santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.07.2018 08:52:15

Цитата

Edward Kan написал:

Цитата

santy написал:

Цитата
Edward Kan написал: Добрый день.2 файла: http://rgho.st/8XPhMV4RW Требование об оплате: http://rgho.st/6S7kpfpT5

нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение с просьбой о расшифровке файлов в [email protected]

1. Что такое VT
2. Чистых файлов нету.
3. Файла нет.

1. этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com и дайте нас ссылку проверки в вашем сообщении.

2. проверьте в этой папке есть зашифрованные файлы?
C:\Users\Public\Pictures\Sample Pictures
если есть, тогда добавьте несколько зашифрованных файлов из этой папки

3. можете самостоятельно попытаться идентифицировать шифратор
https://id-ransomware.malwarehunterteam.com/index.php

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.07.2018 06:01:47

Цитата
Edward Kan написал: Добрый день.2 файла: http://rgho.st/8XPhMV4RW Требование об оплате: http://rgho.st/6S7kpfpT5

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.07.2018 12:21:50

судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[[email protected]].java
это не Crysis, какой-то другой вариант шифратора.

у Crysis.java друго шаблон шифрованного файла, с добавлением ID:
inf.txt.id-E8F4FE5C.[[email protected]].java

т.е. имя файла+расширение + ID-Hex8+mail+.java

если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве.
+
добавьте файл записки о выкупе.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.07.2018 12:17:52

этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com и дайте нас ссылку проверки в вашем сообщении.
---------
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[[email protected]].java
это не Crysis, какой-то другой вариант шифратора.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.07.2018 12:11:26

@Edward Kan,
Шифрование давно было?
после java было еще несколько свежих вариантов: write, arrow, bip
ни по одному варианту (в том числе и по java) в настоящее время нет расшифровки/
сохраните важные документы на отдельный носитель, возможно в будущем наступит время расшифровки.
(если станут доступны приватные ключи по данным вариантам).

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/AutoRun.KS червь

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.07.2018 08:42:31

Цитата
Роман Кузнецов написал: Приношу извинения за возможную дезинформацию по последнему пункту симптомов - возможно, что вчера вечером, просматривая содержимое карантина (в процессе сканирования) , я ошибочно нижние строки принял за "свежие" (вчерашние).

Цитата

Роман Кузнецов написал:
Приношу извинения за возможную дезинформацию по последнему пункту симптомов - возможно, что вчера вечером, просматривая содержимое карантина (в процессе сканирования) , я ошибочно нижние строки принял за "свежие" (вчерашние).

не обязательно просматривать карантин в процессе сканирования. просмотрите как только завершится полностью сканирование.
в любом случае - в процессе сканирования сканер покажет в логе сканирования то, что он обнаруживает.
+
и можно добавить лог сканирования в тему, если процесс сканирования будет завершен.

Цитата
Проверяйте железо на ошибки. У ноутбуков чаще всего страдает жёсткий диск. Изменено: RP55 RP55 - 11.07.2018 19:17:46

возможно это и является причиной зависаний во время антивирусной проверки (и всех прочих).
Имеет смысл установить SP3 для XP

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/AutoRun.KS червь

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.07.2018 18:24:27

1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.07.2018 06:05:00

Цитата
RP55 RP55 написал: + На системе: UX майнер\ы: C:\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\NICEHASHMINERLEGACY.EXE C:\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\BIN_3RDPARTY\CLAYMORE_CRYPTONIGHT\NSGPUCNMINER.EXE

по очистке UX от прочих тел:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\NICEHASHMINERLEGACY.EXE delall %SystemDrive%\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\BIN_3RDPARTY\CLAYMORE_CRYPTONIGHT\NSGPUCNMINER.EXE delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC apply regt 27 restart

Код


;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\NICEHASHMINERLEGACY.EXE
delall %SystemDrive%\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\BIN_3RDPARTY\CLAYMORE_CRYPTONIGHT\NSGPUCNMINER.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

Удаление ESET Endpoint Antivirus 5.0 из консоли ERA 6.5

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.07.2018 14:03:01

https://help.eset.com/era_admin/65/ru-RU/admin_ct.html?client_tasks_software_uninstall.html

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.07.2018 11:44:15

Цитата
viktor tarasov написал: Здравствуйте! Прилетел шифровальщик по RDP, кидаю образа. Помогите пжл по очистке систем от него

судя по образам:
buh-mer-gb чист, или уже очищен о тел шифратора.
-------------
UX чист, или уже очищен о тел шифратора.
-------------
MEREDIAN-AD чист, или уже очищен о тел шифратора.

сервис C:\AA_3V.EXE если был установлен не вами следует удалить.
Win32/RemoteAdmin.Ammyy.B potentially unsafe
Program.RemoteAdmin.758
--------------

[ Как создать образ автозапуска? ]

Перейти