[SIZE=12pt]да, а вот запись вредоносного скрипта в базу WMI антивирусник таки пропускает в результате сетевой атаки.[/SIZE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\S8L6J2CA.DEFAULT\EXTENSIONS\[email protected]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\DEBUG\ITEM.DAT
delref %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\CHROME_BITS_2512_­418\EXTENSION_0_46_0_4.CRX
delref %Sys32%\MACROMED\FLASH\FLASH32_13_0_0_214.OCX
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {42071714-76D4-11D1-8B24-00A0C9068FF3}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref MBAMSERVICE\[SERVICE]
delref %Sys32%\DRIVERS\CHANGER.SYS
delref %Sys32%\DRIVERS\I2OMGMT.SYS
delref %Sys32%\DRIVERS\LBRTFDC.SYS
delref %Sys32%\DRIVERS\MBAMCHAMELEON.SYS
delref %Sys32%\DRIVERS\PCIDUMP.SYS
delref %Sys32%\DRIVERS\PDCOMP.SYS
delref %Sys32%\DRIVERS\PDFRAME.SYS
delref %Sys32%\DRIVERS\PDRELI.SYS
delref %Sys32%\DRIVERS\PDRFRAME.SYS
delref %Sys32%\DRIVERS\WDICA.SYS
delref %Sys32%\PSXSS.EXE
delref %Sys32%\EAPA3HST.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %Sys32%\EAPAHOST.DLL
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.

+
идет сетевая атака.
Необходимо будет установить патч от Microsoft MS-2017-010 для вашей системы
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Возможно идет сетевая атака. Необходимо будет установить патч от Microsoft MS-2017-010 для вашей системы
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

+
[QUOTE]Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
[/QUOTE]

интересный диалог.

My question was specifically if ESET can detect and protect against this kind of threat (or even this threat specifically if a few of our other procedures and systems fail). Does ESET not detect the malicious code injection into a trusted process (where it injects it's code into svchost.exe, then encrypts files, deletes logs, adds registry keys, etc)? Even a dictionary/hash based detection?  

Обнаружит ли ESET инъекцию вредоносного кода в доверенный процесс  и защитит ли от такой угрозы(где он вводит свой код в файл svchost.exe, затем шифрует файлы, удаляет журналы, добавляет ключи реестра и т. Д.)?

[QUOTE]My own testing has shown the Eset HIPS is very effective against memory based reflective .dll injection that many other security products can't detect. This include process hollowing type activity. That said, the HIPS by default does not monitor system processes like svchost.exe; you have to create manual rules. Alternatively; you can set the HIPS to training mode. After the training period expires, you can switch to interactive mode which will generate an alert for any process activity for which a HIPS rule was not created during the training period.

Eset's primary detection is via reputation scanning; then sandboxing and examining the suspect process via heuristics. Eset on Win 10 through use of its ELAM driver, loads as a protected kernel mode process. This allows the Eset kernel to be able to monitor other protected processes; something only a few other security solutions can do.

Finally, Eset does have advanced memory scanning capability, a post execution mitigation, to detect suspicious memory based activity after a processes has begun execution. Eset has not published a detailed technical analysis on how AMS works but appears its primary purpose is exploit mitigation. Eset lab test scores for exploit mitigation have been consistently excellent. Additionally, Eset has scored in the top tier for ransomware detection on all recent AV Labs tests for same. [/QUOTE]

Интересно, что в качестве шифратора в SOREBRECT используется уже известный нам шифратор AES_NI


[QUOTE]The Trojan appends the following string to the end of encrypted file names:

   .aes_ni_0day


Next, the Trojan drops the following file in every location where files have been encrypted:

   [PATH TO ENCRYPTED FILES]\!!! READ THIS - IMPORTANT !!!.txt


The .txt file is a ransom note demanding payment for the files to be decrypted.
[/QUOTE]

[IMG WIDTH=500 HEIGHT=512]http://www.symantec.com/content/en/us/global/images/threat_writeups/2017-061913-4515-99.2.png[/IMG]

или Symantec чего то путает?
https://www.symantec.com/security_response/writeup.jsp?docid=2017-061913-4515-99&tabid=2

Или SOREBRECT и AES_NI это разные названия одного и того же шифратора.
(который нам известен как AES_NI)

кстати, есть полезные темы на форуме eset.com

WMI infected:
https://forum.eset.com/topic/12134-wmi-infections/

SOREBRECT "fileless" Ransomware:
https://forum.eset.com/topic/12336-sorebrect-fileless-ransomware/

автоперевод:
[QUOTE]Для начала, если вы не являетесь корпоративным пользователем, вы не должны устанавливать PsExec. Если вы домашний пользователь без технических знаний, а PsExec установлен в каталоге C: \ Windows \ System32, вы должны удалить его.

