Размещено 22.09.2016 21:31:02
| Цитата |
|---|
| RP55 RP55 написал: Само же тело шифратора, т.е. исполняемый файл работает с ключами шифрования. ( открытый & закрытый - ключи ) |
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.
На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения
PRO32
— надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.
Приглашаем вас присоединиться к новому форуму PRO32.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.
о ключах, алгоритмах, шифраторах
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Размещено 07.06.2016 20:21:43
| Цитата |
|---|
| santy написал: добавьте пожалуйста линк проверки на вирустотале по этому файлу |
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Размещено 07.06.2016 20:20:16
| Цитата |
|---|
| santy написал: + добавьте этот файл в архив с паролем infected C:\Documents and Settings\Director\Application Data\Microsoft\Internet Explorer\UserData\Data\Csrss.exe и вышлите в почту |
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Размещено 07.06.2016 17:09:41
| Цитата |
|---|
| santy написал: проверьте этот файл на C:\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE скорее всего одно из оставшихся тел шифратора da_vinci_code, тем более в автозапуске HKLM\umtfpxrmq\Software\Microsoft\Windows\CurrentVersion\Run |
Журнал
Журнал проверки
Версия базы данных сигнатур вирусов: 13609 (20160607)
Дaтa: 07.06.2016 Время: 17:04:53
Просканированные диски, папки и файлы: C:\Documents and Settings\Director\Application Data\Microsoft\Internet Explorer\UserData\Data\Csrss.exe
Количество просканированных объектов: 1
Количество обнаруженных угроз: 0
Время выполнения: 17:04:54 Общее время проверки: 1 сек. (00:00:01)
вирустотал - Показатель выявления: 1/56
Но по времени совпадает с началом инфицирования.
Ни в msconfig ни в автозагрузке All users нет ничего похожего umtfpxrmq и эту ветвь не видно HKLM\umtfpxrmq\
+eset for FS постоянно блокирует рандомные URL раз в 10 мин. источником показывает процесс юзергейта, айпи назначения - показывает. 107.180.*
Изменено: Михаил Хромых - 07.06.2016 17:15:16
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Размещено 07.06.2016 17:02:13
| Цитата |
|---|
| santy написал: ERA похоже модифицированный C:\PROGRAM FILES (X86)\ESET\ESET REMOTE ADMINISTRATOR\SERVER\ERA.EXE |
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Размещено 07.06.2016 16:59:28
| Цитата |
|---|
| santy написал: Михаил, прокси ваш? 222.74.34.190:8080 country: CN + этот софт похоже использовался для майнинга. C:\PROGRAM FILES (X86)\RUBLIK\RUBLIK.EXE правда, файла в настоящее время нет Не удается найти указанный файл. |
Майнинг стоял но давно удален.
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt