Mozilla Firefox 66.0.4 готовится к выпуску и содержит исправление для просроченного промежуточного сертификата подписи, из-за которого все дополнения отключались в пятницу.

В пятницу Mozilla допустила истечение промежуточного сертификата, который используется для подписи аддонов Firefox. Поскольку Firefox требует, чтобы надстройки были подписаны действующим сертификатом, после истечения срока действия сертификата пользователи неожиданно обнаружили, что все их надстройки Firefox отключены.

В качестве временного исправления Mozilla выпустила расширение через систему Normandy Study, которое установило новый промежуточный сертификат подписи. После установки исправления дополнения будут автоматически включены снова.

https://www.bleepingcomputer.com/news/software/firefox-6604-almost-ready-with-fix-for-disabled-addons/

вы можете заново создать ярлык:

запуск защищенного браузера
"C:\Program Files\ESET\ESET Security\ecmd.exe" /startprotectedbrowser
------------
правильно удалить: через Панель управления - прогрраммы- программы и компоненты - удалить программы

After you unpack the archive with the program uVS, start the program start.exe (we call this program a starter)

Choose mode "start under the current user" if the current user is an administrator in the system



Wait for the boot main window of the program.



You can create an image of the startup of the system in order to explore it on their own, or to transfer the image file to other researchers.

select the toolbar functions: "file" - "save OS image with checking digital signature"

specify the file name and choose a directory to save it. We are waiting for completion of the process. (5-10 minutes, maybe faster)
--------


After completing this process, you can open an image file and continue with the way the system to use all the possibilities inherent in Uvs (signature, criteria, autoscript)

Upload a previously created image, you can also from the starter (start.exe) using the uVS mode "load OS image"

по Crysis появились новые варианты в мае-июне 2019

@JakubKroustek

'.video' - '[email protected]' - https://www.virustotal.com/#/file/18235049b46f8cbdf1ac47a48e84b9efb163aa89f9d38c07aca09d­03c164a444/ … … - #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1123557475477872640
+
@demonslay335:
#Dharma #Ransomware with extension ".wal", email "[email protected]" spotted on ID Ransomware.
https://twitter.com/demonslay335/status/1124008826196328454
+
JakubKroustek:
'.MERS' - '[email protected]' - https://www.virustotal.com/#/file/14397f138ef0d80c00d8999d21e072973ecb1d49297d33478bda44­6117bf1f34/detection … - #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1124998932294184962
+
@JakubKroustek:
'.bat' 🤦‍♂️ - '[email protected]' and '[email protected]' - https://www.virustotal.com/#/file/907f48f3480d0de1c0fc7a518e31e38f7d2da11fefaef88a5888e8­9194ace07e … and https://www.virustotal.com/#/file/b9ba37832d0446610aae07218b31ea25ae68d72da68d8bb70a9e16­3efed72a5b … - #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1125158175550902272
+
@JakubKroustek:
'.qbix' - '[email protected]' - https://www.virustotal.com/#/file/abbcff728043498c875932756d21ffde3e4bc5a9681db49eb3d612­d57bf0df56 … - #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1125361989482614785
+
JakubKroustek:
more and more variants coming - '.aa1' - '[email protected]' - https://www.virustotal.com/#/file/4b8271802c7cfec3b5258b581f4cb871edcc0c7bfb3bb7621707bd­ca094049a0 … and '.wal' - '[email protected]' - https://www.virustotal.com/#/file/955544abc801355ee1e8e48488c6e9150d431fec63b7e74d19f229­82b396e637- … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1125481677130797056
+
Jakub Kroustek:
'.qbtex' - '[email protected]' - https://www.virustotal.com/#/file/4711834782c7fa715330b488ab239b66c2d4583b4dea1e3100f1af­63ea6219fc/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1127224843596959744
+
Jakub Kroustek:
‏'.yG' - '[email protected]' - https://www.virustotal.com/#/file/27e7b3e8d83534469332b5e3e524e95f365a7471eab5b49f1ea3cc­0eade381c9/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1127312008590786560
+
Jakub Kroustek:
'.drweb' 🤣 - '[email protected]' - https://www.virustotal.com/#/file/0cecae21feb9f59d4e7f8eaa87bb278d195e96385af8e5a92f0c27­dac6e929c6 … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1127875580081451008
+
Jakub Kroustek:
'.jack' - '[email protected]' - https://www.virustotal.com/#/file/57cc351d441fc30eb7c4f585ee35bfce5b32bb82ec8dd99f004043­d5ace7bd90/ … and '.PLUT' - '[email protected]' - https://www.virustotal.com/#/file/f70ea3eb366419d6535fd6e41ec408d24c0368a8323933a69e0907­7cc236b9b6/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1128409486400552964
+
'.DDOS' - '[email protected]' - https://www.virustotal.com/#/file/e66e7468f8206abe35e6be8b046f687c101e08fc93c51383ff075a­46c4eb9b5b/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1128590100793839616
+
'.cry' - '[email protected]' - https://www.virustotal.com/#/file/9c63223d5cc284ed38c982e4dd7e292289b96a836f4fd472e57a68­03976b96b9/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1129126283206692864
+
'.4k' - '[email protected]' - https://www.virustotal.com/#/file/f7dbe91a4a782e5648dce337c8d67035fbdf41f423089c8ed83d81­6681b68b07/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1129276977653927937
+
'.TOR13' - '[email protected]' - https://www.virustotal.com/#/file/22b683b0e05f20e2f7a28deae8b605707c2f10791891212a982f16­ac50cdb2a2/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1130392693706756097
+
'.good' - '[email protected]' - https://www.virustotal.com/#/file/51e52c47abfa87af9273727e943b9d81fd9a23c090e18ba5f83896­0fb727d771/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1131574667687399424
+
#Dharma #Ransomware with extension ".qbx" spotted on ID Ransomware
https://twitter.com/demonslay335/status/1132338341695905792
+
'.beets' - '[email protected]' - https://www.virustotal.com/#/file/f6708aea2a0d9f1f01b62ba5624af05b249c296bab9dec0cc2d7da­cc19660f20/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1133375374853906433
+
demonslay335:
#Dharma #Ransomware spotted with extension ".zoh", email "[email protected]" on ID Ransomware
+
#Dharma #Ransomware spotted with extension ".harma" on ID Ransomware
+
JakubKroustek:
'.BSC' - '[email protected]' - https://www.virustotal.com/gui/file/2e0490c69212fb4ad20cd342bc8d257450f7602930700dc­582196032d572f34d/ … #CrySiS #Dharma #ransomware
+
'.zoh' - '[email protected]' - https://www.virustotal.com/gui/file/5a612b52f7180a4ba37ae9dd2998a02f34939730bd60b5f­2753137a0a4a69af3/ … #CrySiS #Dharma #ransomware
+
'.kjh' - '[email protected]' - https://www.virustotal.com/gui/file/52259c86b51cafc15fad9f92ed5d0d9fb0b8b94ea7676fa­2102cd2698bd6e59e/ … #CrySiS #Dharma #ransomware
+
'.html' 🤦‍♂️ - '[email protected]' - https://www.virustotal.com/gui/file/4e1729be38023e15056914fab40c9ff3e04990c998c5c97­11b4376acb919fdae/ … #CrySiS #Dharma #ransomware
+
'.HACK' - '[email protected]' - https://www.virustotal.com/gui/file/5d4e9a73323a109fb00d56ac8ab28cbfa056616d502d0bf­985a56855ef28bfb5/ … #CrySiS #Dharma #ransomware
+
#Dharma #Ransomware spotted with extension ".0day" on ID Ransomware

