Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 296 297 298 299 300 301 302 303 304 305 306 ... 1784 След.
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.03.2017 01:47:39
да, это Xorist
https://www.virustotal.com/ru/file/315b69c6b199fd73bd4917cae7fda2d81354b7e979b82b6f­1a0cfb1803720b34/analysis/1488753872/

в том числе, судя по ключу
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Alcmeter
C:\DOCUME~1\user\LOCALS~1\Temp\4Zm49xdJQDGs9vF.exe
[ Как создать образ автозапуска? ]
Перейти
Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.03.2017 01:41:34
Victur,

да, это Xorist
https://www.virustotal.com/en/file/315b69c6b199fd73bd4917cae7fda2d81354b7e979b82b6f­1a0cfb1803720b34/analysis/1488753872/

в том числе, судя по ключу
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Alcmeter
C:\DOCUME~1\user\LOCALS~1\Temp\4Zm49xdJQDGs9vF.exe

по возможности,
добавьте несколько пар в архиве: чистый-зашифрованный файл,
желательно doc, xls, jpg
под парой подразумеваем зашифрованный и чистый файл (т.е. файл, который был по состоянию до шифрования.)

-----------
по результату тестового шифрования,
Xorist_decryptor free  в данном случае расшифрует только часть файлов.

потому, лучше в [email protected] обратиться при наличие лицензии на антивирус ESET

+
вопрос: что вы имеете ввиду под "подключением по IPS"?
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2017 12:44:07
Цитата
Анатолий Куприянов написал:
Цитата
 santy  написал:
добавьте образы автозапуска из зашифрованных систем.
Вы можете помочь с расшифровкой/восстановлением?
расшифровке по no_more_ransom нет,
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2017 12:36:52
Цитата
Анатолий Куприянов написал:
Почему антивирус пропускает эту заразу?
Вчера тоже словили no_more_ransom, пропали документы уже на двух ПК. Стоит лицензионный NOD32 9
добавьте образы автозапуска из зашифрованных систем.

по поводу "почему":

принимайте меры безопасности для защиты документов.

Как видите, одной антивирусной защиты бывает недостаточно,
если пользователи не соблюдают меры безопасности в работе с электронной почтой,  и не отличают офисные документы от исполняемых скриптов
если работают с правами администратора, когда в этом нет необходимости, таким образом вы теряете теневые копии при запуске шифратора.
если администраторы в локальной сети не защищают системы с помощью локальных политик по ограничению запуска нежелательных исполняемых программ.

ну, и главное, чтобы периодически создавались архивные копии важных документов и баз.
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2017 11:59:24
это не единичный случай,
вот строка из лога FRST
что это означает? может быть неверно показывается в файловой системе размер файла, может что-то другое.
Цитата
===================== Drivers (Whitelisted) ======================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

R1 eamonm; C:\Windows\System32\DRIVERS\eamonm.sys [262792 2016-12-17] (ESET)
R1 ehdrv; C:\Windows\System32\DRIVERS\ehdrv.sys [197248 2016-12-17] (ESET)
R2 epfwwfpr; C:\Windows\System32\DRIVERS\epfwwfpr.sys [181384 2016-12-17] (ESET)
R0 mountmgr; C:\Windows\System32\drivers\mountmgr.sys [94592 2010-11-21] (Корпорация Майкрософт)
R0 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2012-03-24] () [File not signed]
R0 volmgrx; C:\Windows\System32\drivers\volmgrx.sys [363392 2010-11-21] (Корпорация Майкрософт)
U3 ay3la6bd; C:\Windows\System32\Drivers\ay3la6bd.sys [0 ] (Microsoft Corporation) <==== ATTENTION (zero byte File/Folder)
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2017 10:43:10
Цитата
Николай Ник написал:
Здравствуйте.
Недавно словил вирус шифровальщик.
Письмо осталось на почте с вирусом, если надо могу переслать для изучения.
здравствуйте,
вышлите в почту [email protected] в архиве с паролем infected
+
если необходима помощь в проверке и очистке системы, добавьте образ автозапуска из зашифрованной системы.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.03.2017 18:04:18
Цитата
Сергей Жало написал:
Цитата
 santy  написал:
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
Что имеете ввиду?
имею ввиду правила нашего форума.
https://forum.esetnod32.ru/forum6/topic5713/

