ESET CONNECT

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

[QUOTE] .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc
[/QUOTE]

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Как атакуют шифраторы? Что защитники должны знать о наиболее распространенных и постоянных семействах вредоносных программ? Поведение вымогателей - это его ахиллесова пята, поэтому [B]Sophos[/B] тратит так много времени на его изучение. В этом отчете мы собрали некоторые из поведенческих моделей десяти наиболее распространенных, разрушительных и постоянных вымогателей. Наша цель состоит в том, чтобы дать операторам безопасности руководство по пониманию основных моделей поведения....

[QUOTE]Dharma is also known as CrySIS. Deletes volume shadow copies via VSSADMIN.EXE, both before and after the documents are encryptedÌMulti-threaded, i.e. it encrypts multiple documents at a timeÌOpens original document for read/write but doesn’t change contents. Instead, it sets the file size of original document to 0 bytes before it is deletedÌCreates an encrypted copy of the original document on free available disk sectors; theoretically, if not overwritten by other data, the original document would be recoverable from disk. However, this is complicated as the file size of the document is set to 0 bytes before it is deletedÌSetting the file size of the original document to 0 bytes may hinder behavior-based detection in anti-ransomware technology[/QUOTE]

Dharma также известен как CrySIS. Удаляет теневые копии томов с помощью VSSADMIN.EXE как до, так и после шифрования документов. Многопоточный, то есть он шифрует несколько документов одновременно. Открывает исходный документ для чтения / записи, но не изменяет его содержимое. Вместо этого он устанавливает размер файла оригинального документа равным 0 байтам перед его удалением. Создает зашифрованную копию оригинального документа на свободных доступных секторах диска; теоретически, если не перезаписать другие данные, исходный документ будет восстановлен с диска. Однако это сложно, поскольку размер файла документа устанавливается в 0 байт, прежде чем он будет удален. Установка размера файла исходного документа в 0 байт может помешать обнаружению на основе поведения в технологии защиты от вымогателей.

https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-ransomware-behavior-report.pdf

консоль управления и сервер ESET Security Management Center установлены?
пробовали через веб-консоль установить агентов? проверьте по логам установки агентов какие проблемы возникают при установке.

[QUOTE]RP55 RP55 написал:
Symantec
Всё...
Broadcom выкупил Symantec > название меняется на NortonLifeLock > Компания фактически уйдёт от антивирусной защиты...
[QUOTE]Новая компания будет больше уделять внимание сервисам для усиления приватности и защиты персональных данных, а не антивирусной защите.[/QUOTE] [URL=https://www.comss.ru/page.php?id=6654]https://www.comss.ru/page.php?id=6654[/URL]
-----------
Кто следующий на выход ?[/QUOTE]
возможно на шифровании сделают акцент, а антивирусная защита, это только часть спектра информационной безопасности.
В 2010 году Symantec Corp. выкупил PGP за 300 млн долларов

новый интерфейс в малваребайт

Malwarebytes 4.0 выпущен с новым интерфейсом и механизмом сканирования

Malwarebytes выпустила версию 4.0 своего флагманского антивирусного продукта, а также новый модуль сканирования, новый пользовательский интерфейс, статистику угроз и многое другое.

В настоящее время Malwarebytes 3.x не обновляется автоматически до Malwarebytes 4.0. Если вы хотите перейти на эту новую версию, вам нужно [URL=https://www.malwarebytes.com/mwb-download/thankyou/]скачать установщик[/URL] прямо с сайта Malwarebytes.

