[QUOTE]Сегодня отмечают день рождения Vitokhv(32), [/QUOTE]

Поздравляем [COLOR=#00AEEF][SIZE=14pt]Vitokhv[/SIZE][/COLOR], одного из активных и давних участников форума ESET с днем рождения.

анализ работы шифратора [B]Ransom.Shade:[/B]
https://app.any.run/tasks/65ed86fe-e71f-4949-9a55-4bb1eb0bed08

видим что в реестр добавлен public RSA key

HKEY_LOCAL_MACHINE\SOFTWARE\System32\Configuration
Name:
xpk
Value:
[CODE]-----BEGIN PUBLIC KEY-----
MIIBojANBgkqhkiG9w0BAQEFAAOCAY8AMIIBigKCAYEA8mn4F2LJ2xbiQ2U0­nRya
c1tR+wN6CcLUa3lCLO+4Hj4gGGvPGugPV/9l2cAkeQZahnqlgKG51eaFO1UY­dmPs
zyNfi9qlgFndoFL8XsxFHJ4C9BqqlIpD15pglgrubqX0lZGlI27dXh4bu3fA­9zrI
ULugLryqMmIId6MDIY2WalR+7Vpq8ATM6VN1/+CKBDEcdHeWsNScgxtKOVa2­0E60
qOWxzdUoCeMHgMr+Q8kzPQzreyejLbBZL9cXTxstXJVsA64ge/G71oZlLU7j­2Ujp
EHkXR4G0I5QBEQu62K0R+cz3FqxP6CN6Pm1MJb8XHkU54FYsVsLsk5nasUMU­Z9Uq
5ikgVEO65k7bgwi9nGZsyDlWDOwbGuSRreLAVKeCDiO2jfSBOTH16gIyT9rE­7UDj
6SRe2guJhe2sqwXpwgmTJsWffQmzg5vQwWrL4UXUASCWvtODBBTq8jGom9T5­Aet/
gsLcsM1ozqI961wp6RZPO1WluzsxvpDT4bCJmc5D6dp/AgMBAAE=
-----END PUBLIC KEY-----[/CODE]

посмотрите в онлайн help статью об установке EFS из командной строки

https://help.eset.com/efsw/7.0/ru-RU/?installation_cmd.html

[QUOTE]RP55 RP55 написал:
Шифровальщики Петра I
[URL=https://topwar.ru/152671-shifrovalschiki-petra-i-chast-pervaja.html]https://topwar.ru/152671-shifrovalschiki-petra-i-chast-pervaja.html[/URL] [/QUOTE]

[QUOTE]Было у петровских криптографов собственное ноу-хау – наличие множества «пустышек» в тексте, то есть знаков шифрованного текста, которым не соответствует никакой знак открытого текста. Эти бессмысленные включения длиной 5-6 знаков увеличивали стойкость шифров, создавая у противника неправильное впечатление о количестве знаком в алфавите открытого текста. «Пустышки» разбивали структурные лингвистические связи открытого текста и изменяли статистические закономерности, то есть именно те свойства текста, которые использовались при дешифровании шифра простой замены. Бессмысленные вставки увеличивали длину кодированного текста по сравнению с открытым, а это значительно усложняло их взаимное сопоставление.[/QUOTE]

обфускация
https://habr.com/ru/post/255871/

добавьте новый образ автозапуска

[QUOTE]Сергей Кем написал:
так же сейчас обратил внимание что у меня на сервере есть файл с базами данных postgre в архиве 7z запароленном его тоже невозможно разгадать пароль?[/QUOTE]
трудно сказать.
вы можете проверить подбор паролей  с помощью утилит от Элкомсофт.
(возможно что пароль окажется несложным)

Новая атака шифратора Shade нацелена на российских бизнес-пользователей

[QUOTE]В январе 2019 года мы зафиксировали резкий рост числа обнаружений вредоносных почтовых вложений JavaScript (в 2018 году данный вектор атаки использовался минимально). В «новогоднем выпуске» можно выделить рассылку на русском языке, предназначенную для распространения шифратора Shade (он же Troldesh), который детектируется продуктами ESET как Win32/Filecoder.Shade.[/QUOTE]

https://habr.com/ru/company/eset/blog/437982/

Распространители GandCrab взяли на вооружение метод с командной строкой, содержащей powershell и закодированный в base64 код.

[QUOTE] cmdline:
powershell -exec bypass -nop -enc aQBlAHgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBl­AGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4A­ZwAoACcAaAB0AHQAcABzADoAL****
[/QUOTE]

https://app.any.run/tasks/309138f6-4541-4bd5-93b4-dbf33f83af6e

судя по записке о выкупе и зашифрованному файлу:

Creeper
[QUOTE]Этот вымогатель еще пока изучается.

Изучите топик для дополнительной информации. Образцы зашифрованных и подозрительных файлов понадобятся для дальнейшего изучения.

Опознан как

   ransomnote_email: [email protected]
[/QUOTE]
https://id-ransomware.malwarehunterteam.com/identify.php?case=8740421f73be7400b7cb3b2fd12309a32630269a

по расшифовке файлов напишите в support@esetnod32 при наличие лицензии на продукт ESET

неплохо было бы найти файл шифратора. пока что мало о нем известно.
(и случаев шифрования немного, начиная с 2018г)

http://id-ransomware.blogspot.com/2018/02/creeper-ransomware.html

просьба стандартная:
если вы открываете новую тему по шифраторам:
добавьте несколько зашифрованных файлов в архиве, + записку о выкупе
+
добавьте образ автозапуска системы, сделанный из зашифрованной системы, если она доступна.