Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 317 318 319 320 321 322 323 324 325 326 327 ... 1784 След.
[ Закрыто] В систему попал шифровальщик
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.01.2017 11:36:30
Евгений, не надо дублировать сообщения.
ваше сообщение перенесено в общую тему по no_ransom_more
в ней продолжайте выполнять наши рекомендации.
по очистке системы.
https://forum.esetnod32.ru/messages/forum35/topic13688/message96963/#message96963
Перейти
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.01.2017 11:20:55
Евгений,
добавьте образ автозапуска системы для проверки
http://forum.esetnod32.ru/forum9/topic2687/
Перейти
Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 19:46:54
да, расшифровка возможна.
напишите в почту [email protected]
Перейти
Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 18:20:33
Андрей,
похоже на Xorist/Filecoder.Q
сейчас проверю точно. займет некоторое время 30-60мин.
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 18:09:10
[QUOTE]Антон Фомичев написал:
[QUOTE] santy написал:
[QUOTE] Антон Фомичев написал:
Здравствуйте, у меня аналогичная проблема, файлы стали 1txt
Помогите с расшифровкой пожалуйста.
Архив с файлами и enigma rsa прилагаю[/QUOTE]Отправьте зашифрованные файлы + enigma.rsa в [URL=mailto:[email protected]][email protected][/URL] при наличие лицензии на антивирус ESET
так же необходимо приложить файл лога ESET log collector
 [URL=https://download.eset.com/special/logcollector/ESETLogCollector_rus.exe]https://download.eset.com/special/logcollector/ESETLogCollector_rus.exe[/URL] [/QUOTE]Все отправлено в вир лаб, надеюсь ответят быстро.[/QUOTE]

Антон Фомичев,
по вашим файлам получено решение по расшифровке.
ключ и дешифратор вам будет выслан в ближайшее время.
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 17:09:38
если вы реально пострадали от этого шифратора, следите так же за этой темой
https://www.bleepingcomputer.com/forums/t/636975/spora-ransomware-support-and-help-topic/
Перейти
файлы зашифрованы с расширением .c400; *.roto; *.tar; *.c300, Rotocrypt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 17:08:06
Alex Man,
это скорее всего Rotocrypt. Последние версии без расшифровки.
Так что нам денег ваших не видать :),
а злоумышленникам этого будет мало.
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 16:13:46
как минимум, скрыл каталоги в корне диска, и добавил lnk-файлы с аналогичными именами. + да, приглашение есть в личный кабинет по указанному адресу
+
к ярлыкам папок привязан запуск из %temp% исполняемого файла.

да, похоже расширение офисных файлов не меняется.
+
удаляет теневые копии:

[QUOTE]WMIC.exe process call create "cmd.exe /c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures" (PID: 2760)

cmd.exe /c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures (PID: 2976)

vssadmin.exe delete shadows /all /quiet (PID: 2984)
bcdedit.exe /set {default} recoveryenabled no (PID: 3264)
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures (PID: 3276)
[/QUOTE]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 15:12:38
Сергей Прутских,
если E_N_I_G_M_A.RSA нет, пробуйте без него, но без лицензии, скорее всего вирлаб не будет вычислять для вас ключ.
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 15:09:53
Александр,
какое расширение у зашифрованных файлов?
если есть несколько зашифрованных файлов, добавьте их в архив и поместите в ваше сообщение.
вредоносные файлы не надо публиковать на форуме.
---------
судя по VT файлик hta еще никем не детектируется
https://www.virustotal.com/ru/file/3fb2e50764dea9266ca8c20681a0e0bf60feaa34a52699cf­2cf0c07d96a22553/analysis/1484050971/
Перейти
Пред. 1 ... 317 318 319 320 321 322 323 324 325 326 327 ... 1784 След.