[IMG WIDTH=896 HEIGHT=641]https://chklst.ru/uploads/editor/mi/qz7bbdno41g6.jpg[/IMG]

[QUOTE]Петр Петрович написал:
Образ.[/QUOTE]
судя по образу автозапуска на сервере не установлен антивирус.
А в ViPNet CSP нет модуля антивирусной защиты?
(судя по описанию - нет такого модуля,
ViPNet CSP 4.2 — российский криптопровайдер, сертифицированный ФСБ России как средство криптографической защиты информации (СКЗИ) и электронной подписи. )
данный шифратор хорошо (и длительное время) детектруется основными производителями антивирусов.
https://www.virustotal.com/gui/file/7336c55ff368c3b2d989840cb59b6fc91a0266a6eb4454c­bfd6b494877d6390a/detection

Поэтому запуска шифратора возможен либо при отсутствие антивирусной защиты, либо при его отключении или удалении,
(в том числе и злоумышленниками)

[QUOTE]Roman Shabalkin написал:
Здравствуйте! Помогите...[/QUOTE]
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[DECRYPTERSUPPORT@COCK.LI].HARMA
delall %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\­WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[DECRYPTERSUPPORT@COCK.LI].HARMA
delall %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[DECRYPTERSUPPORT@COCK.LI].HARMA
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[DECRYPTERSUPPORT@COCK.LI].HARMA
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­WINDOWS\START MENU\PROGRAMS\STARTUP\L033J6_PAYLOAD.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6­714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEE­A8F9DDF0 8 Win32/Filecoder.Crysis.L 7

zoo %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\L033J6_PAYLOAD.EXE
zoo %Sys32%\L033J6_PAYLOAD.EXE
zoo %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\L033J6_PAYLOAD­.EXE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\L033J6_PAYLOAD.EXE
chklst
delvir

apply

;-------------------------------------------------------------

QUIT
[/code]
без перезагрузки,
------------

по расшифровке документов не поможем, восстановить утраченные документы можно только из бэкапов.

активности шифратора нет, но майнеры активны и в автозапуске.

[QUOTE]Петр Петрович написал:
Образ.[/QUOTE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\SCAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\1SQB.ZIP
regt 26
regt 25
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAMDATA\WINHOST.EXE
addsgn 1A367F9A5583338CF42B95BC68285505D7FFFE044A08F6D284C3C5E9DB3A­9A41DC62CBBF5B709F49720544EB49E93CF295E14B73558335EC5991F9EC­447B2A8C 8 Win32/CoinMiner.BIW 7

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\LASS.EXE
addsgn 71007B5D5032F6380BD4AEB164202C50238A7F32851349847A3C552CC046­E1DC769E260068061EA5374780BB46B601FA82CA40A41FDA33C029F2645B­B48FE1B4 8 Win32/CoinMiner.AQO 7

zoo %SystemDrive%\USERS\KWL\DESKTOP\JAVAL.EXE
zoo %SystemDrive%\USERS\SCAN\DESKTOP\1SQB.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6­714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEE­A8F9DDF0 8 Win32/Filecoder.Crysis.L 7

chklst
delvir

delref %SystemDrive%\USERS\SCAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-7966CC04.[ASTRAL771@PROTONMAIL.COM ].HARMA
delref %SystemDrive%\USERS\SCAN\APPDATA\ROAMING\1SQB.EXE
delref %SystemDrive%\USERS\SCAN\APPDATA\ROAMING\INFO.HTA
apply

deltmp
;-------------------------------------------------------------

czoo

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту safety@chklst.ru

обратитесь в техническую поддержку support@esetnod32.ru для проверки вашей лицензии

@Роман Кузнецов,
если вы не планируете перейти на актуальные (6 и 7) корпоративные версии ESET, перейдите хотя бы на 5 версию

https://support.eset.com/kb3592/

ESET Endpoint Security
Version Release Date Latest build Updated Status Next Status Expected EOL
5.x 29-May-12 5.0.2272.7 22-May-18 Basic Support End of Life Dec 2020

ESET Smart Security Business Edition
Version Release Date Latest build Updated Status Next Status Expected EOL
4 2-Mar-09 4.2.76.0 12-Jan-12 Basic Support End of Life Dec 2020*

что означает базовая поддержка:
Наличие регулярных обновлений базы данных сигнатур вирусов
    Наличие обновлений модуля не гарантируется
    Продукт больше не доступен для загрузки с серверов загрузки ESET
    Техническая поддержка больше не доступна, ошибки не будут исправлены