Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 133 134 135 136 137 138 139 140 141 142 143 ... 1784 След.
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.06.2019 14:45:25
Александр,
к сожалению это Crysis, и расшифровать файлы не получится, можем помочь только очистить систему
нужен так же образ автозапуска системы, кроме прочих логов.

Цитата
если были зашифрованы важные документы, восстанавливаем файлы из бэкапов,
или сохраняем важные зашифрованные документы на отдельный носитель,
и ждем (ждем и ждем) когда будет решение у антивирусных компаний по расшифровке.

+
теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
[ Как создать образ автозапуска? ]
Перейти
Журнал MBR-сектор физического диска 1. - Win32/Pitou.J троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.06.2019 09:19:33
судя по новым логам проверок, скрипт был выполнен успешно, и MBR #1 с руткитом: Rootkit.MBR.Zegost.G
успешно очищен.

ESET: Количество обнаружений: 0
uVS: MBR #1: ПРОВЕРЕННЫЙ загрузчик
TDSSkiller: 08:57:36.0803 0x0228 Detected object count: 0
[ Как создать образ автозапуска? ]
Перейти
Журнал MBR-сектор физического диска 1. - Win32/Pitou.J троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.06.2019 04:53:21
лог от tdsskiller (текстовый файл) должен быть в корне диска
по проблеме:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
fixmbr MBR#1 [111,8GB]
restart

перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска
+
сделайте проверку в tdsskiller+лог
+
сделайте проверку загрузочных секторов в дисках C и D сканером ESET +лог проверки
+
добавьте лог выполнения скрипта в uVS
(это файл дата_время_log.txt в папке, откуда вы запускаете uVS
[ Как создать образ автозапуска? ]
Перейти
Журнал MBR-сектор физического диска 1. - Win32/Pitou.J троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.06.2019 17:49:16
сделайте еще проверку в tdsskiller, при этом ничего не удаляйте, и добавьте лог проверки
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
[ Как создать образ автозапуска? ]
Перейти
Журнал MBR-сектор физического диска 1. - Win32/Pitou.J троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.06.2019 17:46:24
судя по проверке MBR #1 на ВирусТотал
Rootkit.MBR.Zegost.G
https://www.virustotal.com/gui/file/66cccf246f35a6f8ebf0715d9c77684da62a3c78ce47e1c­422d487df0237de27/detection
[ Как создать образ автозапуска? ]
Перейти
Журнал MBR-сектор физического диска 1. - Win32/Pitou.J троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.06.2019 17:11:28
добавьте образ автозапуска системы,
+
добавьте лог журнала обнаружения угроз
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.06.2019 08:20:24
Спустя почти полтора года операторы GandCrab Ransomware прекращают свою работу, и предлагают аффилированным лицам прекратить распространение вымогателей.

Заполняя на свободное место ("денежное место пустым не бывает"), оставшееся после прекращения масштабных компаний по вымогательству, таких как TeslaCrypt, CryptoWall и Spora, GandCrab ворвался в мир вымогателей 28 января 2018 года, когда они начали продавать свои услуги на подпольных криминальных сайтах.

С тех пор они стали одним из доминирующих, если не самым доминирующим, участников операций по вымогательству, и их операции только начали замедляться в течение последних нескольких месяцев.

По словам исследователей безопасности Дамиана и Дэвида Монтенегро, которые следили за эксплойтами GandCrab на подпольном форуме по взлому и вредоносным программам Exploit.in, операторы GandCrab объявили, что закрывают свою работу.

https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-shutting-down-after-claiming-to-earn-25-billion/
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.06.2019 17:40:24
Turla, также известная как Snake, является печально известной шпионской группой, известной своими сложными вредоносными программами. Чтобы запутать обнаружение, его операторы недавно начали использовать скрипты PowerShell, которые обеспечивают прямую загрузку в память и выполнение исполняемых файлов и библиотек вредоносных программ. Это позволяет им обходить обнаружение, которое может сработать, когда вредоносный исполняемый файл сбрасывается на диск.

https://www.welivesecurity.com/2019/05/29/turla-powershell-usage/
[ Как создать образ автозапуска? ]
Перейти
Непрерывное сканирование файловой системы.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.06.2019 10:56:17
вы можете так же исключить процессы из проверки, которым вы доверяете,
[ Как создать образ автозапуска? ]
Перейти
Непрерывное сканирование файловой системы.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.06.2019 08:14:38
@Геннадий Букин,

проверьте в настройках антивируса:
процессы сканирования вредоносных программ - сканирование в состоянии простоя.
если считаете это лишним для вас, можно отключить данные опции.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 133 134 135 136 137 138 139 140 141 142 143 ... 1784 След.