Размещено 10.05.2019 18:19:31
добавьте образ автозапуска
логи покажите, что показывает Аваст и что показывает ESET
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Сбой установки, При установке антивируса с оф. сбой установки. Не удалось найти подключения к интернету.
AV говорит, что мой маршрутизатор заражен.
поговорить о uVS, Carberp, планете Земля
Размещено 09.05.2019 11:16:25
[QUOTE]santy написал:
Новый штамм вымогателей Dharma использует установку ESET AV Remover в качестве метода «дымовой завесы», предназначенного для отвлечения жертв, пока их файлы зашифрованы в фоновом режиме.[/QUOTE]
ESET по этому поводу ответил:
В статье описывается общеизвестная практика использования вредоносных программ в сочетании с легальными приложениями. В конкретном случае документация Trend Micro использовалась официальная и неизмененная ESET AV Remover. Тем не менее, любое другое приложение может быть использовано таким образом. Основная причина заключается в том, чтобы отвлечь пользователя, это приложение используется в качестве приложения-приманки. Инженеры ESET по обнаружению угроз недавно видели несколько случаев вымогателей, упакованных в самораспаковывающийся пакет вместе с некоторыми чистыми файлами или файлом hack / keygen / crack Так что в этом нет ничего нового.
В конкретном случае, описанном Trend Micro, вымогатель запускается сразу после нашего приложения для удаления, но средство удаления имеет диалоговое окно и ожидает взаимодействия с пользователем, поэтому нет никакой возможности удалить какое-либо AV-решение до полного запуска вымогателя.
https://blog.trendmicro.com/trendlabs-security-intelligence/dharma-ransomware-uses-av-tool-to-distract-from-malicious-activities/
Новый штамм вымогателей Dharma использует установку ESET AV Remover в качестве метода «дымовой завесы», предназначенного для отвлечения жертв, пока их файлы зашифрованы в фоновом режиме.[/QUOTE]
ESET по этому поводу ответил:
В статье описывается общеизвестная практика использования вредоносных программ в сочетании с легальными приложениями. В конкретном случае документация Trend Micro использовалась официальная и неизмененная ESET AV Remover. Тем не менее, любое другое приложение может быть использовано таким образом. Основная причина заключается в том, чтобы отвлечь пользователя, это приложение используется в качестве приложения-приманки. Инженеры ESET по обнаружению угроз недавно видели несколько случаев вымогателей, упакованных в самораспаковывающийся пакет вместе с некоторыми чистыми файлами или файлом hack / keygen / crack Так что в этом нет ничего нового.
В конкретном случае, описанном Trend Micro, вымогатель запускается сразу после нашего приложения для удаления, но средство удаления имеет диалоговое окно и ожидает взаимодействия с пользователем, поэтому нет никакой возможности удалить какое-либо AV-решение до полного запуска вымогателя.
https://blog.trendmicro.com/trendlabs-security-intelligence/dharma-ransomware-uses-av-tool-to-distract-from-malicious-activities/
файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro, Scarab/Filecoder.FS
Размещено 09.05.2019 05:37:59
[QUOTE]Сергей Солодков написал:
Такая же ситуация, как у Александра. Помогите пожалуйста.Файл с данными во вложении.[/QUOTE]
судя по детекту это Scarab
[QUOTE] Опознан как
ransomnote_email: [email protected]
sample_extension: .[[email protected]].zoro
custom_rule: victim ID format in ransom note[/QUOTE]
https://id-ransomware.malwarehunterteam.com/identify.php?case=e5b40dbda8c6f763efcd44b1b313dc0a3f5ef1b3
по очистке системы выполните,
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
delref HTTP://SEARCHS-PAISI.RU
delref WLCONTROL.DLL
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\NEWSI_1799
addsgn A7679B235F6A4C7261D4C4B12DBDEB5476DCAB4EFD0E5D786D9CA441AF5D
zoo %SystemDrive%\PROGRAM FILES (X86)\SEARCHPROTECT\SEARCHPROTECT\BIN\SPVC32LOADER.DLL
addsgn A7679B1928664D070E3C71F464C8ED70357589FA768F179082C3C5BCD312
zoo %SystemDrive%\PROGRAM FILES (X86)\SEARCHPROTECT\MAIN\BIN\CLTMNGSVC.EXE
addsgn 1A50909A5583338CF42BFB3A884BFE1DA8C714A5768F1390F23F3A43DB8B
chklst
delvir
deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR
delref WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM2_ITI
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D
delref %SystemDrive%\IEXPLORE.BAT
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\
delref %SystemDrive%\FIREFOX.BAT
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\
delref %SystemDrive%\USERS\PUBLIC\DESKTOP\МОZILLА FIRЕFОХ.LNK
apply
regt 27
regt 28
regt 29
; Surfing Protection
exec C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe
; Search Protect
exec C:\PROGRA~2\SearchProtect\Main\bin\uninstall.exe" /S
deltmp
