http://forum.esetnod32.ru Новое в теме Как собрать файлы и логи после атаки шифрования для отправки в антивирусную лабораторию форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 17 Apr 2026 05:29:15 +0300 Как собрать файлы и логи после атаки шифрования для отправки в антивирусную лабораторию в форуме Шифровальщики файлов и подбор дешифраторов.
1. Добавьте,  пожалуйста, в Ваше сообщение лицензионные данные на продукт ESET.

2. Для дополнительного анализа и подбора дешифратора в антивирусной лаборатории нам необходимы следующие файлы и журналы

«Crypted»  (добавить  несколько зашифрованных и оригинальных файлов в архив, без пароля)

В идеале - 10 документов MS Office (.doc, .xls, .ppt формат) вместе с оригинальными версиями этих же файлов, или зашифрованные стандартные файлы Windows (например, C:\Пользователи\Общие\Изображения\Образцы изображений\пустыня.jpg), Предельный размер вложения - 5 Мб.  

«Filecoder» (добавить тело вируса-шифратора и записку/инструкцию о выкупе в архив (*.html, *.hta, *.txt или рисунок), с паролем infected )

Тело шифратора может находиться во архивном вложении (или по ссылке) электронного сообщения, или в карантине антивируса. В этом случае, необходимо временно отключить защиту, найденный файл восстановить из карантина ("восстановить в") в отдельный каталог с изменением расширения: *.exe >> *.vexe; *.hta>> *.vhta; *.txt >>.vtxt.
Архивируем с помощью, например, 7-zip с шифрованием имен файлов.
http://www.7-zip.org/a/7z1510.exe - для 32 - х битных систем.  
http://www.7-zip.org/a/7z1510-x64.exe - для 64 - х битных систем.  

"ess_logs.zip" (логи из программы ESETLogCollector)

Скачайте утилиту ESET Log Collector по ссылке:
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­lector.exe

Перед сбором лога ELC желательно, чтобы на компьютере была установлена последняя версия антивируса с действующей лицензией:
Сохраните программу на компьютер. Запустите ESET Log Collector от имени администратора (щелкните по программе правой клавишей мышки и в контекстном меню выберите "Запуск от имени администратора").  

В выпадающем меню "Режим сбора журналов ESET" выберите пункт "Фильтрованный двоичный код" и нажмите кнопку Собрать. Дождитесь окончания сбора необходимых сведений, по окончанию работы программы Вы увидите сообщение «Все файлы собраны и заархивированы» По умолчанию, архив с данными сохранится в папку, откуда Вы запускали утилиту и будет иметь название "ess_logs.zip". Путь сохранения архива можно изменить, нажав кнопку "...". Пришлите данный архив к нам на анализ.  Если размер файла превышает 20Мб, выложите файл на общедоступный диск, и пришлите нам ссылку на загрузку данного файла.

"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.  

 
-------------------------------

3. Мы настоятельно рекомендуем Вам ознакомиться со следующей статьёй для уменьшения риска повторного заражения в дальнейшем:  


http://www.esetnod32.ru/support/knowledge_base/solution/?IBLOCK_ID=53&SECTION_ID=1782&ELEMENT_ID=853007
17.01.2022 11:15:13, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic16689/message113724/ http://forum.esetnod32.ru/messages/forum35/topic16689/message113724/ Mon, 17 Jan 2022 11:15:13 +0300 Шифровальщики файлов и подбор дешифраторов