах. получить секретную часть этого ключа никому не удалось за почти несколько месяцев его использования.
gpg: зашифровано 2048-битным ключом RSA, с ID A3CE7DBE, созданным 05.08.2014
"keybtc (keybtc) "
-------------------

====quote====
Оказывается этот вирус еще и передает другие вирусы через зараженный ПК на Email адреса.
=============

да, во второй части бат-энкодера содержится процедура отправки почтового сообщения с зараженным вложением по найденным адресным книгам
04.10.2014 12:45:49, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message80025/ http://forum.esetnod32.ru/messages/forum9/topic11235/message80025/ Sat, 04 Oct 2014 12:45:49 +0400 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.

====quote====
Виктор пишет:
через программы восстановления данных, которые смогут обойти утилиту  sdelete.exe
=============

Если активно восстановление системы стоит проверить каталог: C:\System Volume Information    ( статус скрытый/системный )
Загрузиться с LiveCD и посмотреть содержание.
Возможно найдутся нужные файлы. ( как  файлы  вируса или в плане восстановления информации )
04.10.2014 12:36:42, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message80023/ http://forum.esetnod32.ru/messages/forum9/topic11235/message80023/ Sat, 04 Oct 2014 12:36:42 +0400 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
Оказывается этот вирус еще и передает другие вирусы через зараженный ПК на Email адреса.
http://forum.esetnod32.ru/messages/forum35/topic11253/message80019/?result=reply#message80019
04.10.2014 09:00:55, Виктор.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message80020/ http://forum.esetnod32.ru/messages/forum9/topic11235/message80020/ Sat, 04 Oct 2014 09:00:55 +0400 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
Получилось расшифровать, только если файл secring.gpg остается целым и не зашифрованным.
Файл KEY.PRIVATE он же secring.gpg.gpg имеет совсем другой ID вот только откуда он шифруется не понятно.
Сам файл secring.gpg весит всего ~700 байт, если его найти удаленным, через программы восстановления данных, которые смогут обойти утилиту sdelete.exe то можно все расшифровать.

Проще наверное файл KEY.PRIVATE расшифровать, но в каком месте был его ключ неизвестно.
04.10.2014 06:15:03, Виктор.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message80018/ http://forum.esetnod32.ru/messages/forum9/topic11235/message80018/ Sat, 04 Oct 2014 06:15:03 +0400 Полезная информация Защита от вирусных шифровщиков с помощью HIPS в форуме Полезная информация.
2pubring.gpg - это паблик ключ которым шифруются секретные ключи пользователя. (он взят из тела бат-энкодера)
он от версии к версии не меняется.

====quote====
:public key packet:
version 4, algo 1, created 1407221140, expires 0
pkey[0]: [2048 bits]
pkey[1]: [17 bits]
keyid: 852C16FCAAB62875
:user ID packet: "keybtc (keybtc) <keybtc@gmail.com>"
:signature packet: algo 1, keyid 852C16FCAAB62875

=============
1pubring.gpg - это паблик ключ, который был создан энкодером на стороне юзера для шифрования его документов
он уникален для каждого юзера.

====quote====
::public key packet:
version 4, algo 1, created 1412347009, expires 0
pkey[0]: [1024 bits]
pkey[1]: [17 bits]
keyid: 151BB0968A17D6F5
:user ID packet: "genesis (genesis) <keybtc@gmail.com>"
:signature packet: algo 1, keyid 151BB0968A17D6F5

=============
-------------
эти ключи только шифруют, расшифровывают файлы же их секретная часть. secring.gpg
поскольку secring.gpg у тебя нет с подобными ID, то и расшифровать ты ничего не сможешь.
03.10.2014 18:54:50, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic11235/message80011/ http://forum.esetnod32.ru/messages/forum9/topic11235/message80011/ Fri, 03 Oct 2014 18:54:50 +0400 Полезная информация