Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 317 318 319 320 321 322 323 324 325 326 327 ... 1784 След.
[ Закрыто] В систему попал шифровальщик
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.01.2017 11:36:30
Евгений, не надо дублировать сообщения.
ваше сообщение перенесено в общую тему по no_ransom_more
в ней продолжайте выполнять наши рекомендации.
по очистке системы.
https://forum.esetnod32.ru/messages/forum35/topic13688/message96963/#message96963
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.01.2017 11:20:55
Евгений,
добавьте образ автозапуска системы для проверки
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 19:46:54
да, расшифровка возможна.
напишите в почту [email protected]
[ Как создать образ автозапуска? ]
Перейти
Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 18:20:33
Андрей,
похоже на Xorist/Filecoder.Q
сейчас проверю точно. займет некоторое время 30-60мин.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 18:09:10
Цитата
Антон Фомичев написал:
Цитата
 santy  написал:
Цитата
 Антон Фомичев  написал:
Здравствуйте, у меня аналогичная проблема, файлы стали 1txt
Помогите с расшифровкой пожалуйста.
Архив с файлами и enigma rsa прилагаю
Отправьте зашифрованные файлы + enigma.rsa в  [email protected]  при наличие лицензии на антивирус ESET
так же необходимо приложить файл лога ESET log collector
 https://download.eset.com/special/logcollector/ESETLogCollector_rus.exe  
Все отправлено в вир лаб, надеюсь ответят быстро.

Антон Фомичев,
по вашим файлам получено решение по расшифровке.
ключ и дешифратор вам будет выслан в ближайшее время.
[ Как создать образ автозапуска? ]
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 17:09:38
если вы реально пострадали от этого шифратора, следите так же за этой темой
https://www.bleepingcomputer.com/forums/t/636975/spora-ransomware-support-and-help-topic/
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .c400; *.roto; *.tar; *.c300, Rotocrypt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 17:08:06
Alex Man,
это скорее всего Rotocrypt. Последние версии без расшифровки.
Так что нам денег ваших не видать :),
а злоумышленникам этого будет мало.
[ Как создать образ автозапуска? ]
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 16:13:46
как минимум, скрыл каталоги в корне диска, и добавил lnk-файлы с аналогичными именами. + да, приглашение есть в личный кабинет по указанному адресу
+
к ярлыкам папок привязан запуск из %temp% исполняемого файла.

да, похоже расширение офисных файлов не меняется.
+
удаляет теневые копии:

Цитата
WMIC.exe process call create "cmd.exe /c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures" (PID: 2760)

cmd.exe /c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures (PID: 2976)

vssadmin.exe delete shadows /all /quiet (PID: 2984)
bcdedit.exe /set {default} recoveryenabled no (PID: 3264)
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures (PID: 3276)
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 15:12:38
Сергей Прутских,
если E_N_I_G_M_A.RSA нет, пробуйте без него, но без лицензии, скорее всего вирлаб не будет вычислять для вас ключ.
[ Как создать образ автозапуска? ]
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 15:09:53
Александр,
какое расширение у зашифрованных файлов?
если есть несколько зашифрованных файлов, добавьте их в архив и поместите в ваше сообщение.
вредоносные файлы не надо публиковать на форуме.
---------
судя по VT файлик hta еще никем не детектируется
https://www.virustotal.com/ru/file/3fb2e50764dea9266ca8c20681a0e0bf60feaa34a52699cf­2cf0c07d96a22553/analysis/1484050971/
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 317 318 319 320 321 322 323 324 325 326 327 ... 1784 След.