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\APPLE SOFTWARE UPDATE\SOFTWAREUPDATE.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE7\BIN\JP2IEXP.DLL
delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\ITUNES\MOZILLA PLUGINS\NPITUNES.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\HEWLETT-PACKARD\SMARTPRINT\QPEXTENSION
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\DROPBOX\BIN\
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemRoot%\TEMP\CPUZ135\CPUZ135_X64.SYS
delref %Sys32%\DRIVERS\DCDBAS64.SYS
delref %Sys32%\DRIVERS\DGIVECP.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\DELTAFIX\DELTAFIX.DLL
delref %Sys32%\DRIVERS\ISODRV64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\REALTEK\USB WIRELESS LAN UTILITY\RTLSERVICE.EXE
delref %Sys32%\DRIVERS\RTLSS.SYS
delref %Sys32%\DRIVERS\VBOXNETFLT.SYS
delref %Sys32%\DRIVERS\VMCI.SYS
delref %Sys32%\DRIVERS\VMNETADAPTER.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_5B2A_8
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_DEFA_1
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE
delref %SystemDrive%\PROGRAM FILES (X86)\1CV8\8.3.5.1248\BIN\COMCNTR.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDA
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_625F_4
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_1FD5_8
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_43AB_1
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDA
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\CONSULTANTPL
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_101\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\DROPBOX\BIN\
delref %SystemDrive%\USERS\836D~1\APPDATA\LOCAL\TEMP\9572A32FEAC27\
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDA
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDA
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDA
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDA
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref H:\AUTOCAT.EXE
delref %SystemRoot%\SYSWOW64\PLASRV.EXE
delref %Sys32%\MCTADMIN111.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWS SIDEBAR\SIDEBAR111.EXE
delref K:\SETUP.EXE
delref G:\AUTORUN.EXE
delref I:\AUTORUN.EXE
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\ICQM\ICQ.EXE
delref {10DB41A2-8A81-4788-B635-ABA6749A7D87}\[CLSID]
delref {086C8477-4F71-4550-87FB-AF0AE8DF3E98}\[CLSID]
delref {22CC3EBD-C286-43AA-B8E6-06B115F74162}\[CLSID]
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VIRTUAL PC\VIRTUAL PC.EXE
delref K:\СПС\CONSULTANTPLUS_BUH\CONS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SCANCODE\КОМПОНЕНТА 1С ДЛЯ ТСД CIPHERLAB\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARLOADER.EXE
;-------------------------------------------------------------
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов,
при наличие лицензии на продукт ESET напишите обращение в техническую поддержку [email protected]
(ESET умеет расшифровать некоторые варианты Scarab)
Такая же ситуация, как у Александра. Помогите пожалуйста.Файл с данными во вложении.[/QUOTE]
судя по детекту это Scarab
[QUOTE] Опознан как
ransomnote_email: [email protected]
sample_extension: .[[email protected]].zoro
custom_rule: victim ID format in ransom note[/QUOTE]
https://id-ransomware.malwarehunterteam.com/identify.php?case=e5b40dbda8c6f763efcd44b1b313dc0a3f5ef1b3
по очистке системы выполните,
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
delref HTTP://SEARCHS-PAISI.RU
delref WLCONTROL.DLL
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\NEWSI_1799
addsgn A7679B235F6A4C7261D4C4B12DBDEB5476DCAB4EFD0E5D786D9CA441AF5D
zoo %SystemDrive%\PROGRAM FILES (X86)\SEARCHPROTECT\SEARCHPROTECT\BIN\SPVC32LOADER.DLL
addsgn A7679B1928664D070E3C71F464C8ED70357589FA768F179082C3C5BCD312
zoo %SystemDrive%\PROGRAM FILES (X86)\SEARCHPROTECT\MAIN\BIN\CLTMNGSVC.EXE
addsgn 1A50909A5583338CF42BFB3A884BFE1DA8C714A5768F1390F23F3A43DB8B
chklst
delvir
deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR
delref WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM2_ITI
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D
delref %SystemDrive%\IEXPLORE.BAT
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\
delref %SystemDrive%\FIREFOX.BAT
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\
delref %SystemDrive%\USERS\PUBLIC\DESKTOP\МОZILLА FIRЕFОХ.LNK
apply
regt 27
regt 28
regt 29
; Surfing Protection
exec C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe
; Search Protect
exec C:\PROGRA~2\SearchProtect\Main\bin\uninstall.exe" /S
deltmp
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\APPLE SOFTWARE UPDATE\SOFTWAREUPDATE.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE7\BIN\JP2IEXP.DLL
delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\ITUNES\MOZILLA PLUGINS\NPITUNES.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\HEWLETT-PACKARD\SMARTPRINT\QPEXTENSION
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\DROPBOX\BIN\
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemRoot%\TEMP\CPUZ135\CPUZ135_X64.SYS
delref %Sys32%\DRIVERS\DCDBAS64.SYS
delref %Sys32%\DRIVERS\DGIVECP.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\DELTAFIX\DELTAFIX.DLL
delref %Sys32%\DRIVERS\ISODRV64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\REALTEK\USB WIRELESS LAN UTILITY\RTLSERVICE.EXE
delref %Sys32%\DRIVERS\RTLSS.SYS
delref %Sys32%\DRIVERS\VBOXNETFLT.SYS
delref %Sys32%\DRIVERS\VMCI.SYS
delref %Sys32%\DRIVERS\VMNETADAPTER.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_5B2A_8
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_DEFA_1
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE
delref %SystemDrive%\PROGRAM FILES (X86)\1CV8\8.3.5.1248\BIN\COMCNTR.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDA
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_625F_4
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_1FD5_8
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_43AB_1
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDA
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\CONSULTANTPL
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_101\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\DROPBOX\BIN\
delref %SystemDrive%\USERS\836D~1\APPDATA\LOCAL\TEMP\9572A32FEAC27\
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDA
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDA
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDA
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDA
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref H:\AUTOCAT.EXE
delref %SystemRoot%\SYSWOW64\PLASRV.EXE
delref %Sys32%\MCTADMIN111.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWS SIDEBAR\SIDEBAR111.EXE
delref K:\SETUP.EXE
delref G:\AUTORUN.EXE
delref I:\AUTORUN.EXE
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\ICQM\ICQ.EXE
delref {10DB41A2-8A81-4788-B635-ABA6749A7D87}\[CLSID]
delref {086C8477-4F71-4550-87FB-AF0AE8DF3E98}\[CLSID]
delref {22CC3EBD-C286-43AA-B8E6-06B115F74162}\[CLSID]
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VIRTUAL PC\VIRTUAL PC.EXE
delref K:\СПС\CONSULTANTPLUS_BUH\CONS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SCANCODE\КОМПОНЕНТА 1С ДЛЯ ТСД CIPHERLAB\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARLOADER.EXE
;-------------------------------------------------------------
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов,
при наличие лицензии на продукт ESET напишите обращение в техническую поддержку [email protected]
(ESET умеет расшифровать некоторые варианты Scarab)
поговорить о uVS, Carberp, планете Земля
Размещено 08.05.2019 19:00:47
Dharma Ransomware использует легальный антивирусный инструмент для отвлечения жертв
[QUOTE]A new Dharma ransomware strain is using ESET AV Remover installations as a "smoke screen" technique designed to distract victims while their files are encrypted in the background as detailed by Trend Micro.
The ransomware is pushed by the attackers on their targets' computers using a spam campaign which delivers email attachments containing a Dharma dropper binary packed as a password-protected self-extracting archive named Defender.exe and hosted on the hacked server of link[.]fivetier[.]com.[/QUOTE]
Новый штамм вымогателей Dharma использует установку ESET AV Remover в качестве метода «дымовой завесы», предназначенного для отвлечения жертв, пока их файлы зашифрованы в фоновом режиме.
Вымогатели распространяются злоумышленниками на компьютерах их целей с помощью спам-кампании, которая доставляет вложения электронной почты, содержащие двоичный файл дроппера Dharma, упакованный в виде самораспаковывающегося архива с защитой паролем с именем Defender.exe и размещенный на взломанном сервере
https://www.bleepingcomputer.com/news/security/dharma-ransomware-uses-legit-antivirus-tool-to-distract-victims/
[QUOTE]A new Dharma ransomware strain is using ESET AV Remover installations as a "smoke screen" technique designed to distract victims while their files are encrypted in the background as detailed by Trend Micro.
The ransomware is pushed by the attackers on their targets' computers using a spam campaign which delivers email attachments containing a Dharma dropper binary packed as a password-protected self-extracting archive named Defender.exe and hosted on the hacked server of link[.]fivetier[.]com.[/QUOTE]
Новый штамм вымогателей Dharma использует установку ESET AV Remover в качестве метода «дымовой завесы», предназначенного для отвлечения жертв, пока их файлы зашифрованы в фоновом режиме.
