@Евгений Галишинский,

добавьте образ автозапуска системы

@Andrei Balan ,
добавьте образ автозапуска системы,
возможно в системе остались еще файлы шифратора
+
добавьте несколько зашифрованных файлов в архиве

[QUOTE]Deonis Andersen написал:
У меня подарочная лицензия и как я понял могу писать только на форум[/QUOTE]
на форум можно писать и без лицензии.
в [email protected] имеет смысл написать еще и потому что у вас запросят специализированный лог ESET log collector с пострадавшей машины для вирлаба, помимо сэмпла и зашифрованных файлов. Сколько по времени этот процесс продлится, возможно 2-3 недели, если расшифровка станет возможной. Если вы заинтересованы в восстановлении зашифрованных документов, то стоит искать решение по нескольким направлениям.

@Deonis Andersen,

по расшифровке файлов напишите в [email protected] при наличие лицензии на продукт ESET

пока что неясно, есть расшифровка файлов по данному варианту или нет. Как будет больше информации, отвечу в этой теме.

[QUOTE]Deonis Andersen написал:
Записки о выкупе нет, но есть само тело вируса. Если надо могу предоставить.[/QUOTE]
загрузите этот файл на https://www.hybrid-analysis.com/ для анализа с предоставлением доступа,
и дайте ссылку на тему анализа (когда он завершится) в личные сообщения

результат проверки:
https://www.virustotal.com/gui/file/168b7f0d1953f42adeabd744538c07a3bb24f6acef24458­b31fd1c29410cd631/detection

https://app.any.run/tasks/175b00d9-0858-474e-afaf-854ba032e66e

@Deonis Andersen,

добавьте образ автозапуска системы
+
несколько зашифрованных файлов в архиве,
+
записку о выкупе, если есть в системе.

Сразу скажу, что спасти систему и документы не получилось, пользователь переустановил систему. А спасти было возможно.

Судя по источнику угрозы - это был Petya Ransomware,

[quote]DrWeb: Trojan.Ransom.369
ESET-NOD32: Win32/Diskcoder.Petya.A
Malwarebytes: Ransom.Petya
Kaspersky: Trojan-Ransom.Win32.Petr.a
[/quote]
https://www.virustotal.com/gui/file/26b4699a7b9eeb16e76305d843d4ab05e94d43f32014369­27e13b3ebafa90739/detection

после проверки на VM, оказалось что это классический Petya Ransomware (вариант Red) загруженный из бескрайних просторов сети. С этим вариантом распрощались еще [url="https://blog.malwarebytes.com/malwarebytes-news/2017/07/bye-bye-petya-decryptor-old-versions-released/"][b]два года назад[/b][/url], в связи с тем, что автором JanusSecretary (или авторским коллективом) были сданы мастер-ключи.

[img]https://chklst.ru/uploads/editor/yn/bo7904l61rui.jpg[/img]

На сегодня есть несколько надежных методов спасти систему и документы после подобной атаки.

во первых, это инструменты [b]hack-petya[/b] от [b]leo-stone[/b], которые применимы к Petya Red:
https://github.com/leo-stone/hack-petya/releases/tag/v2.0.1

во вторых, это загрузочный диск [b]antipetya_ultimate[/b] от [b]hasherezade[/b], который так же работает для случая Red
https://github.com/hasherezade/petya_key/releases/download/0.2/antipetya_ultimate.iso

в третьих, это инструменты [url="https://github.com/hasherezade/petya_key/releases/download/0.2/petya_key_v0.2_win32.zip"][b]petya_key[/b][/url] от [b]hasherezade[/b] для получения ключа по известному уникальному идентификатору (в данном случае был [code]e7QqD1pTUSGnkqKaHce5qfTZnkNG9CdTuqkGHNyYeCQad4RBmHspgMv7Wi8w517oCMBKH66rqSTE4nfRvKCSopCteN)[/code]), который содержится на экране ввода ключа, а так же может быть извлечен из из первых 64 секторов системного диска.

Чтобы извлечь нужные 64сектора диска используем загрузочный Winpe + инструментарий [url="https://dmde.ru/download.html"]DMDE[/url]
[quote]DMDE поддерживает файловые системы NTFS/NTFS5, FAT12/16, FAT32, exFAT, Ext2/3/4, HFS+/HFSX, ReFS (Beta) и работает в Windows 98/..XP/..7/..10, Linux, macOS, DOS (консольный интерфейс).
[/quote]
для [b]hack-petya[/b] можно собрать информацию с помощью утилиты от Фабиана Восара [url="http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip"][b]PETYAEXTRACTOR.EXE[/b][/url]:
---------
для получения ключа, я использовал второй и третий методы, простой и сложный.

