Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 204 205 206 207 208 209 210 211 212 213 214 ... 1784 След.
образ файла.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.04.2018 22:48:13
@Максим Горин,
опишите кратко проблему
[ Как создать образ автозапуска? ]
Перейти
файервол ees 5.0.2271
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.04.2018 16:08:52
Андрей Воронов,
продублируйте ваше первое сообщение,
то добавьте правильно вложенные файлы: через функцию загрузить файлы.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] отключение eset endpoint security for windows 6.6, самостоятельное отключение
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.04.2018 10:23:44
Цитата
Ivanov Ivan написал:
Пароль есть. Однако, насколько мне известно, даже зная его все равно ничего нельзя изменить.
а что вы хотите изменить в настройках?
если ВСЕ параметры конфигурации определяются через политику, которая транслируется с управляющего сервера ERA,
тогда - ничего "не убавить и не прибавить". настройки будут доступны только для просмотра.
-------------

если изменение части параметров не блокируется политикой, то их можно будет изменить пользователю, после доступа к конфигурацию.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.04.2018 08:58:33
@Garik Nabiev,
если сохранились копии зашифрованных файлов, добавьте несколько таких файлов в архиве для проверки работы дешифратора.

+

на будущее:


Цитата
Протокол удаленных рабочих столов (RDP) - очень распространенный вектор атаки грубой силы для серверов, особенно тех, кто занимается разработкой и распространением вымогательства ... см. Здесь. Как только злоумышленник получает административный доступ с помощью атаки грубой силы на уязвимый RDP-порт, система скомпрометирована, и они могут внедрять вредоносное ПО и / или использовать инструменты удаленного доступа, чтобы сделать что угодно.

ИТ-специалисты должны закрыть RDP, если они не используют его. Если они должны использовать RDP, лучший способ защитить его - либо разрешить доступ только с определенных IP-адресов на брандмауэре, либо не выставить его в Интернет. Поместите RDP за брандмауэр, разрешите только RDP из локального трафика, настройте VPN для доступа извне, используйте RDP-шлюз, измените порт RDP по умолчанию (TCP 3389) и применяйте надежные политики паролей, особенно на любых учетных записях администратора или с правами RDP
[ Как создать образ автозапуска? ]
Перейти
проблемы на отдельных узлах при обновлении с зеркала
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.04.2018 09:04:17
а сервер и консоль управления установлены? ERA 5 или ERA6?
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro, Scarab/Filecoder.FS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.04.2018 07:04:33
Цитата
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   custom_rule: Encrypted size marker [0x00 - 0x08] 0x827B000000000000

https://id-ransomware.malwarehunterteam.com/identify.php?case=b98e9997113869d5b76c0ae6f30781ed57349247

https://www.bleepingcomputer.com/forums/t/651855/mich78-ransomware-recoverytxt-mich78usacom-support-topic/
---------------
если у вас есть лицензия на продукты ESET, напишите в [email protected],
возможно вирлаб найдет решение про расшифровке
в сообщение вы можете добавить зашифрованные, оригинальные файлы, записку о выкупе, + если сохранился источник заражения.
[ Как создать образ автозапуска? ]
Перейти
проблемы на отдельных узлах при обновлении с зеркала
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.04.2018 05:20:44
@Ян Раскалов,
какие версии продуктов используете в сети?
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro, Scarab/Filecoder.FS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.04.2018 17:17:16
Цитата
Дмитрий Корзун написал:
Спасибо! а как дешифровать?  
пока что надо точно идентифицировать вид шифратора.  запиской о выкупе идентификация будет точнее.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro, Scarab/Filecoder.FS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.04.2018 15:58:08
возможно в этом файле был шифратор, сейчас его нет

Полное имя                  C:\USERS\1C\APPDATA\ROAMING\MICROSOFT\WMON32.EXE
Имя файла                   WMON32.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      HKLM\dgbdswaul\Software\Microsoft\Windows\CurrentVersion\Run­\wmon
wmon                        C:\Users\1c\AppData\Roaming\Microsoft\wmon32.exe
                           
---------------
записку о выкупе можно извлечь в безопасном режиме системы.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .fairytail, .doubleoffset, Filecoder.NHT/ Cryakl CL 1.4.*-1.5.*;
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.04.2018 15:46:54
Цитата
Алексей Кучерявый написал:
[Добрый день, у меня есть. В аттаче, пароль 111.
по 1.5.1 doubleoffset расшифровки нет, только по 1.4.0-1.4.1 fairytail
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 204 205 206 207 208 209 210 211 212 213 214 ... 1784 След.