Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 299 300 301 302 303 304 305 306 307 308 309 ... 1784 След.
зашифровано с расширением .just; .green; .neitrino;, Filecoder.BM
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.02.2017 15:15:59
вышлите архив с паролем infected в почту [email protected], проверим.
--------
+
вот полезная программа, выпущена экспертом по безопасности МАйклом Гиллеспи.
https://www.bleepingcomputer.com/forums/t/637463/cryptosearch-find-files-encrypted-by-ransomware/

в ней вы можете задать расширение файла, и указать в какой области его искать: каталог или весь компьютер.

[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .just; .green; .neitrino;, Filecoder.BM
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.02.2017 11:28:51
Цитата
Иван Демидов написал:
На сетевом диске вроде как да.
На ПК ни один файл не зашифровался, только в сетевой шаре.
на сетевом диске процесс шифрования прекратился?
судя по образу, снятому с ПК файла шифратора уже нет, или неактивен после перезагрузки системы.
по neitrino скорее всего расшифровка невозможна.
помогут только бэкапы, или возможно теневые копии.
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .just; .green; .neitrino;, Filecoder.BM
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.02.2017 09:34:38
а процесс шифрования прекратился? он мог продолжаться до тех пор, пока файл шифратора висел в памяти.
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением *.sage, CryLocker / ransom_note: !HELP_SOS.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.02.2017 04:41:34
Влад,
добавьте несколько зашифрованных файлов в архиве, и образ автозапуска системы.
если сохранилось тело шифратора (или вложение из почты), вышлите в почту [email protected] в архиве, с паролем infected.
+
добавьте вместе с зашифрованными файлами записку о выкупе, наверняка в ней должна быть указана версия шифратора sage.
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .just; .green; .neitrino;, Filecoder.BM
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.02.2017 04:40:08
это ваши батники?

Цитата
Полное имя                  C:\USERS\СЕРГЕЙ\APPDATA\ROAMING\SVCHOST.BAT
Имя файла                   SVCHOST.BAT
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      675 байт
Создан                      27.02.2017 в 09:05:28
Изменен                     27.02.2017 в 09:05:28
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        2082ACD56632EDC2FBCE046BDB7E6E7FEB84C4F3
MD5                         C9794A517BFCE08D795DF3420DEC0531
                           
#FILE#                      chcp 1251
del "C:\Users\Сергей\AppData\Roaming\*.rar"
del "C:\Users\D899~1\AppData\Local\Temp\*.rar"
del "C:\Users\D899~1\AppData\Local\Temp\*.scr"
del "C:\Users\D899~1\AppData\Local\Temp\*.docx"
del "C:\Users\D899~1\AppData\Local\Temp\*.exe"
del "C:\Users\D899~1\AppData\Local\Temp\*.wsf"
del "C:\Users\D899~1\AppData\Local\Temp\*.crt"
:simon
del "C:\Users\Сергей\AppData\Roaming\*.exe"
if exist "C:\Users\Сергей\AppData\Roaming\*.exe" (
ping -n 2 127.0.0.1 > nul
Goto simon)
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v TempClear /f
del "C:\Users\Сергей\AppData\Roaming\svchost.bat"
del "C:\Users\Сергей\AppData\Roaming\svchost.bat"

                           
Ссылки на объект            
Ссылка                      HKLM\laxarcnxo\Software\Microsoft\Windows\CurrentVersion\Run­Once\ClearTMP
ClearTMP                    "C:\Users\Сергей\AppData\Roaming\svchost.bat"


Цитата
Полное имя                  {208C3C31-4F15-4944-83AA-C41637E92E35}.CMD
Имя файла                   {208C3C31-4F15-4944-83AA-C41637E92E35}.CMD
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\R­unOnce\{208C3C31-4F15-4944-83AA-C41637E92E35}
{208C3C31-4F15-4944-83AA-C41637E92E35}cmd.exe /C start /D "C:\Users\DEMIDO~1\AppData\Local\Temp" /B {208C3C31-4F15-4944-83AA-C41637E92E35}.cmd
-----------------
утилиты для проверки что-то нашли? обычно этот вариант шифратора маскируется под утилитку от Адобе.
[ Как создать образ автозапуска? ]
Перейти
Проблема с файлами
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.02.2017 19:20:58
пробуйте сделать образ автозапуска из под winpe&uVS
https://forum.esetnod32.ru/forum27/topic2102/
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .just; .green; .neitrino;, Filecoder.BM
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.02.2017 19:11:48
порядок шифрования дисков у разных шифраторов может быть разных,
имеет смысл отключить доступ к сетевому диску, и затем локализовать на каком из устройств запущено шифрование.

если вы можете сразу определить на каком устройстве предположительно запущен шифратор,
то лучше этот комп выключить, и сделать образ автозапуска из безопасного режима.
http://forum.esetnod32.ru/forum9/topic2687/
(после того как образ будет сделан, и передан нам, комп опять же лучше выключить, до ожидания результата проверки.)

предположительно,
был открыт из почты документ (или скачан из сети) с темой "резюме."
(как правило содержит внедренный объект, который запускается на исполнение при двойном клике на ссылку или рисунок в документе резюме.)
[ Как создать образ автозапуска? ]
Перейти
Нет ли угрозы?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.02.2017 11:29:34
а из безопасного режима системы можете сделать проверку в FRST?
[ Как создать образ автозапуска? ]
Перейти
Нет ли угрозы?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.02.2017 10:20:44
может FRST покалеченный? попробуйте еще раз скачать утилиту, и проверить
+
Цитата
Не работает, даже при отключённом антивирусе.
здесь смысл не в отключении антивируса, а в запуске FRST с правами администратора.
[ Как создать образ автозапуска? ]
Перейти
Нет ли угрозы?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.02.2017 08:48:49
возможно FRST надо запустить с правами администратора.
пробуйте повторить логи FRST
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 299 300 301 302 303 304 305 306 307 308 309 ... 1784 След.