Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
o Добавлена поддержка Windows 10 2004 ADK для создания загрузочных дисков. (!) Это последний пакет Windows PE x86, все что старше это x64, в котором запуск 32-х битных приложений невозможен. Для создания дисков требуются установить следующие пакеты: o Три компонента из Windows ADK для Windows 10 версии 2004 o средства развертывания o средства миграции (USMT) o набор средств оценки производительности Windows o Windows надстройка PE для ADK версии 2004 (Скачать оба пакета можно в окне создания загрузочной флешки/ISO) (!)Если не удается установить Windows ADK с ошибкой "Could not acquire privileges; GLE=0x514" то следует запустить adksetup из под системной учетки, что можно сделать с помощью uVS, запущенного под LocalSystem.
o Исправлена ошибка, которая в очень редких случаях приводит к переполнению буфера при чтении строк из реестра.
Скрипт fixlist.txt выполните через FRST.exe файл сохранить в папку, откуда запускаете FRST Запускаем FRST от имени Администратора, ждем когда программа будет готова к работе, нажимаем "Исправить". Очистка системы выполните автоматически, после перезагрузки проверьте наличие проблемы с установкой антивирусных программ.
Файлы зашифрованы с расширением *.hydra, filecoder.hydra; theDMR
Ivan Miaskovskij написал: А вот что дальше с ключем делать-пока не понял (во всех сообщениях KEY разный), да и спать пора-решил вот перед сном написать сюда. Вдруг помогут с дешифровкой.
Если необходим детальный анализ для ПК с шифрованием, необходимо собрать файлы Crypted, Filecoder, ELC, ESVC. Как собрать файлы и логи после атаки шифрования для отправки в антивирусную лабораторию:
Файлы можно будет отправить со страницы технической поддержки:
Выберите тип обращения: Вирусы и проч. Категория: файлы зашифрованы.
Сайт заблокирован, прошу проверить и разблокировать
Отправить образец (файл или веб-сайт) на анализ в ESET можно одним из следующих способов.
Цитата
1.Воспользуйтесь формой отправки образца в своем продукте. Чтобы открыть ее, нажмите Сервис > Дополнительные средства > Отправка образца на анализ. Максимальный размер отправляемого образца — 256 МБ.
2.Файл также можно отправить по электронной почте. Если этот способ для вас удобнее, заархивируйте файлы с помощью программы WinRAR/WinZIP, защитите архив паролем «infected» и отправьте его по адресу [email protected].
В форме Выбор образца для анализа выберите раскрывающееся меню Причина отправки файла и укажите наиболее подходящее описание своего сообщения:
•Ложно обнаруженный файл (файл обнаружен как зараженный, хотя не является таковым)
•Другое
Файл/сайт: путь к отправляемому на анализ файлу или веб-сайту.
Адрес электронной почты: адрес отправляется в ESET вместе с подозрительными файлами и может использоваться для запроса дополнительной информации, необходимой для анализа
Отправить образец (файл или веб-сайт) на анализ в ESET можно одним из следующих способов.
Цитата
1.Воспользуйтесь формой отправки образца в своем продукте. Чтобы открыть ее, нажмите Сервис > Дополнительные средства > Отправка образца на анализ. Максимальный размер отправляемого образца — 256 МБ.
2.Файл также можно отправить по электронной почте. Если этот способ для вас удобнее, заархивируйте файлы с помощью программы WinRAR/WinZIP, защитите архив паролем «infected» и отправьте его по адресу [email protected].
В форме Выбор образца для анализа выберите раскрывающееся меню Причина отправки файла и укажите наиболее подходящее описание своего сообщения:
•Ложно обнаруженный файл (файл обнаружен как зараженный, хотя не является таковым)
•Другое
Файл/сайт: путь к отправляемому на анализ файлу или веб-сайту.
Адрес электронной почты: адрес отправляется в ESET вместе с подозрительными файлами и может использоваться для запроса дополнительной информации, необходимой для анализа
Ошибка ECP.20002, программа выдаёт ошибку ECP.20002 - "не удалось связаться с сервером активации"
Скрипт fixlist.txt выполните через FRST.exe файл сохранить в папку, откуда запускаете FRST Запускаем FRST от имени Администратора, ждем когда программа будет готова к работе, нажимаем "Исправить". Очистка системы выполните автоматически, после перезагрузки проверьте еще раз активацию продукта.
Файлы зашифрованы с расширением *.Loki; *.Blackbit, Loki.Locker
по журналам: шифрование было 23.11 судя по дате создания записки о выкупе Restore-My-Files.txt Возможно, отсюда было подключение: sep=, Datetime,Source,Event description 22.11.2022 11:22:50.370,Security Logs,"""User"" logged in via RDP. (W: USER-ПК, IP: 192.168.10.104, P: User32)" или отсюда: sep=, Datetime,Source,Event description 23.11.2022 12:20:20.728,Security Logs,"""User"" logged in via RDP. (W: USER-ПК, IP: fe80::e91c:8c7d:e4ff:10c5, P: User32)" ------------------ по рекомендациям:
Установлена Windows 7 Профессиональная. Пользователь должен перейти на полностью поддерживаемую и безопасную ОС.
Пользователь должен включить контроль учетных записей (UAC).
Включен уязвимый протокол SMBv1. Чтобы отключить его, проверьте «Как удалить SMBv1» по адресу:
Продукт безопасности ESET не найден.
Аудит событий входа, вероятно, частично (или полностью) отключен. Чтобы включить его, запустите secpol.msc и в разделе «Локальные политики» -> «Политика аудита» -> «Аудит событий входа» отметьте «Успех» и «Сбой».
Могут отсутствовать следующие критические исправления: - MS16-032 () - CVE-2019-1181, CVE-2019-1182, кодовое имя «DejaBlue» () - CVE-2021-34527, кодовое название «PrintNightmare» ()
Следующие общие ресурсы имеют разрешение на запись для всех. Их содержимое может быть зашифровано с удаленной машины:
Users (C:\Users) - Базы (C:\Users\User\Desktop\Базы)
Цитата
Мы рекомендуем: - регулярное резервное копирование важных данных для предотвращения потери данных - ужесточение RDP путем: включение RDP только для подключений из внутренней сети и использование VPN для подключений извне, использование 2FA, политика блокировки, предоставление доступа по RDP только тем пользователям, которым это действительно необходимо - использование надежного пароля пользователями с доступом по RDP - установка пароля для защиты настроек ESET и предотвращения их отключения или удаления посторонними лицами (см. - включение системы ESET LiveGrid Feedback - включение обнаружения потенциально небезопасных приложений (см.
Файлы зашифрованы с расширением *.Loki; *.Blackbit, Loki.Locker
по антивирусам: sep=, Datetime,Service name,Type,File name,Start type,Account 28.11.2022 13:19:43,Kaspersky Small Office Security Service 21.7,служба режима пользователя,"C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 21.7\avp.exe"" -",Автоматически,LocalSystem
не запустился? или некорректно был установлен? В системе остались активные файлы от попытки установить антивирус Касперского, скорее всего они и мешают теперь корректно установить антивирус.
