santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

зашифровано в Spora

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.01.2017 10:07:12

да, судя по образу система очищена уже от файлов шифратора.
по расшифровке, если документы важны для вас, и нет архивных копий - сохраните на отдельный носитель,
и ждите, когда будет возможность расшифровки.
файлы *.key обязательно сохраните. нужен будет при расшифровании.

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.01.2017 08:50:40

VirLocker шифрует и упаковывает все файлы внутри исполняемых файлов

Цитата
Процесс инфекции VirLocker во многом тот же, как это было в 2014 году, и работает, принимая файлы жертвы и заворачивая их внутри EXE оболочки. Это означает, что все файлы зашифрованы, а затем упаковать как исполняемый файл. Например, файл изображения с именем photo.png станет photo.png.exe. Поскольку большинство установок для Windows скрывает последнее расширение файла, пользователи будут видеть только photo.png, и не зная, что файл является двоичным. Но это становится еще хуже, так как каждый из этих EXE-файлов также содержит копию VirLocker вымогателей, а это означает, что некоторые пользователи, даже не зная, могут распространять вредоносные файлы своим друзьям, или через резервное копирование копии VirLocker. Тот факт, что VirLocker создает реальные EXE-файлы, а не только добавляет поддельное расширение .exe, делает VirLocker крайне опасным, что позволяет ему распространяться с легкостью.

Цитата

Процесс инфекции VirLocker во многом тот же, как это было в 2014 году, и работает, принимая файлы жертвы и заворачивая их внутри EXE оболочки. Это означает, что все файлы зашифрованы, а затем упаковать как исполняемый файл.

Например, файл изображения с именем photo.png станет photo.png.exe. Поскольку большинство установок для Windows скрывает последнее расширение файла, пользователи будут видеть только photo.png, и не зная, что файл является двоичным.

Но это становится еще хуже, так как каждый из этих EXE-файлов также содержит копию VirLocker вымогателей, а это означает, что некоторые пользователи, даже не зная, могут распространять вредоносные файлы своим друзьям, или через резервное копирование копии VirLocker. Тот факт, что VirLocker создает реальные EXE-файлы, а не только добавляет поддельное расширение .exe, делает VirLocker крайне опасным, что позволяет ему распространяться с легкостью.

https://www.bleepingcomputer.com/news/security/virlocker-ransomware-returns-just-as-virulent-as-ever/

[ Как создать образ автозапуска? ]

Перейти

достал zverogu

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.01.2017 04:39:55

судя по логу ESI, есть левая задача:

"Задача" = "c:\windows\system32\tasks\httphumanvevo12comsmartsm" ( 5: Неизвестно ) ;
"Командная строка" = ""c:\program files (x86)\mozilla firefox\firefox.exe" http://humanvevo12.com/smartsm" ( 5: Неизвестно ) ;

в uVS эта задача так же отображается:

Цитата
Полное имя HTTP://HUMANVEVO12.COM/SMARTSM Имя файла HTTP://HUMANVEVO12.COM/SMARTSM Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям TASKS.HTTP (CMDLINE ~ HTTP://)(1) [auto (0)] Сохраненная информация на момент создания образа Статус в автозапуске Доп. информация на момент обновления списка CmdLine HTTP://HUMANVEVO12.COM/SMARTSM Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\HTTPHUMANVEVO12COMSMARTSM

Цитата

Полное имя HTTP://HUMANVEVO12.COM/SMARTSM
Имя файла HTTP://HUMANVEVO12.COM/SMARTSM
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
TASKS.HTTP (CMDLINE ~ HTTP://)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус в автозапуске

Доп. информация на момент обновления списка
CmdLine HTTP://HUMANVEVO12.COM/SMARTSM

Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\HTTPHUMANVEVO12COMSMARTSM

---------------

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://HUMANVEVO12.COM/SMARTSM deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://HUMANVEVO12.COM/SMARTSM

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/RuKometa.E, S потенциально нежелательная программа, Win32/RuKometa.E, S потенциально нежелательная программа, Помогите с удалением вируса

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2017 00:11:21

не останавливайтесь на этом.

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.01.2017 17:49:39

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\ANVIR\USBHDD.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\COMDEV\COMDEV.EXE del %SystemDrive%\USERS\USER\APPDATA\LOCAL\COMDEV\COMDEV.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://SRUBFO.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=C3390E4AD5FC3436F492DBCD5FF0F401&UTM_TERM=06DAE5DE89D7CFA2861D3B84D81AA6F4&UTM_D=20170124 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\ANVIR\USBHDD.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\COMDEV\COMDEV.EXE
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\COMDEV\COMDEV.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://SRUBFO.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=C3390E4AD5FC3436F492DBCD5FF0F401&UTM_TERM=06DAE5DE89D7CFA2861D3B84D81AA6F4&UTM_D=20170124
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

зашифровано в Spora

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.01.2017 15:50:20

Дима Желдак,
добавьте образ автозапуска системы, в которой был запушен шифратор.
возможно, необходима еще очистка этой системы от файлов шифратора.

[ Как создать образ автозапуска? ]

Перейти

Как заблокировать приложению доступ в интернет?, ESET NOD32 Smart Security 10.0.369.1

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.01.2017 12:45:09

Василий Перцев,
вы можете добавить правило фаерволла для данного приложения,
исходящие соединения заблокировать.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] win32 rukometa.S, Не могу удалить вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.01.2017 04:34:22

сделайте таки эту проверку:

далее,
выполните быстрое сканирование (угроз) в Malwarebytes

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.01.2017 04:33:02

RP55,
далеко не всегда нужен полный образ автозапуска, а по времени без проверки цифровых подписей процесс протекает быстрее.
Чтобы удалить пару записей из секции браузеров.

не думаю, что юзер придерживается логики чем меньше тем, быстрее мне помогут.
Он в первую очередь заинтересован в предоставлении полной информации о зараженной системе.

[ Как создать образ автозапуска? ]

Перейти

зашифровано в Spora

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.01.2017 04:25:29

Цитата
Андрей Кизилевич написал: Добрый ночи. Тоже поймал эту заразу. Прикрепляю автозагрузчик, исходное письмо,KEY

Андрей,
судя по образу система уже очищена от файлов шифратора. Хотя не мешает сделать полную проверку диска, поскольку Spora раскладывает на диске несколько своих копий, и добавляет их запуск в созданные lnk файлы.

детектирование hta-файла
https://www.virustotal.com/ru/file/4a5db945bc2238d738834e73e48da758d6208a58dc1ad825a905d7dd6ab11e6b/analysis/1485221083/
детектирование шифратора exe
https://www.virustotal.com/ru/file/65ce33956ed7ba748c7542024eb5c437fd532902c549711c9b7646e3ad7a4eb1/analysis/

[ Как создать образ автозапуска? ]

Перейти