Размещено 24.12.2018 16:10:14
| Цитата |
|---|
| Тимур Абдусадыков написал: Приватные ключи могут быть в вирусе? Вы сможете их оттуда извлечь? |
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer, Filecoder.Crysis / Encoder.3953; r/n: info.hta
файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer, Filecoder.Crysis / Encoder.3953; r/n: info.hta
Размещено 24.12.2018 14:53:49
| Цитата |
|---|
| Тимур Абдусадыков написал: могу ли я отправить с другого е-мейл? |
по расшифровке:
в данном случае пара зашифрованный - чистый не поможет созданию расшифровщика. только если в доступе будут приватные ключи.
файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer, Filecoder.Crysis / Encoder.3953; r/n: info.hta
Размещено 23.12.2018 05:37:38
@Тимур Абдусадыков,
1. по очистке системы:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
без перезагрузки, пишем о старых и новых проблемах.
2. экспортируйте в файл (txt) лог журнала событий, добавьте лог журнала на форум.
3. по расшифровке документов:
сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем будет дешифровщик.
4. восстановите один из файлов шифратора из карантина (используйте функцию "восстановить в")
этот например:
C:\Users\apetrov\Desktop\05\1Vera.exe
переименуйте его в 1Vera.vexe
добавьте 1Vera.vexe в архив с паролем infected, вышлите архив в почту [email protected]
1. по очистке системы:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;---------command-block--------- del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-02E6014B.[[email protected]].ADOBE del %SystemDrive%\USERS\APETROV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-02E6014B.[[email protected]].ADOBE del %SystemDrive%\USERS\TIMOTHY.BUKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-02E6014B.[[email protected]].ADOBE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC apply QUIT |
без перезагрузки, пишем о старых и новых проблемах.
2. экспортируйте в файл (txt) лог журнала событий, добавьте лог журнала на форум.
3. по расшифровке документов:
сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем будет дешифровщик.
4. восстановите один из файлов шифратора из карантина (используйте функцию "восстановить в")
этот например:
C:\Users\apetrov\Desktop\05\1Vera.exe
переименуйте его в 1Vera.vexe
добавьте 1Vera.vexe в архив с паролем infected, вышлите архив в почту [email protected]
ES File Explorer и исключения firewall'a?
Шифровирусы шумной толпою
Размещено 22.12.2018 09:11:32
Что такое Dharma Ransomware и как защитить свой бизнес от этого
Dharma / CrySIS - широко распространенный тип крипто-вымогателей. Этот вымогатель является потомком семейства Cesar, и основные варианты, циркулирующие сегодня, появились в дикой природе в 2016 году.
Некоторые из ранних вариантов были взломаны Kaspersky и ESET, и был опубликован бесплатный расшифровщик. К сожалению, новые варианты Dharma Ransomware в настоящее время не расшифровываются, так как код вредоносных программ продолжает развиваться и получил широкое распространение.
Каковы общие векторы атаки для Dharma Ransomware
Главный вектор атаки для вымогателей Dharma - через порты по протоколу удаленного рабочего стола или RDP. RDP порт, который обычно используется сотрудниками или поставщиками услуг для удаленного доступа к сети. Доступ по протоколу RDP обходит защиту конечных точек, значительно облегчая перемещение между конечными точками, разделенными сетями и системами резервного копирования.
Злоумышленники могут взломать RDP несколькими различными способами:
С помощью сканирования портов с помощью таких веб-сайтов, как Shodan, а затем с помощью перебора RDP-сеансов, пока учетные данные не будут скомпрометированы.
Покупка и использование взломанных учетных данных для продажи на таких сайтах, как XDedic.
Фишинг сотрудника компании для получения доступа и контроля над их машиной. Затем используйте этот доступ для прямого доступа RDP изнутри сети.
На темных интернет-площадках продается десятки тысяч корпоративных учетных данных RDP всего за 3 доллара.
В то время как множество крупных организаций продолжают оставлять этот вектор незащищенным, небольшие компании полагают, что они слишком малы, чтобы быть целью, и не понимают, насколько легко они могут быть подвержены атакам. Многим также не хватает ресурсов, людей или знаний о том, как правильно обеспечить доступ.
