santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.03.2017 01:47:39

да, это Xorist
https://www.virustotal.com/ru/file/315b69c6b199fd73bd4917cae7fda2d81354b7e979b82b6f1a0cfb1803720b34/analysis/1488753872/

в том числе, судя по ключу
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Alcmeter
C:\DOCUME~1\user\LOCALS~1\Temp\4Zm49xdJQDGs9vF.exe

[ Как создать образ автозапуска? ]

Перейти

Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.03.2017 01:41:34

Victur,

да, это Xorist
https://www.virustotal.com/en/file/315b69c6b199fd73bd4917cae7fda2d81354b7e979b82b6f1a0cfb1803720b34/analysis/1488753872/

в том числе, судя по ключу
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Alcmeter
C:\DOCUME~1\user\LOCALS~1\Temp\4Zm49xdJQDGs9vF.exe

по возможности,
добавьте несколько пар в архиве: чистый-зашифрованный файл,
желательно doc, xls, jpg
под парой подразумеваем зашифрованный и чистый файл (т.е. файл, который был по состоянию до шифрования.)

-----------
по результату тестового шифрования,
Xorist_decryptor free в данном случае расшифрует только часть файлов.

потому, лучше в [email protected] обратиться при наличие лицензии на антивирус ESET

+
вопрос: что вы имеете ввиду под "подключением по IPS"?

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.03.2017 12:44:07

Цитата

Анатолий Куприянов написал:

Цитата
santy написал: добавьте образы автозапуска из зашифрованных систем.

Вы можете помочь с расшифровкой/восстановлением?

расшифровке по no_more_ransom нет,

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.03.2017 12:36:52

Цитата
Анатолий Куприянов написал: Почему антивирус пропускает эту заразу? Вчера тоже словили no_more_ransom, пропали документы уже на двух ПК. Стоит лицензионный NOD32 9

добавьте образы автозапуска из зашифрованных систем.

по поводу "почему":

принимайте меры безопасности для защиты документов.

Как видите, одной антивирусной защиты бывает недостаточно,
если пользователи не соблюдают меры безопасности в работе с электронной почтой, и не отличают офисные документы от исполняемых скриптов
если работают с правами администратора, когда в этом нет необходимости, таким образом вы теряете теневые копии при запуске шифратора.
если администраторы в локальной сети не защищают системы с помощью локальных политик по ограничению запуска нежелательных исполняемых программ.

ну, и главное, чтобы периодически создавались архивные копии важных документов и баз.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.03.2017 11:59:24

это не единичный случай,
вот строка из лога FRST
что это означает? может быть неверно показывается в файловой системе размер файла, может что-то другое.

Цитата
===================== Drivers (Whitelisted) ====================== (If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.) R1 eamonm; C:\Windows\System32\DRIVERS\eamonm.sys [262792 2016-12-17] (ESET) R1 ehdrv; C:\Windows\System32\DRIVERS\ehdrv.sys [197248 2016-12-17] (ESET) R2 epfwwfpr; C:\Windows\System32\DRIVERS\epfwwfpr.sys [181384 2016-12-17] (ESET) R0 mountmgr; C:\Windows\System32\drivers\mountmgr.sys [94592 2010-11-21] (Корпорация Майкрософт) R0 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2012-03-24] () [File not signed] R0 volmgrx; C:\Windows\System32\drivers\volmgrx.sys [363392 2010-11-21] (Корпорация Майкрософт) U3 ay3la6bd; C:\Windows\System32\Drivers\ay3la6bd.sys [0 ] (Microsoft Corporation) <==== ATTENTION (zero byte File/Folder)

Цитата

===================== Drivers (Whitelisted) ======================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

R1 eamonm; C:\Windows\System32\DRIVERS\eamonm.sys [262792 2016-12-17] (ESET)
R1 ehdrv; C:\Windows\System32\DRIVERS\ehdrv.sys [197248 2016-12-17] (ESET)
R2 epfwwfpr; C:\Windows\System32\DRIVERS\epfwwfpr.sys [181384 2016-12-17] (ESET)
R0 mountmgr; C:\Windows\System32\drivers\mountmgr.sys [94592 2010-11-21] (Корпорация Майкрософт)
R0 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2012-03-24] () [File not signed]
R0 volmgrx; C:\Windows\System32\drivers\volmgrx.sys [363392 2010-11-21] (Корпорация Майкрософт)
U3 ay3la6bd; C:\Windows\System32\Drivers\ay3la6bd.sys [0 ] (Microsoft Corporation) <==== ATTENTION (zero byte File/Folder)

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.03.2017 10:43:10

Цитата
Николай Ник написал: Здравствуйте. Недавно словил вирус шифровальщик. Письмо осталось на почте с вирусом, если надо могу переслать для изучения.

