Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Алексей Бондарь, добавьте образ автозапуска системы, где вы получили зашифрованные файлики. + найдите исходное письмо, из которого был запущен шифратор. (предположительно, это должно быть архивное вложение, которое содержит файл якобы документа, но с расширением hta) перешлите данное письмо в архиве с паролем infected в почту [email protected]
santy написал: обновите базы на всех антивирусных клиентах, и запустите полную проверку дисков, если этот файл детектируется, то и производные от него так же должны детектироваться.
да, нашел антивирус эти файлы, удалил. Так вот вопрос остается, по сети вирус смог куда-то далеко уйти?
кто ж его знает, куда он успел дойти. Не факт, что он шифрует расшаренные сетевые папки, возможно, работает только как червь, т.е. добавляет ярлыки папок. проверяйте, открываются документы в расшаренных папках или нет.
santy написал: Дмитрий Н, добавьте образ автозапуска с машины, с которой червь начал свое "триумфальное" путешествие по вашей локальной сети.
да, здесь в Темпе есть файлик, детектируемый как Spora
Полное имя C:\USERS\GORDEEVS\APPDATA\LOCAL\TEMPSP.EXE Имя файла TEMPSP.EXE Тек. статус ?ВИРУС? [Запускался неявно или вручную]
2017-01-20 Symantec ML.Attribute.VeryHighConfidence [Heur.AdvML.B] ESET-NOD32 a variant of Win32/Injector.DKCH Avast Win32:Malware-gen Kaspersky Trojan-Ransom.Win32.Spora.h DrWeb BackDoor.Siggen.60255
Сохраненная информация на момент создания образа Статус [Запускался неявно или вручную] File_Id 5877B8421D000 Linker 6.0 Размер 118784 байт Создан 20.01.2017 в 08:18:34 Изменен 20.01.2017 в 08:18:34
TimeStamp 12.01.2017 в 17:09:22 EntryPoint + OS Version 4.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить
Доп. информация на момент обновления списка SHA1 5AC3D2E71BD53E7AD70577C01F1CB4B9DFA2ABD8 MD5 EE0D34559792DAA102296A49B7BE1E36
Ссылки на объект Prefetcher C:\WINDOWS\Prefetch\Layout.ini
-------------- обновите базы на всех антивирусных клиентах, и запустите полную проверку дисков, если этот файл детектируется, то и производные от него так же должны детектироваться.
Сергей Сафонов, судя по образу файлов шифратора нет в автозапуске. возможно и зашифровать документы не успел сделать. вышлите файл из временной папки в архиве с паролем infected в почты [email protected]
Сергей Сафонов, добавьте образ автозапуска системы в uVS
+ обратите внимание на то, что файл шифратора имеет функционал червя, т.е. скрывает папки в корне диска, и добавляет ярлыки папок, в ярлыки добавлен запуск файла шифратора, так что можно таким образом и повторно запустить тело шифратора. -------- файл образа посмотрю немного позже.
