Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 263 264 265 266 267 268 269 270 271 272 273 ... 1784 След.
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.06.2017 01:56:10
How to Enable the NotPetya/Petna/Petya Vaccine

To vaccinate your computer so that you are unable to get infected with the current strain of NotPetya/Petya/Petna (yeah, this naming is annoying), simply create a file called perfc in the C:\Windows folder and make it read only.  For those who want a quick and easy way to perform this task, Lawrence Abrams has created a batch file that performs this step for you.

This batch file can be found at: https://download.bleepingcomputer.com/bats/nopetyavac.bat

For those who wish to vaccinate their computer manually, you can so using the following steps. Please note that these steps are being created to make it as easy as possible for those with little computer experience. For those who have greater experience, you can do it in quite a few, and probably better, ways.
-----------
Как включить вакцину NotPetya / Petna / Petya

Чтобы вакцинировать ваш компьютер, чтобы вы не могли заразиться текущим штаммом NotPetya / Petya / Petna (да, это именование раздражает), просто создайте файл с именем perfc в папке C: \ Windows и сделайте его только для чтения. Для тех, кто хочет быстро и просто выполнить эту задачу, Лоуренс Абрамс создал пакетный файл, который выполняет этот шаг для вас.

Этот командный файл можно найти по адресу: https://download.bleepingcomputer.com/bats/nopetyavac.bat

Код
@echo off
REM Administrative check from here: https://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights
REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams

echo Administrative permissions required. Detecting permissions...
echo.
      
net session >nul 2>&1

if %errorLevel% == 0 (
   if exist C:\Windows\perfc (
      echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
      echo.
   ) else (
      echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
                echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
                echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat

      attrib +R C:\Windows\perfc
                attrib +R C:\Windows\perfc.dll
                attrib +R C:\Windows\perfc.dat

      echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
      echo.
   )
) else (
   echo Failure: You must run this batch file as Administrator.
)
  
pause
Для тех, кто хочет вакцинировать свой компьютер вручную, вы можете использовать следующие шаги. Обратите внимание, что эти шаги создаются, чтобы сделать его максимально простым для тех, у кого мало опыта работы с компьютером. Для тех, у кого больше опыта, вы можете сделать это довольно много и, вероятно, лучше.

https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.06.2017 01:47:00
Цитата
Мартынов Николай написал:
Цитата
А как иначе (не все же им ГУИ обсуждать, пусть детектят), все уже пройдено... вот тут  обсуждают в твиттере
да, hasherezade активно занималась анализом этого шифратора, написала свой софт для расшифровки RED, однако продвинулась ли с расшифровкой поздних вариантов - непонятно пока.
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.06.2017 01:43:27
Цитата
Мартынов Николай написал:
а по факту?
кто и что и как шифрует?
...
История Petja
https://chklst.ru/discussion/1551/petya-misha-ransomware
первый вариант (RED) был расшифрован, далее (GREEN, GOLD) вирусописатели провели работу над ошибками, и с расшифровкой теперь туго.

Цитата
Есть ли какие-либо надежды на дешифрование файлов для уже инфицированных жертв? К сожалению, выкупная программа использует стандартную, надежную схему шифрования, поэтому это кажется маловероятным, если не будет выполнена тонкая ошибка реализации. К механизму шифрования применяются следующие особенности:

    Для всех файлов генерируется один ключ AES-128.
    Этот ключ AES зашифрован публичным ключом RSA-2048 субъекта угроз.
    Зашифрованные ключи AES сохраняются в файле README.
    Ключи надежно сгенерированы.

https://securelist.com/schroedingers-petya/78870/
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.06.2017 18:51:47
В социальных сетях выходят многочисленные сообщения о новой атаке на выкуп в Украине, которая может быть связана с семьей Петя, которая в настоящее время обнаруживается ESET как Win32 / Diskcoder.C Trojan. Если он успешно заражает MBR, он зашифрует весь диск. В противном случае он шифрует все файлы, такие как Mischa.

Для распространения, похоже, используется комбинация эксплойта SMB (EternalBlue), используемого WannaCry для доступа в сеть, а затем распространения через PsExec для распространения в сети.

Эта опасная комбинация может быть причиной того, что эта вспышка распространилась по всему миру и быстро, даже после того, как предыдущие вспышки вызвали заголовки СМИ и, надеюсь, большинство уязвимостей были исправлены. Для доступа в сеть требуется только один непропатченный компьютер, и вредоносное ПО может получать права администратора и распространяться на другие компьютеры.

https://www.welivesecurity.com/2017/06/27/new-ransomware-attack-hits-ukraine/
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.06.2017 18:03:12
Group-IB: от хакерской атаки вируса Petya.A пострадали более 80 компаний РФ и Украины

В Group-IB заявили, что в результате хакерской атаки с помощью вируса-шифровальщика Petya.A пострадали более 80 компаний. Об этом RNS рассказал руководитель криминалистической лаборатории Group-IB Валерий Баулин.

«По нашим данным, в результате атаки с помощью вируса-шифровальщика Petya.A пострадали больше 80 компаний в России и на Украине», — сказал он. Баулин подчеркнул, что атака не связана с WannaCry.

Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445, подчеркнули в Group-IB. Ранее 27 июня хакерскую атаку на корпоративные серверы зафиксировала «Роснефть».