здравствуйте,
вышлите в почту [email protected] в архиве с паролем infected
+
если необходима помощь в проверке и очистке системы, добавьте образ автозапуска из зашифрованной системы.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2017 18:04:18

Цитата

Сергей Жало написал:

Цитата
santy написал: C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE

Что имеете ввиду?

имею ввиду правила нашего форума.
https://forum.esetnod32.ru/forum6/topic5713/

Цитата
Прошу заметить, что помощь в устранении проблем связанных с вирусами не оказывается пользователям с установленной программой TNOD User & Password Finder. При обнаружении данной программы в логах, тема будет немедленно закрыта и пользователь будет заблокирован на форуме.

Цитата

Прошу заметить, что помощь в устранении проблем связанных с вирусами не оказывается пользователям с установленной программой TNOD User & Password Finder. При обнаружении данной программы в логах, тема будет немедленно закрыта и пользователь будет заблокирован на форуме.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2017 18:02:43

Цитата
Игорь Петровский написал: Прошу прощения,переделал

скачать скрипт очистки системы можно отсюда
http://rgho.st/private/8D6RlNfXJ/3e30018b9d23b43e8831cc90850d06b3

или вложенного файла.
-------------
из под winpe выполняем в uVS скрипт из данного файла.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2017 17:36:53

Цитата
Сергей Жало написал: Лог автозапуска

Сергей Жало,
используем TNOD,
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
по правилам нашего форума, помощь в очистке системы, и расшифровке не будет оказана
обращайтесь за помощью на другой форум.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2017 17:19:33

Итак, по *.dharma есть расшифровка, по *.wallet пока нет.
ESET crysis decryptor обновлен до версии 2.0.3
https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryptor.exe

Цитата
[2017.03.02 21:11:30.715] - Begin [2017.03.02 21:11:30.715] - [2017.03.02 21:11:30.715] - .................................... [2017.03.02 21:11:30.715] - ..::::::::::::::::::.................... [2017.03.02 21:11:30.715] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor [2017.03.02 21:11:30.715] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.3.0 [2017.03.02 21:11:30.715] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Mar 2 2017 [2017.03.02 21:11:30.730] - .::EE:::::::::::::SS:.EE..........TT...... [2017.03.02 21:11:30.730] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o. [2017.03.02 21:11:30.730] - ..::::::::::::::::::.................... 1992-2017. All rights reserved. [2017.03.02 21:11:30.730] - .................................... [2017.03.02 21:11:30.730] - [2017.03.02 21:11:30.730] - -------------------------------------------------------------------------------- [2017.03.02 21:11:30.730] - [2017.03.02 21:11:30.730] - INFO: OS: 6.1.7601 SP1 [2017.03.02 21:11:30.730] - INFO: Product Type: Workstation [2017.03.02 21:11:30.730] - INFO: WoW64: True [2017.03.02 21:11:30.730] - INFO: Machine guid: 22011111-391F-421D-B12F-55ABB662839B [2017.03.02 21:11:30.730] - [2017.03.02 21:11:30.730] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma [2017.03.02 21:11:30.730] - INFO: Backup: 25 [2017.03.02 21:11:30.730] - INFO: Looking for infected files... [2017.03.02 21:11:30.730] - -------------------------------------------------------------------------------- [2017.03.02 21:11:30.730] - [2017.03.02 21:11:30.730] - [2017.03.02 21:11:30.730] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\15092014 16_55_03.xls.[[email protected]].dharma] [2017.03.02 21:11:30.839] - INFO: Cleaned. [2017.03.02 21:11:30.839] - [2017.03.02 21:11:30.871] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\inf.txt.[[email protected]].dharma] [2017.03.02 21:11:30.886] - INFO: Cleaned. [2017.03.02 21:11:30.886] - [2017.03.02 21:11:30.886] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\keygpg.rar.[[email protected]].dharma] [2017.03.02 21:11:30.902] - INFO: Cleaned. [2017.03.02 21:11:30.902] - [2017.03.02 21:11:30.902] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\readme.txt.[[email protected]].dharma] [2017.03.02 21:11:30.902] - INFO: Cleaned. [2017.03.02 21:11:30.917] - [2017.03.02 21:11:30.917] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\акт.pdf.[[email protected]].dharma] [2017.03.02 21:11:30.949] - INFO: Cleaned. [2017.03.02 21:11:30.949] - [2017.03.02 21:11:30.964] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\Концепт uvs.txt.[[email protected]].dharma] [2017.03.02 21:11:30.980] - INFO: Cleaned. [2017.03.02 21:11:30.980] - [2017.03.02 21:11:31.011] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\Правила поведения вахтеров.jpg.[[email protected]].dharma] [2017.03.02 21:11:31.042] - INFO: Cleaned. [2017.03.02 21:11:31.042] - [2017.03.02 21:11:31.276] - -------------------------------------------------------------------------------- [2017.03.02 21:11:31.276] - INFO: 25 infected files found. [2017.03.02 21:11:31.276] - INFO: 25 file(s) cleaned. [2017.03.02 21:11:34.131] - End