Как Вы можете защитить свой бизнес от Dharma Ransomware?
брутфорсинг к удаленным рабочим столам остается главным вектором атаки для Dharma Ransomware. Чтобы обезопасить себя от атак, вы должны обеспечить безопасность этих служб.
Популярные способы защиты RDP включают в себя:
Двухфакторная проверка подлинности (2FA). Подавляющее большинство корпоративных атак вымогателей может быть предотвращено путем включения двухфакторной проверки подлинности для удаленных сеансов и всех удаленно доступных учетных записей.
Ограничение доступа: ограничьте доступ, разместив RDP за брандмауэром, используя VPN для доступа к нему, изменив порт по умолчанию и / или разрешив доступ по выбранному белому списку диапазонов IP-адресов, что может помочь снизить риск компрометации. Кроме того, рассмотрите положения о блокировке, чтобы пресечь попытки брутфорса.
ЗАщита конечных точек и альтернативные решения. Современные решения защиты для конечных точек могут обнаруживать аномалии в использовании сети (например, на рабочей станции в офисе, пытающейся выполнить сеанс RDP) и останавливать их до нанесения ущерба.
Помимо защиты вашего бизнеса от атак, важно иметь адекватные резервные копии и тщательные планы аварийного восстановления (DR) и реагирования на инциденты (IR).
Если конфигурации RDP будут скомпрометированы, очень важно, чтобы ваши планы DR и IR были систематизированы и обновлены. Системы резервного копирования должны иметь последние версии всех данных, доступных локально, в облаке и в системах, расположенных отдельно от корпоративной сети.
Доступ к этим резервным копиям должен быть правильно разделен и доступен только избранной группе администраторов безопасности, а доступ к администрированию их защищен 2FA. Фирмы IR должны быть подготовлены, чтобы минимизировать затраты и время для восстановления в случае нарушения.
Dharma / CrySIS - широко распространенный тип крипто-вымогателей. Этот вымогатель является потомком семейства Cesar, и основные варианты, циркулирующие сегодня, появились в дикой природе в 2016 году.
Некоторые из ранних вариантов были взломаны Kaspersky и ESET, и был опубликован бесплатный расшифровщик. К сожалению, новые варианты Dharma Ransomware в настоящее время не расшифровываются, так как код вредоносных программ продолжает развиваться и получил широкое распространение.
Каковы общие векторы атаки для Dharma Ransomware
Главный вектор атаки для вымогателей Dharma - через порты по протоколу удаленного рабочего стола или RDP. RDP порт, который обычно используется сотрудниками или поставщиками услуг для удаленного доступа к сети. Доступ по протоколу RDP обходит защиту конечных точек, значительно облегчая перемещение между конечными точками, разделенными сетями и системами резервного копирования.
Злоумышленники могут взломать RDP несколькими различными способами:
С помощью сканирования портов с помощью таких веб-сайтов, как Shodan, а затем с помощью перебора RDP-сеансов, пока учетные данные не будут скомпрометированы.
Покупка и использование взломанных учетных данных для продажи на таких сайтах, как XDedic.
Фишинг сотрудника компании для получения доступа и контроля над их машиной. Затем используйте этот доступ для прямого доступа RDP изнутри сети.
На темных интернет-площадках продается десятки тысяч корпоративных учетных данных RDP всего за 3 доллара.
В то время как множество крупных организаций продолжают оставлять этот вектор незащищенным, небольшие компании полагают, что они слишком малы, чтобы быть целью, и не понимают, насколько легко они могут быть подвержены атакам. Многим также не хватает ресурсов, людей или знаний о том, как правильно обеспечить доступ.
Как Вы можете защитить свой бизнес от Dharma Ransomware?
брутфорсинг к удаленным рабочим столам остается главным вектором атаки для Dharma Ransomware. Чтобы обезопасить себя от атак, вы должны обеспечить безопасность этих служб.
Популярные способы защиты RDP включают в себя:
Двухфакторная проверка подлинности (2FA). Подавляющее большинство корпоративных атак вымогателей может быть предотвращено путем включения двухфакторной проверки подлинности для удаленных сеансов и всех удаленно доступных учетных записей.