Цитата
Прошу заметить, что помощь в устранении проблем связанных с вирусами не оказывается пользователям с установленной программой TNOD User & Password Finder. При обнаружении данной программы в логах, тема будет немедленно закрыта и пользователь будет заблокирован на форуме.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.03.2017 18:02:43
Цитата
Игорь Петровский написал:
Прошу прощения,переделал

скачать скрипт очистки системы можно отсюда
http://rgho.st/private/8D6RlNfXJ/3e30018b9d23b43e8831cc90850d06b3

или вложенного файла.
-------------
из под winpe выполняем в uVS скрипт из данного файла.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.03.2017 17:36:53
Цитата
Сергей Жало написал:
Лог автозапуска
Сергей Жало,
используем TNOD,
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
по правилам нашего форума, помощь в очистке системы, и расшифровке не будет оказана
обращайтесь за помощью на другой форум.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.03.2017 17:19:33
Итак, по *.dharma есть расшифровка, по *.wallet пока нет.
ESET crysis decryptor обновлен до версии 2.0.3
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryp­tor.exe

Цитата
[2017.03.02 21:11:30.715] - Begin
[2017.03.02 21:11:30.715] -
[2017.03.02 21:11:30.715] - ....................................
[2017.03.02 21:11:30.715] - ..::::::::::::::::::....................
[2017.03.02 21:11:30.715] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
[2017.03.02 21:11:30.715] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.3.0
[2017.03.02 21:11:30.715] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Mar 2 2017
[2017.03.02 21:11:30.730] - .::EE:::::::::::::SS:.EE..........TT......
[2017.03.02 21:11:30.730] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o.
[2017.03.02 21:11:30.730] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.
[2017.03.02 21:11:30.730] - ....................................
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - --------------------------------------------------------------------------------
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - INFO: OS: 6.1.7601 SP1
[2017.03.02 21:11:30.730] - INFO: Product Type: Workstation
[2017.03.02 21:11:30.730] - INFO: WoW64: True
[2017.03.02 21:11:30.730] - INFO: Machine guid: 22011111-391F-421D-B12F-55ABB662839B
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma
[2017.03.02 21:11:30.730] - INFO: Backup: 25
[2017.03.02 21:11:30.730] - INFO: Looking for infected files...
[2017.03.02 21:11:30.730] - --------------------------------------------------------------------------------
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\15092014 16_55_03.xls.[[email protected]].dharma]
[2017.03.02 21:11:30.839] - INFO: Cleaned.
[2017.03.02 21:11:30.839] -
[2017.03.02 21:11:30.871] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\inf.txt.[[email protected]].dharma]
[2017.03.02 21:11:30.886] - INFO: Cleaned.
[2017.03.02 21:11:30.886] -
[2017.03.02 21:11:30.886] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\keygpg.rar.[[email protected]].dharma]
[2017.03.02 21:11:30.902] - INFO: Cleaned.
[2017.03.02 21:11:30.902] -
[2017.03.02 21:11:30.902] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\readme.txt.[[email protected]].dharma]
[2017.03.02 21:11:30.902] - INFO: Cleaned.
[2017.03.02 21:11:30.917] -
[2017.03.02 21:11:30.917] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\акт.pdf.[[email protected]].dharma]
[2017.03.02 21:11:30.949] - INFO: Cleaned.
[2017.03.02 21:11:30.949] -
[2017.03.02 21:11:30.964] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\Концепт uvs.txt.[[email protected]].dharma]
[2017.03.02 21:11:30.980] - INFO: Cleaned.
[2017.03.02 21:11:30.980] -
[2017.03.02 21:11:31.011] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\Правила поведения вахтеров.jpg.[[email protected]].dharma]
[2017.03.02 21:11:31.042] - INFO: Cleaned.
[2017.03.02 21:11:31.042] -
[2017.03.02 21:11:31.276] - --------------------------------------------------------------------------------
[2017.03.02 21:11:31.276] - INFO: 25 infected files found.
[2017.03.02 21:11:31.276] - INFO: 25 file(s) cleaned.
[2017.03.02 21:11:34.131] - End
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 296 297 298 299 300 301 302 303 304 305 306 ... 1784 След.