Цитата

[2017.03.02 21:11:30.715] - Begin
[2017.03.02 21:11:30.715] -
[2017.03.02 21:11:30.715] - ....................................
[2017.03.02 21:11:30.715] - ..::::::::::::::::::....................
[2017.03.02 21:11:30.715] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Crysis decryptor
[2017.03.02 21:11:30.715] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 2.0.3.0
[2017.03.02 21:11:30.715] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Mar 2 2017
[2017.03.02 21:11:30.730] - .::EE:::::::::::::SS:.EE..........TT......
[2017.03.02 21:11:30.730] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright © ESET, spol. s r.o.
[2017.03.02 21:11:30.730] - ..::::::::::::::::::.................... 1992-2017. All rights reserved.
[2017.03.02 21:11:30.730] - ....................................
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - --------------------------------------------------------------------------------
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - INFO: OS: 6.1.7601 SP1
[2017.03.02 21:11:30.730] - INFO: Product Type: Workstation
[2017.03.02 21:11:30.730] - INFO: WoW64: True
[2017.03.02 21:11:30.730] - INFO: Machine guid: 22011111-391F-421D-B12F-55ABB662839B
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - INFO: Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma
[2017.03.02 21:11:30.730] - INFO: Backup: 25
[2017.03.02 21:11:30.730] - INFO: Looking for infected files...
[2017.03.02 21:11:30.730] - --------------------------------------------------------------------------------
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] -
[2017.03.02 21:11:30.730] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\15092014 16_55_03.xls.[[email protected]].dharma]
[2017.03.02 21:11:30.839] - INFO: Cleaned.
[2017.03.02 21:11:30.839] -
[2017.03.02 21:11:30.871] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\inf.txt.[[email protected]].dharma]
[2017.03.02 21:11:30.886] - INFO: Cleaned.
[2017.03.02 21:11:30.886] -
[2017.03.02 21:11:30.886] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\keygpg.rar.[[email protected]].dharma]
[2017.03.02 21:11:30.902] - INFO: Cleaned.
[2017.03.02 21:11:30.902] -
[2017.03.02 21:11:30.902] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\readme.txt.[[email protected]].dharma]
[2017.03.02 21:11:30.902] - INFO: Cleaned.
[2017.03.02 21:11:30.917] -
[2017.03.02 21:11:30.917] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\акт.pdf.[[email protected]].dharma]
[2017.03.02 21:11:30.949] - INFO: Cleaned.
[2017.03.02 21:11:30.949] -
[2017.03.02 21:11:30.964] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\Концепт uvs.txt.[[email protected]].dharma]
[2017.03.02 21:11:30.980] - INFO: Cleaned.
[2017.03.02 21:11:30.980] -
[2017.03.02 21:11:31.011] - INFO: Cleaning file [[[email protected]]\[[email protected]]\1\doc\Правила поведения вахтеров.jpg.[[email protected]].dharma]
[2017.03.02 21:11:31.042] - INFO: Cleaned.
[2017.03.02 21:11:31.042] -
[2017.03.02 21:11:31.276] - --------------------------------------------------------------------------------
[2017.03.02 21:11:31.276] - INFO: 25 infected files found.
[2017.03.02 21:11:31.276] - INFO: 25 file(s) cleaned.
[2017.03.02 21:11:34.131] - End

[ Как создать образ автозапуска? ]

Перейти