santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

невозможно отправить файл на анализ, sharing resource downloader

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2016 14:51:23

это корректно,
отправить вредоносный или подозрительный файл в архиве, и обязательно с паролем. infected

[ Как создать образ автозапуска? ]

[ Закрыто] Пятое поколение продуктов ESET(Бизнес версия), Обсуждение новых функций, настройки, и исправлений 5-й версии продукта.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2016 11:29:33

Альберт,
у меня такая же конфигурация ERA: 5.3.39
проблем нет с созданием пакетов установки ESET Endpoint Antivirus/Security 5 как для NT32, так и для NT64
только сервер win2008R2x64, ОЗУ 8Гб

Изменено: santy - 03.11.2016 11:30:45

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2016 10:59:40

csrss.exe из карантина, readme*.txt (эти файлы создаются шифратором) должны быть в корне диска, если шифрование было завершено,
лог ESET collector создается этой утилитой
https://download.eset.com/special/logcollector/ESETLogCollector_rus.exe

Изменено: santy - 04.11.2016 14:45:41

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2016 10:10:28

Александр,
в техподдержку надо будет отправить:
файл шифратора +readme*.txt (в архиве с паролем infected)
несколько зашифрованных файлов в архиве (без пароля)
+
лог Eset collector log из зашифрованной системы.

Изменено: santy - 04.11.2016 14:45:41

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2016 09:52:53

Александр,

по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в [email protected] при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2016 09:50:10

попробуйте на актуальной версии сделать установочные пакеты
5.0.2265.1

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2016 09:04:51

он здесь карантинится в скрипте командой ZOO,
но поскольку ZOO создается в папке, откуда запускается uVS, то после завершения работы в winpe zoo потеряется.
поэтому можно откопировать файлик из ZOO предварительно на флэшку, и
потом уже перегружаться в нормальный режим.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2016 07:25:59

да, этот образ нормальный.
файл шифратора живой и прописан в автозапуск
выполните в uvs из под winpe скрипт из файла.
файл скрипта прикрепляю.
после выполнения скрипта можно перегрузиться в нормальный режим и проверить теневые копии: живые или нет.
(хотя если это XP, то необходимых теневых копий нет)

Изменено: santy - 04.11.2016 14:45:41

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2016 07:07:58

Похоже, очень свежая рассылка enigma, мало кто детектирует js
https://www.virustotal.com/ru/file/57f645bcfdf41d0f9cef389f9828b824fd048c901098a29b62a6cba9dfc45d89/analysis/1478144097/
https://www.hybrid-analysis.com/sample/57f645bcfdf41d0f9cef389f9828b824fd048c901098a29b62a6cba9dfc45d89?environmentId=100

Цитата
Уважаемый частный предприниматель!. Уведомляю Вас, что ваша Компания ** находящуюся по адресу ** нарушает действующее законодательство Российской Федерации. (ст.336.16 Налогового Кодекса РФ). Мы пробовали связаться с вами по телефону +74722211131, однако Вас не застали. Просим Вас ознакомиться с материалами производства, которые прикреплены к данному письму. вместо вложения используется ссылка на документ в сети (*.zip)

Цитата

Уважаемый частный предприниматель!. Уведомляю Вас, что ваша Компания **** находящуюся по адресу **** нарушает действующее законодательство Российской Федерации. (ст.336.16 Налогового Кодекса РФ).
Мы пробовали связаться с вами по телефону +74722211131, однако Вас не застали.
Просим Вас ознакомиться с материалами производства, которые прикреплены к данному письму.

вместо вложения используется ссылка на документ в сети (*.zip)

Изменено: santy - 03.11.2016 07:34:27

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2016 06:15:04

uVS пишет что образ поврежден.
сделайте еще раз образ автозапуска без проверки цифровых подписей, так быстрее должно быть.
+
вопрос: какой загрузочный диск используете?
winpe&uVS или с какого то другого загрузочного диска запускаете uVS?

Изменено: santy - 04.11.2016 14:44:51

[ Как создать образ автозапуска? ]

Перейти