Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 242 243 244 245 246 247 248 249 250 251 252 ... 1784 След.
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.10.2017 23:33:23
[QUOTE]Антон Зубаков написал:
Спасибо. Пользователь лицензионный. Антивирус никак не среагировал на шифровальщик, стоит File Security последней версии, базы обновляются. Судя по всему вирус распространяется по сети, т.к. никакие ограниченные права у пользователей, ни антирус никак не защищают.
По пунктам сейчас пройдусь и все отправлю.[/QUOTE]
Crysis был установлен, скорее всего, после взлома системы по RDP, если есть доступ к рабочему столу из внешней сети.
Меняйте пароли от админских учеток на сервере, меняйте стандартный порт подключения по RDP, настраивайте доступ по RDP из внешней сети только с определенных айпишников. Настраивайте безопасное подключение из внешней сети по VPN.
Перейти
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.10.2017 15:10:28
Антон Зубаков[QUOTE]Антон Зубаков написал:
Добрый день. Поймали шифровальщик. Приложил требуемые файлы[/QUOTE]
Антон Зубаков,
судя по образу, систему уже очищена от дел шифратора, проверьте так же карантин антивируса.
по расшифровке, читаем выделенный текст из первого сообщения.

если вы лицензионный пользователь ESET, отправьте следующие файлы в техподдержку [email protected]
1. лог-файл, созданный на зашифрованной системе с помощью ESET log collector
2. архив с несколькими зашифрованными файлами,
3. архив с чистыми файлами
4. по возможности, файл шифратора в архиве, с паролем infected.
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.10.2017 16:00:27
Malware delivered via Necurs botnet by DDE feature in Microsoft Word

https://myonlinesecurity.co.uk/malware-delivered-via-necurs-botnet-by-dde-feature-in-microsoft-word/
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.10.2017 10:02:59
Василий Золотов,
судя по образу автозапуска на пострадавшем сервере не установлен продукт ESET
файлов шифратора так же нет. (уже)
проверьте, возможно сохранились теневые копии, если шифратор был запущен с обычными правами.
после Spora восстановление документов возможно либо из теневой, либо из архивной копии.
расшифровки файлов по Spora нет.
--------
ответил в личных сообщениях

как защитить документы от шифраторов.
https://chklst.ru/discussion/1579/kak-zaschitit-i-obezopasit-kompyuter-ot-vymogateley
https://chklst.ru/discussion/1566/sovety-i-rekomendacii-po-preduprezhdeniyu-i-profilaktike-ransomware
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.10.2017 09:05:39
[QUOTE]Василий Золотов написал:
Добрый день, зашифровались файлы на файловом сервере.
У нас есть подписка на продукт NOD 32, есть ли возможность расшифровать?[/QUOTE]
Василий Золотов,
Добавьте образ автозапуска системы,
возможно файлы шифратора остались в системе.
Перейти
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.10.2017 16:14:08
[QUOTE]Николай Смолин написал:
Baши фaйлы были зашифрoвaны.
Чmoбы расшифpoвать uх, Вам неoбходuмo omnpaвиmь kод:
94B3D28958179B823A5E|891|7|2
на элekmронный aдрeс  [URL=mailto:[email protected]][email protected][/URL] .[/QUOTE]
Николай,
добавьте образ автозапуска,
возможно в системе остались файлы шифратора.
Перейти
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.10.2017 12:18:11
[QUOTE]Василий Созонюк написал:
Благодарю за помощь в очистке.

А какие прогнозы на появление дешифратора ?[/QUOTE]
дешифратор есть уже (по предыдущим версиям работает),
нет приватных ключей. их появление в доступе зависит только от доброй воли распространителей шифраторов.
Перейти
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.10.2017 11:25:20
Василий,
активного шифрования в системе уже нет, файл шифратора думаю уже удален,
по очистке системы от остатков тел шифратора выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
[code]

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delref %SystemDrive%\USERS\VSOZONYUK\APPDATA\ROAMING\INFO.HTA
ZOO %Sys32%\INFO.HTA
delall %Sys32%\INFO.HTA
apply

QUIT
[/code]
без перезагрузки системы
------------
расшифровки файлов, зашифрованных данным вариантом шифратора Crysis: Crysis.L/.cesar; .arena на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.
следите за информацией, возможно когда-нибудь будет дешифровка,
Перейти
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.10.2017 10:34:12
Василий,
добавьте образ автозапуска системы,
надо таки проверить и очистить систему от файлов шифратора.
+
добавьте в ваше сообщение один из зашифрованных файлов.
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.10.2017 09:46:27
в последнее время Spora очень активна.
распространяется через архивные вложения  wsf (с закодированным исполняемым файлом внутри wsf) и lnk, который скачивает файл шифратора из сети, через командную строку mhta.exe URL_script
https://www.hybrid-analysis.com/sample/29b8bdbe9440cf895cffde56c6982f08c44eb013af51c83e2­0359eeed5b18a60?environmentId=100
пример сообщения с темой "Образцы ТН на погрузку " в почте :

[QUOTE]В скольких экземплярах вы заполнили документы на перевозку? Если в 2-х, то этого недостаточно. и да, вашу документацию нужно исправить - ошибки в . Исправьте и вышлите в 4-х экземп.. прикрепляю образцы рабочей накладной, ознакомьтесь С Уважением,

Клюканов Олег
[/QUOTE]
Перейти
Пред. 1 ... 242 243 244 245 246 247 248 249 250 251 252 ... 1784 След.