«На серверы компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами», — сообщила компания в Twitter, уточнив, что по факту кибератаки «Роснефть» обратилась в правоохранительные органы.

В Group-IB сообщили, что вирус блокирует компьютеры и требует $300 в биткоинах.

«Среди жертв кибератаки оказались сети "Башнефти", "Роснефти", украинских компаний "Запорожьеоблэнерго", "Днепроэнерго" и Днепровской электроэнергетической системы, также заблокированы вирусной атакой Mondelēz International, Ощадбанк, Mars, "Новая Почта", Nivea, TESA и другие. Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины Ашан, украинские операторы (Киевстар, LifeCell, УкрТелеКом), Приват Банк. Аэропорт "Борисполь", предположительно, также подвергся хакерской атаке», — указывает Group-IB.

+

https://twitter.com/GroupIB_GIB/status/879687387235971073


Цитата
Есть ранние признаки новой вспышки вымогательства, в настоящее время затрагивающей большое количество стран по всему миру, таких как Великобритания, Украина, Индия, Нидерланды, Испания, Дания и другие.

На момент написания этой статьи, внезапная вспышка меньше, чем WannaCry, но объем «значителен», по словам Костин Раю, исследователя «Лаборатории Касперского» и MalwareHunter, независимого исследователя безопасности.

Основным виновником этой атаки является новая версия Petya, которая позволяет шифровать таблицы MFT (Главное файловое дерево) для разделов NTFS и перезаписывать MBR (Master Boot Record) с помощью специального загрузчика, который показывает примечание о выкупе и предотвращает загрузку жертв Их компьютера.

Из-за этого Петя более опасен и навязчив по сравнению с другими штаммами, потому что он перезагружает системы и не позволяет им полностью работать.

https://www.bleepingcomputer.com/news/security/wannacry-d-j-vu-petya-ransomware-outbreak-wreaking-havoc-across-the-globe/

+

это видимо обновленный вариант Petja вместе в ETERNALBLUE - просто катастрофа

[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус icloudsrv, Stantinko
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.06.2017 17:25:48
Alex Soldier,
если скрипт еще не выполнен,
переделайте пожалуйста образ автозапуска обновленной версией uVS 4.0.6
http://chklst.ru/data/uVS%20latest/uvs_latest.zip

скрипт из сообщения 2 можно пока не выполнять,
добавим новый на основе нового образа.
--------------
если скрипт уже выполнен, тогда так же сделайте новый образ автозапуска обновленной версией.
сканирование в мбам пока не выполняйте.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус icloudsrv, Stantinko
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.06.2017 15:16:56
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHEGNEANIPLMFJCMOHOCLABBLBAHCBJOE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC
delref %Sys32%\IHCTRL32.DLL
del %Sys32%\IHCTRL32.DLL
delref %Sys32%\WSAUDIO.DLL
del %Sys32%\WSAUDIO.DLL
delref %SystemDrive%\USERS\UNKNOWN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SLQRVKAX.DEFAULT\EXTENSIONS\[email protected]
delref %SystemDrive%\USERS\UNKNOWN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMPOJJILDDEFGNHIICJCMHBKJGBBCLOB%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAMDATA\ADOBE\ARM\READER_15.020.20042\ACRORDRDCUPD1502320070.MSP
delref %SystemDrive%\USERS\UNKNOWN\APPDATA\LOCAL\TEMP\{575BCBCC-7C6F-4A69-87BB-F5E0CD5A56E0}-GOOGLEUPDATESETUP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\TASK.VBS
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\55.0.2883.87\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {410BF280-86EF-4E0F-8279-EC5848546AD3}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\VDIXNZK4.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CC 2017\PHOTOSHOP.EXE\AUTOMATION
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALER_SKIPUAC.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref H:\WPI.HTA
delref {72853161-30C5-4D22-B7F9-0BBC1D38A37E}\[CLSID]
delref {8E8F97CD-60B5-456F-A201-73065652D099}\[CLSID]
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
URL-адрес Unstopp.me/wpad.dat? заблокирован
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2017 05:10:05
Андрей Репринцев
если проблема не решена,

добавьте новые логи:
образ автозапуска и FRST

только обратите внимание, чтобы на момент создания логов не было активно работающих антивирусных сканеров.
------------
как вариант,
возможно, какой то из активных файлов пропатчен, и при его запуске восстанавливается настройка для прокси
Цитата
AutoConfigURL: [S-1-5-21-108393158-1832105142-1644505984-1000] => hxxp://unstopp.me/wpad.dat?0ccc217eb7d9023ee9fbc197da5190222227642
[ Как создать образ автозапуска? ]
Перейти
URL-адрес Unstopp.me/wpad.dat? заблокирован
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.06.2017 16:59:49
Андрей,
делаем все по порядку.
скрипт uVS, потом сканирование в малваребайт,
если не поможет, еще несколько проверок будет.
------------
проверьте настройки сети ВСЕХ браузеров.
там в прокси прописан этот адрес, можно вручную удалить и проверить: поможет или нет.
+
так же очистить кэши браузеров, и локальный кэш DNS
[ Как создать образ автозапуска? ]
Перейти
URL-адрес Unstopp.me/wpad.dat? заблокирован
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.06.2017 16:55:57
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 263 264 265 266 267 268 269 270 271 272 273 ... 1784 След.