[i]по второму методу:[/i] можно загрузиться с antipetya_ultimate и далее, следуя подсказкам ввести необходимые команды и параметры, и автоматически получить ключ для расшифровки MFT.
[img]https://chklst.ru/uploads/editor/74/3u14thi2l043.jpg[/img]

по третьему методу: можно использовать простой путь: получить скриншот экрана, содержащего идентификатор, преобразовать изображение в plain text, выделить блок с идентификатором, [url="http://foxtools.ru/Text"][b]преобразовать в нужную кодировку[/b][/url] ANSI Win 1251(если текст с online сервиса был получен, например, в UTF-8),
далее, блок сохраняем в файл ID.txt и используем для получения ключа в petya_key:

[code]petya_key.exe ID.txt >>key.txt[/code]

[quote]Choose one of the supported variants:
r - Red Petya
g - Green Petya or Mischa
d - Goldeneye
[*] My petya is: Victim file: id.txt
[*] [+] Victim ID: e7QqD1pTUSGnkqKaHce5qfTZnkNG9CdTuqkGHNyYeCQad4RBmHspgMv7Wi8w517oCMBKH66rqSTE4nfRvKCSopCteN
---
[+] Your key : [b]GES27jh1Evud5HCs[/b][/quote]

однако, этот метод сработает, если распознание рисунка будет на 100% безошибочным. Ошибка с распознанием хотя бы одного символа приведет к ошибке с получением ключа. А визуально, найти ошибку будет непросто.

Надежнее, таки загрузиться с Winpe, скопировать с 0 по 63 секторы проблемного жесткого диска, сохранить в файл *.bin с последующим извлечением (можно использовать hex-редакторы: Winhex или xwforensics) необходимого идентификатора.

[img]https://chklst.ru/uploads/editor/b1/722308duqybd.jpg[/img]

Замечает, что после ввода правильного ключа идет процесс расшифровки.

[img]https://chklst.ru/uploads/editor/5o/1nq1c48mpt2v.jpg[/img]

Интересно, что по первому методу от[b] leo-stone[/b], ключ так же был вычислен (и успешно применен для расшифровки диска), но с некоторым отличием от метода [b]hasherezade[/b].
[code]
GxSx7xhxExux5xCx: hack-petya от leo-stone
GES27jh1Evud5HCs: petya_key от hasherezade
[/code]
остается добавить, что веб-генератор ключа, созданный leo-stone по адресам :
[b]petya-pay-no-ransom.herokuapp.com[/b] и [b]petya-pay-no-ransom-mirror1.herokuapp.com[/b]
спустя некоторое время прекратил работу, поэтому для получения ключа применяем им же созданную офлайновую утилиту hack-petya. И здесь есть некоторый нюанс. PetyaExtractor (F.Wosar) создавал файлики src.txt и nonce.txt в base64 кодировке (для веб-генератора ключа), а для офлайновой утилиты необходимо эти же данные предварительно [url="https://www.base64decode.org/"]декодировать из base64[/url].

[code]hack-petya.exe >>key.txt[/code]
результат:

Скрытый текст

G00000000  cb f0 82 97 9a 61 e2 1b  44 a2 db c8 92 96 04 82  |.....a..D.......| 00000010  00 06 80 0e 63 5a 7e 16  5e d6 5e cd 7a ce e8 ca  |....cZ~.^.^.z...| 00000020  ca f0 02 97 9a 27 e2 db  c4 a4 db c8 92 56 04 82  |.....'.......V..| 00000030  02 1c 80 4e 62 5a 7e 15  de 16 5e cb 7a cc eb ca  |...NbZ~...^.z...| 00000040  ca f0 02 97 9a 63 e2 5b  c4 a1 db c8 92 d6 04 82  |.....c.[........| 00000050  04 3e 80 ce 65 5a fe 14  5e 96 5e cd 7a cd e8 ca  |.>..eZ..^.^.z...| 00000060  c9 f0 82 98 9a 2d e2 5b  44 a2 db c8 92 96 04 82  |.....-.[D.......| 00000070  06 04 80 ce 64 5a fe 14  de 16 5e cb 7a cc eb ca  |....dZ....^.z...| 00000080  c9 f0 02 9e 9a 3f e2 9b  c4 a2 db c8 92 56 04 82  |.....?.......V..| 00000090  08 26 80 ce 62 5a fe 15  de 56 5e cb 7a cb eb ca  |.&..bZ...V^.z...| 000000a0  cc f0 02 98 9a 61 e2 1b  c4 a4 db c8 92 96 04 82  |.....a..........| 000000b0  0a 22 80 8e 64 5a fe 14  de 56 5e cb fa cc eb ca  |."..dZ...V^.....| 000000c0  cb f0 02 97 9a 61 e2 db  c4 a2 db c8 92 d6 04 82  |.....a..........| 000000d0  0c 1e 80 8e 62 5a fe 15  de 56 5e cb fa cd eb ca  |....bZ...V^.....| 000000e0  cc f0 02 9d 9a 43 e2 1b  c4 a1 db c8 92 96 04 82  |.....C..........| 000000f0  0e 38 80 ce 63 5a 7e 15  de 96 5e cb 7a cb eb ca  |.8..cZ~...^.z...| [61643 38786 24986 7138 41540 51419 38546 33284 1536 3712 23139 5758 54878 52574 52858 51944] Your key is:  [b]GxSx7xhxExux5xCx[/b]

