santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Уведомление о выходе новой версии Антивируса.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.10.2018 13:11:43

Цитата
Валентина Киселева написал: Возможно ли как-то получать такую информацию по e-mail? Или только вручную подключаться к сайту с обновлениями и проверять?

уведомлений о выходе новой версии антивирусных баз нет, в течение дня может быть выпущено 4-5 обновлений.
если вы настроите в планировщике задач обновление баз т.о., что через каждый час клиенты будут автоматически подключаться к серверу обновлений, так вам и не надо будет делать это вручную.
если же вы планируете выполнять контроль обновлений клиентов со стороны сотрудников через сервер ERA, можно это делать периодически со стороны сотрудников технической поддержки, или ответственного администратора.

[ Как создать образ автозапуска? ]

Перейти

Зашифрованы файлы в формате "353436383735364436323733324536343632"без расширения, CryptConsole3; ransom_note: README.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.10.2018 12:43:28

судя по зашифрованному файлу и записке о выкупе, это

Цитата
Blackout Для этого вымогателя пока нет способа дешифровки данных. Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик. Опознан как sample_extension: <base64>

https://id-ransomware.malwarehunterteam.com/identify.php?case=642c79f9bb7defb6cfd16320d0caa4139cec0178

хотя может быть и неверный детект
-----
update: Скорее всего это CryptConsole3

[ Как создать образ автозапуска? ]

Перейти

Зашифрованы файлы в формате "353436383735364436323733324536343632"без расширения, CryptConsole3; ransom_note: README.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.10.2018 12:31:07

@Константин Григорьев,

если у вас есть лицензия на антивирусный продукт ESET, сделайте запрос в [email protected]
+
если необходимо проверить сервер, сделайте образ автозапуска системы

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.10.2018 06:13:55

Цитата
RP55 RP55 написал: А здесь у нас WMI...

и не только.
возможно было два конкурирующих продукта майнеров (BOOT.DarkGalaxy
https://www.virustotal.com/ru/file/8a7f542b6cff744dd7d80eb510b6359e9214640c03ded5dc1acfe5274d891103/analysis/1540003309/
и WMI-майнер AdylKuzz)

Цитата
Полное имя MBR#0 [931,5GB] Имя файла MBR#0 [931,5GB] Тек. статус ?ВИРУС? ВИРУС загрузчик Обнаруженные сигнатуры Сигнатура Trojan.Boot.DarkGalaxy.a [Kaspersky] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2018-09-14 www.virustotal.com Хэш НЕ найден на сервере. www.virustotal.com 2018-10-20 Kaspersky Trojan.Boot.DarkGalaxy.a DrWeb Trojan.NtRootKit.19689 Сохраненная информация на момент создания образа Статус загрузчик Размер 440 байт Доп. информация на момент обновления списка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

Цитата

Полное имя MBR#0 [931,5GB]
Имя файла MBR#0 [931,5GB]
Тек. статус ?ВИРУС? ВИРУС загрузчик

Обнаруженные сигнатуры
Сигнатура Trojan.Boot.DarkGalaxy.a [Kaspersky] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2018-09-14

www.virustotal.com Хэш НЕ найден на сервере.
www.virustotal.com 2018-10-20
Kaspersky Trojan.Boot.DarkGalaxy.a
DrWeb Trojan.NtRootKit.19689

Сохраненная информация на момент создания образа
Статус загрузчик
Размер 440 байт

Доп. информация на момент обновления списка
SHA1 70AF4248427B9FDB75AEB76CF5DB95D2FA55B803

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

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.10.2018 14:38:57

+
новый вариант CrySiS; файлы зашифрованы с расширением .FUNNY,

например,

Port3NaPochtu.epf.id-8ADB6DDA.[[email protected]].FUNNY

FILES ENCRYPTED.txt:

Цитата
all your data has been locked us You want to return? write email [email protected]

info.hta:

Цитата
All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected] Write this ID in the title of your message 8ADB6DDA In case of no answer in 24 hours write us to theese e-mails:[email protected] You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. Free decryption as guarantee Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. https://localbitcoins.com/buy_bitcoins Also you can find other places to buy Bitcoins and beginners guide here: http://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Цитата

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected]
Write this ID in the title of your message 8ADB6DDA
In case of no answer in 24 hours write us to theese e-mails:[email protected]
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee

Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!

Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

[ Как создать образ автозапуска? ]

Перейти

Администраторы безопасности в рамках одной лицензии, Выделение администратору безопасности части юнитов от общей лицензии

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.10.2018 14:29:56

Цитата
Алексей Ш написал: Возможно ли это в рамках одной лицензии?

в рамках 5 или 6 ERA версии такое разделение лицензии на части невозможно.
Возможно лишь выделение группы компьютеров для администрирования (назначение, выполнение задач и политик) сотруднику, которому предоставлены полные права администора.

Вы так же можете сделать запрос в техподдержку [email protected] чтобы уточнить возможно ли для вас в данном случае необходимое решение.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Служба не запускается, Eset File Server 7

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.10.2018 14:09:16

Цитата
Ерхан Измаганбетов написал: Чем отличается Eset uninstaler с обычном удалением

тем, что обычная переустановка поверх (или деинсталляция в нормальном режиме) может не решить проблему, в то время как полное удаление продукта с очисткой записей реестре гарантировано возможно только с ESET Uninstaller, который должен быть запущен из безопасного режима системы.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.10.2018 11:45:27

Цитата
viktor solodkiy написал: В автозапуске был info.hta .

Crysis/Dharma

Цитата
Для этого вымогателя пока нет способа дешифровки данных. Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик. Опознан как sample_bytes: [0x12A020 - 0x12A060] 0x00000000020000000CFE7A410000000000000000000000002000000000000000 custom_rule: Original filename "dao360.dll" after filemarker

Цитата

Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

sample_bytes: [0x12A020 - 0x12A060] 0x00000000020000000CFE7A410000000000000000000000002000000000000000
custom_rule: Original filename "dao360.dll" after filemarker

https://id-ransomware.malwarehunterteam.com/identify.php?case=03ac7878487f60fd2f205c4da5d29b897885899b

@viktor solodkiy,
нужен образ автозапуска, возможно в системе (или в карантине антивируса) сохранилось тело файла шифратора.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.10.2018 11:40:58

да, это Crysis

Цитата
Для этого вымогателя пока нет способа дешифровки данных. Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик. Опознан как sample_bytes: [0x5460 - 0x54A0] 0x00000000020000000CFE7A410000000000000000000000002000000000000000 custom_rule: Original filename "Port3NaPochtu.epf" after filemarker

Цитата

Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

sample_bytes: [0x5460 - 0x54A0] 0x00000000020000000CFE7A410000000000000000000000002000000000000000
custom_rule: Original filename "Port3NaPochtu.epf" after filemarker

https://id-ransomware.malwarehunterteam.com/identify.php?case=5074e348aa45084830f06eb837a971236bb082f8

ESET обычно реагирует на файлы записок о выкупе,
https://www.virustotal.com/#/file-analysis/Y2M1NjM0NmFmYWVhZDFmNzdhZmU5NzkzYTY2MDZlNjI6MTUzOTkzODM4NA==
в данном случае такая реакция:
ESET-NOD32: Win32/Filecoder.Crysis

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.10.2018 09:52:20

@Артем а,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE zoo %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA ;------------------------autoscript--------------------------- delall %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA delall %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-8ADB6DDA.[[email protected]].FUNNY apply regt 27 deltmp ;------------------------------------------------------------- quit

Код


;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\DIRECTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-8ADB6DDA.[[email protected]].FUNNY
apply

regt 27
deltmp
;-------------------------------------------------------------

quit

без перезагрузки, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти