Размещено 04.09.2018 17:21:08
| Цитата |
|---|
| vlad postnov написал: Просмотрел все компы в локальной сети, ничего не обнаружил, чтобы напоминало о шифровальщике |
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro, Scarab/Filecoder.FS
файлы зашифрованы с расширением .fairytail, .doubleoffset, Filecoder.NHT/ Cryakl CL 1.4.*-1.5.*;
Размещено 04.09.2018 08:16:35
| Цитата |
|---|
| Виктор Останин написал: подскажите, есть ли дешифратор на этот файл all-ransomware.info.ver-CL 1.5.1.0.id-550228201-90631611847714324753131.fname-Письмо от 23.11.2017.doc.doubleoffset |
по 1.5.1 нет информации: возможна ли расшифровка или нет.
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
Размещено 03.09.2018 05:58:33
| Цитата |
|---|
| Виталий Котляров написал: Прошу проверить образ автозапуска на наличие остатков вирусов. |
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v4.0.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER
deldirex D:\IQIYI VIDEO\LSTYLE
deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3192
deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17202.219
deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR
deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR
deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.1.16923.222
deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\SWVUPDATER
deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\131
deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.5.15816.217\QMTRAYPLUGIN\QMMOBILETRAYPLUGIN
deldirex D:\IQIYI VIDEO\GEEPLAYER
delref HTTP://RU.SEARCH.YAHOO.COM/SEARCH?P={SEARCHTERMS}&FR=CHR-DEVICEVM&TYPE=ASRK
delall %Sys32%\TSSK.SYS
delref {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}\[CLSID]
delref {8E8F97CD-60B5-456F-A201-73065652D099}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=465AB80214215C05CA56D60F4DFA045D&TEXT={SEARCHTERMS}
apply
regt 27
deltmp
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\YUPDATE-VERSIONINFO-YABROWSER.XML
delref %SystemDrive%\USERS\USER\DOWNLOADS\TESTER251 (2).EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\MSACCESS.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\KPNH6IA1\PARTNER_NDFL.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {5EC7C511-CD0F-42E6-830C-1BD9882F3458}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref D:\IQIYI VIDEO\LSTYLE\NPWEBPLAYER.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3192\NPQQPHONEMANAGEREXT.DLL
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 2012\FFEXT\[email protected]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {5E6A8DA1-5731-465B-B036-B9E16EF26CAC}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {DD230880-495A-11D1-B064-008048EC2FC5}\[CLSID]
delref APPMGMT\[SERVICE]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CPUZ134\CPUZ134_X32.SYS
delref %Sys32%\DRIVERS\RTKVHDA.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17202.219\QMUDISK.SYS
delref %Sys32%\DRIVERS\SCREENTK.SYS
delref %SystemDrive%\PROGRAM FILES\DEVICEVM\SMARTVIEW\SMARTVIEWSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17202.219\SOFTAAL.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\SREPAIRDRV
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17202.219\TSNETHLP.SYS
delref %Sys32%\DRIVERS\TTNFD.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_51D7_87.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_D4EB_61.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_1355_6A.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_BA68_59.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_112F_53.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_492_40.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_7F3D_52.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_318B_56.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_8E7D_56.TMP
delref %Sys32%\RTEED32A.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %Sys32%\MBPPLD32.DLL
delref %Sys32%\RTKAPOAPI.DLL
delref %Sys32%\RTEEP32A.DLL
delref %SystemDrive%\BVTBIN\TESTS\INSTALLPACKAGE\CBSTEST\X86\CSITEST.DLL
delref %Sys32%\FMAPO.DLL
delref %Sys32%\RTKPGEXT.DLL
delref %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR\REI_AXCONTROL.DLL
delref %Sys32%\RTCOM\RTCOMDLL.DLL
delref %Sys32%\AERTACAP.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %Sys32%\SRSHP360.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %Sys32%\MAXXAUDIOAPO20.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\COMMON DESKTOP AGENT\CDASRV.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %Sys32%\AERTAREN.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE14\MUOPTIN.DLL
delref %Sys32%\SRSTSXT.DLL
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.1.16923.222\TAOFRAME.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE14\OPTINPS.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
delref %Sys32%\MBPPCN32.DLL
delref %Sys32%\RTEEG32A.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\131\TENCENTDL.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\LAUNCHER_I1297874358.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.5.15816.217\QMTRAYPLUGIN\QMMOBILETRAYPLUGIN\ANDROIDPOPUP.EXE
delref %SystemDrive%\PROGRAM FILES\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
delref %Sys32%\RP3DHT32.DLL
delref %Sys32%\MAXXAUDIOAPO.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17202.219\UDISKSHELLEXT.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 2013\IEEXT\ONLINEBANKING\ONLINE_BANKING_BHO.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\RTEEL32A.DLL
delref %Sys32%\RTCOM\RTKCFG.DLL
delref %Sys32%\RP3DAA32.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\131\DOWNLOADPROXYPS.DLL
delref %Sys32%\SRSWOW.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\USERS\USER\DOWNLOADS\LED_ZEPELLIN_-_EYE_OF_THE_TIGER_IZ_ROKKI_(IPLAYER.FM).EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %Sys32%\SRSTSHD.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %Sys32%\RTCOM\RTLCPAPI.DLL
delref %SystemDrive%\PROGRAM FILES\SAMSUNG\EASY PRINTER MANAGER\IDS.LOCALIZATION.DLL
delref {0F3DC9E0-C459-4A40-BCF8-747BD9322E10}\[CLSID]
delref {29B6CFD5-0064-411A-8C42-9890C83F9921}\[CLSID]
delref {CA5C1DDC-0A10-45C9-B95C-035D1D7BE71C}\[CLSID]
delref {FFE66D00-A56A-4F7F-81D7-4A28C5816D6C}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\OBNOVI SOFT\UNINSTALL.EXE
;-------------------------------------------------------------
restart
|
перезагрузка, пишем о старых и новых проблемах.
------------
Браузер Google Chrome вылетает при заходе на сайт
Обновление модулей не выполнено
Размещено 31.08.2018 16:30:46
если лицензия на антивирус у вас действительная, сделайте запрос по данной проблеме в [email protected]
Антивирус сильно тормозит работу СПС КонсультантПлюс
Размещено 31.08.2018 16:26:00
| Цитата |
|---|
| Антон Шатунов написал: Антивирус обновляется автоматически. Обновление существенных изменений не принесло. |
добавьте образ автозапуска системы, где наблюдается эта проблема.
Обновление модулей не выполнено
Антивирус сильно тормозит работу СПС КонсультантПлюс
Размещено 31.08.2018 12:25:41
| Цитата |
|---|
| Антон Шатунов написал: У нашего клиента стоит ESET Endpoint Antivirus 5.0.2126.3. |
файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro, Scarab/Filecoder.FS
Размещено 30.08.2018 18:21:22
на admin, apz9 следов активности omerta нет. возможно с других компутеров был запуск шифратора, который достал в сети расшаренные папки
| Цитата |
|---|
| Scarab Этот вымогатель дешифруем при некоторых обстоятельствах. Изучите руководство для дополнительной информации. Опознан как ransomnote_filename: READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT ransomnote_email: [email protected] custom_rule: Encrypted size marker [0x00 - 0x08] 0x0480000000000000 |
файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro, Scarab/Filecoder.FS
Размещено 30.08.2018 12:27:16
добавьте образы автозапуска с пострадавших копьютеров.
если на пострадавших компьютерах были затронуты шифратором только расшаренные папки, тогда запуск был скорее всего с другого компа.
добавьте в архиве записку о выкупе и несколько зашифрованных файлов.
-----------
если взлом одного из компьютеров был по сети, то необязательно, чтобы кто-то при этом был на работе, достаточно того, чтобы компьютеры были включены и доступны для подключения извне.
если на пострадавших компьютерах были затронуты шифратором только расшаренные папки, тогда запуск был скорее всего с другого компа.
добавьте в архиве записку о выкупе и несколько зашифрованных файлов.
-----------
если взлом одного из компьютеров был по сети, то необязательно, чтобы кто-то при этом был на работе, достаточно того, чтобы компьютеры были включены и доступны для подключения извне.