Ограничение доступа: ограничьте доступ, разместив RDP за брандмауэром, используя VPN для доступа к нему, изменив порт по умолчанию и / или разрешив доступ по выбранному белому списку диапазонов IP-адресов, что может помочь снизить риск компрометации. Кроме того, рассмотрите положения о блокировке, чтобы пресечь попытки брутфорса.
ЗАщита конечных точек и альтернативные решения. Современные решения защиты для конечных точек могут обнаруживать аномалии в использовании сети (например, на рабочей станции в офисе, пытающейся выполнить сеанс RDP) и останавливать их до нанесения ущерба.
Помимо защиты вашего бизнеса от атак, важно иметь адекватные резервные копии и тщательные планы аварийного восстановления (DR) и реагирования на инциденты (IR).
Если конфигурации RDP будут скомпрометированы, очень важно, чтобы ваши планы DR и IR были систематизированы и обновлены. Системы резервного копирования должны иметь последние версии всех данных, доступных локально, в облаке и в системах, расположенных отдельно от корпоративной сети.
Доступ к этим резервным копиям должен быть правильно разделен и доступен только избранной группе администраторов безопасности, а доступ к администрированию их защищен 2FA. Фирмы IR должны быть подготовлены, чтобы минимизировать затраты и время для восстановления в случае нарушения.
[ Закрыто] не пришел ключ / не работает ключ/ошибка при вводе ключа/ забыл логин и пароль, главная
Размещено 21.12.2018 16:02:59
| Цитата |
|---|
| Екатерина Люцай написал: Здравствуйте! При покупке лицензии указала не верный адрес электронной почты, как быть? |
Не удается отобразить эту страницу, Не работает браузер в режиме банковской защиты
Размещено 21.12.2018 13:39:35
проверьте учетные данные (логин и пароль) в техподдержке [email protected]
Проблема с открытием портов.
Eset находит Win64/Adware.PBot
Размещено 19.12.2018 18:17:50
+
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
delref LOAD.PYC
delall %SystemDrive%\USERS\RUSLAN\APPDATA\ROAMING\YOUTUBEDOWNLOADER_UPD\PYTHON\PYTHONW.EXE
delall %SystemDrive%\USERS\RUSLAN\APPDATA\ROAMING\YOUTUBEDOWNLOADER\PYTHON\PYTHONW.EXE
delref START.PYC
delall %SystemDrive%\PROGRA~3\04A85E~1\SYSTEM~1.EXE
delref %SystemDrive%\USERS\RUSLAN\APPDATA\ROAMING\YOUTUBEDOWNLOADER\PYTHON\PYTHON.EXE
delref %SystemDrive%\USERS\RUSLAN\APPDATA\ROAMING\KODOBI\PYTHON\PYTHONW.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNLADLJMABBOANHIHFKJACNNKGJHNOKHJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\RUSLAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDHPACFHLJHCOMBKALCMKAHKHODPKBIM\15.1.13.1_0\ПОИСК MAIL.RU
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDOICAPFDALDIOKBCDNLLFHNAPOKCBK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIKPCPGKLMEFNCBFGBDIFKAPHBAAPGAFH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDHPACFHLJHCOMBKALCMKAHKHODPKBIM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
apply
deltmp
delref %SystemDrive%\USERS\RUSLAN\APPDATA\LOCAL\{904D3770-E09F-441C-9AEC-A43930831E8A}
delref %SystemDrive%\PROGRAMDATA\B7C4B71B-7753-1\B7C4B71B-7753-1.D
delref %SystemDrive%\PROGRAMDATA\B7C4B71B-16A5-0\B7C4B71B-16A5-0.D
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %SystemDrive%\USERS\RUSLAN\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref %SystemDrive%\PROGRAMDATA\QUOTEEX\SOLDAX.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref G:\ASRSETUP.EXE
delref {2318C2B1-4965-11D4-9B18-009027A5CD4F}\[CLSID]
delref {AA58ED58-01DD-4D91-8333-CF10577473F7}\[CLSID]
delref {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\[CLSID]
delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
;-------------------------------------------------------------
restart
|
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
Eset находит Win64/Adware.PBot