Вымогатели распространяются злоумышленниками на компьютерах их целей с помощью спам-кампании, которая доставляет вложения электронной почты, содержащие двоичный файл дроппера Dharma, упакованный в виде самораспаковывающегося архива с защитой паролем с именем Defender.exe и размещенный на взломанном сервере
https://www.bleepingcomputer.com/news/security/dharma-ransomware-uses-legit-antivirus-tool-to-distract-victims/
поговорить о uVS, Carberp, планете Земля
Размещено 07.05.2019 16:09:03
Tor выпустил Tor Browser 8.0.9, который исправляет истекший сертификат подписи мультимедиа, который вызывал отключение надстроек NoScript и HTTPS-Everywhere.
В прошлую пятницу пользователи Firefox обнаружили, что их аддоны были внезапно отключены, потому что Mozilla забыла обновить сертификат с истекшим сроком действия, используемый для подписи своих аддонов. Поскольку надстройки должны быть подписаны действительной подписью, прежде чем их можно будет использовать в Firefox, надстройки были отключены.
Так как Tor основан на Firefox, его NoScript, HTTP-Everywhere и другие дополнения, подписанные Mozilla, также были отключены. Это вызвало больший риск для отслеживания или снижения уровня конфиденциальности из-за отсутствия NoScript.
https://www.bleepingcomputer.com/news/software/tor-browser-809-released-to-fix-disabled-noscript-addon/
В прошлую пятницу пользователи Firefox обнаружили, что их аддоны были внезапно отключены, потому что Mozilla забыла обновить сертификат с истекшим сроком действия, используемый для подписи своих аддонов. Поскольку надстройки должны быть подписаны действительной подписью, прежде чем их можно будет использовать в Firefox, надстройки были отключены.
Так как Tor основан на Firefox, его NoScript, HTTP-Everywhere и другие дополнения, подписанные Mozilla, также были отключены. Это вызвало больший риск для отслеживания или снижения уровня конфиденциальности из-за отсутствия NoScript.
https://www.bleepingcomputer.com/news/software/tor-browser-809-released-to-fix-disabled-noscript-addon/
файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro, Scarab/Filecoder.FS
WannaCash
Размещено 06.05.2019 18:49:15
[QUOTE]Елена Савенок написал:
Получилось. ЛОвите)
Прикрепленные файлы[/QUOTE]
хорошо, ждите, если будет решение, напишем вам в почту или в ЛС.
Получилось. ЛОвите)
Прикрепленные файлы[/QUOTE]
хорошо, ждите, если будет решение, напишем вам в почту или в ЛС.
WannaCash
Размещено 06.05.2019 17:01:35
[QUOTE]Елена Савенок написал:
Файлы зашифрованные не хотят прикрепляться к сообщению, даже в архиве. Что мне дальше делать?[/QUOTE]
добавить хотя бы один зашифрованный файл в архив, и прикрепить архив к вашему сообщению.
архив можете предварительно переименовать в crypted.rar или crypted.7z если используете соответственно winrar или 7z архиваторы.
для прикрепления файла используйте функцию "загрузить файлы".
Файлы зашифрованные не хотят прикрепляться к сообщению, даже в архиве. Что мне дальше делать?[/QUOTE]
добавить хотя бы один зашифрованный файл в архив, и прикрепить архив к вашему сообщению.
архив можете предварительно переименовать в crypted.rar или crypted.7z если используете соответственно winrar или 7z архиваторы.
для прикрепления файла используйте функцию "загрузить файлы".
поговорить о uVS, Carberp, планете Земля
Размещено 06.05.2019 04:26:23
Обновление: Mozilla выпустила версию 66.0.4, которая включает исправление для просроченного сертификата и отключенные дополнения. Вы можете использовать функцию автоматического обновления Firefox или скачать ее здесь. Эта статья была обновлена, чтобы отразить это.
Mozilla Firefox 66.0.4 был выпущен для стабильного канала и содержит исправление для просроченного промежуточного сертификата подписи, из-за которого все дополнения отключались в пятницу.
https://www.bleepingcomputer.com/news/software/firefox-6604-released-with-fix-for-disabled-addons/
Я обновил Firefox до 66.0.4
мой расширения, которые были отключены в версии 66.0.3 включились (AddBlock, NoScript) и пока работают нормально
(честно говоря, утомили рекламные банеры за эти два дня)
--------
p.s. если расширения исчезли с панели инструментов через некоторое время работы, можно еще раз их отключить и включить.
Mozilla Firefox 66.0.4 был выпущен для стабильного канала и содержит исправление для просроченного промежуточного сертификата подписи, из-за которого все дополнения отключались в пятницу.
https://www.bleepingcomputer.com/news/software/firefox-6604-released-with-fix-for-disabled-addons/
Я обновил Firefox до 66.0.4
мой расширения, которые были отключены в версии 66.0.3 включились (AddBlock, NoScript) и пока работают нормально
(честно говоря, утомили рекламные банеры за эти два дня)
--------
p.s. если расширения исчезли с панели инструментов через некоторое время работы, можно еще раз их отключить и включить.