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

напишите о проблеме в техподдержку, [email protected]

если этот файлик попал в карантин ESET
C:\USERS\ELENA\APPDATA\LOCAL\TEMP\SETH.BAT
пробуйте восстановить его с другим расширением, например, *.vvvbat и добавить его в архиве на форум
+
вопрос:
кейлоггер
Trojan.RefogKeyLogger, C:\ProgramData\MPK\MIPKO Employee Monitor\MIPKO Employee Monitor.lnk, Помещено в карантин, [1258], [180776],1.0.10268
сами ставили в системе?
+
судя по логу карантина вы используете tnod
User & Password Finder 1.6.6.0 Beta + Portable\TNod-1.6.6-beta-Portable\TNODUP-Portable.exe" "@NAME=Win32/RiskWare.HackAV.II@TYPE=Application@SUSP=mod" 29.04.2019 5106176 bytes
----------------
по правилам нашего форума мы не оказываем помощь пользователям, которые используют взломанный антивирус

если у вас на этих компьютерах работают важные сервисы для сбора информации, следуют защищать их надежными, лицензионными антивирусами, с регулярным обновлением антивирусных баз.

по первому образу (Home_2019_04_29):

"Entry" = "Получено следующее предупреждение о неустранимой ошибке: 20." 25/04/2019 21:19:20 ;
"Entry" = "Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 92.246.76.72." 25/04/2019 20:55:49 ;

много системных ошибок, такое впечатление, что есть попытки через RDP получить доступ к вашей системе.
--------------
вы можете сделать  лог журнала угроз через интерфейс антивируса?
+
если сохранилась эта информация
добавьте логи "другой" утилитки: чем  проверяли, что находили.
+
добавьте лог с помощью  ESET log collector
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­lector_rus.exe

Поздравляем Ego Dekker, автора форума ESET в проекте Anti-Malware.ru, с Днем Рождения!

Елена,
добавьте образ автозапуска системы,
а так же несколько зашифрованных файлов и записку о выкупе

Сергей,

если были зашифрованы важные документы, восстанавливаем файлы из бэкапов,
или сохраняем важные зашифрованные документы на отдельный носитель,
и ждем (ждем и ждем) когда будет решение у антивирусных компаний по расшифровке.

+
теперь, когда вас дважды шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к серверу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);