-------------

-------------
(с), chklst.ru

[B]актуальная тема "Уничтожить dllhostex.exe"[/B], спасибо Кузнецову Дмитрию (и uVS) за помощь в решение этой проблемы.

по этой эпидемии WannaMine4.0  обзор:

[QUOTE]Attack Procedure:

   The DLL file ApplicationNetBIOSClient.dll is corresponding to the service ApplicationNetBIOSClient and loaded through the executable svchost.exe. Every time it starts upon system startup, another executable spoolsv.exe is loaded.
   Then spoolsv.exe scans the local area network on port 445 to find target hosts and starts the vulnerability exploit program svchost.exe and spoolsv.exe. Svchost.exe performs [B]EternalBlue[/B] butter overflow attacks against the hosts targeted in Step 2.
   Upon successful intrusion, spoolsv.exe (a NSA-linked exploit kit,[B] DoublePulsar[/B]) installs backdoor and malicious payload (x86.dll/x64.dll).
   The payload (x86.dll/x64.dll) is executed to duplicate rdpkax.xsl from local host to target host, decompress the file, register ApplicationNetBIOSClient service and start spoolsv to perform attacks. Each host is infected in the above ways, step by step.[/QUOTE]


[QUOTE]Одно из отличий заключается в том, что оригинальный сжатый пакет заменен на rdpkax.xsl, набор эксплойтов, который содержит все компоненты для выполнения атак. Как и в предыдущей версии 3.0, этот вариант также использует методы уклонения от вирусов. rdpkax.xsl - это специальный пакет данных, для которого требуется, чтобы вариант расшифровывал себя и разделял его компоненты, включая набор эксплойтов EternalBlue (svchost.exe, spoolsv.exe, x86.dll / x64.dll и т. д.), которые хранятся в следующие каталоги:
C: \ Windows \ System32 \ rdpkax.xsl
C: \ Windows \ System32 \ dllhostex.exe
C: \ Windows \ System32 \ ApplicationNetBIOSClient.dll
C: \ Windows \ SysWOW64 \ ApplicationNetBIOSClient.dll
C: \ Windows \ SysWOW64 \ dllhostex.exe
C: \ Windows \ NetworkDistribution[/QUOTE]

https://www.sangfor.com/source/blog-network-security/1201.html

+
Хакер.ру о WannaMine

[QUOTE]В начале 2018 года многие ИБ-компании и независимые эксперты предупреждали о появлении майнингового ботнета, который использует зараженные хосты для добычи криптовалюты Monero. По данным специалистов, тогда было скомпрометировало от 500 000 до 1 000 000 машин, а операторы малвари «заработали» порядка 8900 Monero (около 2 млн долларов по курсу на тот момент).

Данная малварь получила название WannaMine, которое угрозе дали специалисты компании CrowdStrike. Разумеется, параллель с WannaCry неслучайна. Дело в том, что для распространения малварь использует эксплоиты EternalBlue (CVE-2017-0144) и EsteemAudit (CVE-2017-0176), направленные против уязвимых Windows-машин. Названия этих эксплоитов хорошо знакомы не только ИБ-специалистам, но даже рядовым пользователям, так как именно EternalBlue весной 2017 года применялся для распространения нашумевшего шифровальщика WannaCry.[/QUOTE]

https://xakep.ru/2018/09/17/wannamine-alive/

[B]используем tnod[/B]
C:\PROGRAM FILES (X86)\TNOD\TNODUP.EXE
по правилам нашего форума, помощь пользователям, которые используют взлом антивируса, не оказывается.
тема будет закрыта.
обращайтесь за помощью на другой форум.

[QUOTE]Sergiu Copacean написал:
Был установлен Symantec Endpoint. По поводу локализации - не совсем понимаю что Вы имеете ввиду.. Если это страна - то Республика Молдова.[/QUOTE]
+
вопрос: антивирусные продукты установлены вручную, или через консоль управления в ESET Security Management Center (ESMC)?