Наконец, PsExec требует прав администратора для запуска. Поэтому, если вы используете стандартную учетную запись пользователя, она не может работать. Если вы используете ограниченный админ, вы должны достигнуть максимального уровня UAC. Это заставит оповещение UAC, даже если PsExec попытается запустить в скрытом режиме.

Цепь атаки SOREBRECT включает в себя злоупотребление PsExec, законной утилитой командной строки Windows, которая позволяет системным администраторам выполнять команды или запускать исполняемые файлы на удаленных системах. Неправильное использование PsExec для установки SOREBRECT указывает на то, что учетные данные администратора уже были скомпрометированы или удалены удаленные компьютеры или принудительно принудительно. SOREBRECT не первая семья, которая неправильно использует PsExec-SAMSAM, Petya и ее производные, PetrWrap (RANSOM_SAMSAM и RANSOM_PETYA, соответственно), например, использовать PsExec для установки ransomware на взломанных серверах или конечных точках.[/QUOTE]

+

[QUOTE]Скрытность SOREBRECT может создавать проблемы

Хотя шифрование файлов является эндшпилем SOREBRECT, скрытность является его основой. Процедура самоуничтожения ransomeware делает SOREBRECT файловой угрозой. Выигрыш делает это, вводя код в законный системный процесс (который выполняет процедуру шифрования) перед завершением его основного двоичного файла. SOREBRECT также прилагает усилия для удаления журналов событий затронутой системы и других артефактов, которые могут предоставить судебную информацию, такую ​​как файлы, выполняемые в системе, включая их временные метки (например, appcompat / shimcache и prefetch). Эти удаления также предотвращают анализ и предотвращают отслеживание активности SOREBRECT.

Когда мы впервые увидели SOREBRECT в дикой природе, мы наблюдали низкую базу распределения, которая изначально была сосредоточена на ближневосточных странах, таких как Кувейт и Ливан. Однако к началу мая наши датчики обнаружили SOREBRECT в Канаде, Китае, Хорватии, Италии, Японии, Мексике, России, Тайване и США. Затронутые отрасли промышленности включают производство, технологию и телекоммуникации. Учитывая потенциальное воздействие и рентабельность выкупщика, было бы неудивительно, что SOREBRECT появится в других частях мира или даже в подземном киберпреступлении, где его можно продавать как услугу.[/QUOTE]

https://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/

ничего особенного вредоносного не было в системе.
думаю, здесь помогла бы простая очистка кэша браузера.

[QUOTE]Татьяна Крапчина написал:
У моей учетной записи нет и не было прав администратора, ОС Wndows 7 была[/QUOTE]
в таком случае был шанс восстановить документы из теневой копии (с помощью ShadowExplorer, например), по крайней мере защита для системного раздела включается по умолчанию пи установке системы.

но после переустановки системы, теперь уже нет тех копий.

[QUOTE]Татьяна Крапчина написал:
Как грустно! Это 6 лет работы! ((( Спасибо за ответ![/QUOTE]
если это все рабочие ваши файлы, попросите администраторов, пусть настроят вам создание архивных копий, если эти данные важны для вашей работы.
(спрашивать, почему они не сделали это раньше уже поздно.)

возможно шанс восстановить данные после шифрования был при условии, что вы не работаете под учетной записью с правами администратора,
и система у вас была выше чем XP.

Татьяна,
к сожалению расшифровки по Spora нет,
сохраните зашифрованные документы на отдельный носитель, возможно в будущем, когда-нибудь расшифровка станет возможной.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemDrive%\USERS\DWARF\APPDATA\LOCAL\TEMP\YUPDATE-PING-YABROWSER.TEMP
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\UWA\UPDATERSTARTUPUTILITY.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref MBAMSERVICE\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref %Sys32%\DRIVERS\RDPENCDD.SYS
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\SMARTCARDSIMULATOR.SYS
delref %Sys32%\DRIVERS\VIRTUALSMARTCARDREADER.SYS
delref %Sys32%\DRIVERS\WUDFUSBCCIDDRIVER.SYS
delref %SystemDrive%\USERS\DWARF\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\PHOTOSHOP CS6\X64\PHOTOSHOP.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOST.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\USERS\DWARF\APPDATA\LOCAL\MAIL.RU\GAMECENTER\[email protected]
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
----------