Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 346 347 348 349 350 351 352 353 354 355 356 ... 1784 След.
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.11.2016 10:13:56
по этому компу выполните очистку системы:
BUH9_2016-11-02_08-56-54.7z (261.3 КБ)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\06330BCE.EXE
addsgn 925277EA0C6AC1CC0B74484EA34FFEFF008AE174F74048F1604E5998D0278DB312D7936EE220660F6DD3ECBCB13E49ADFE1CEC213DC81B232D2127ECC35572B4 8 Win32/Filecoder.ED

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\320039DF.EXE
addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A1C24446148F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DE2C2212D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\RAD99786.TMP
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF29671C57F33DFA82BE11D092B7F912FC656499C40D9E8064489584B1C77A4140472251B 8 da_vinci_code

;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC

delref %Sys32%\IHCTRL32.DLL
del %Sys32%\IHCTRL32.DLL

delref %Sys32%\IR16_32.DLL
del %Sys32%\IR16_32.DLL

delref %Sys32%\KBDMAI.DLL
del %Sys32%\KBDMAI.DLL

delref %Sys32%\WLANMGR.DLL
del %Sys32%\WLANMGR.DLL

delref %Sys32%\WSAUDIO.DLL
del %Sys32%\WSAUDIO.DLL

; Java(TM) 6 Update 22
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.11.2016 10:02:11
Админа однозначно надо наказывать. образы сейчас посмотрю.
---------
здесь чисто уже
OOO_2016-11-02_09-02-34.7z (251.9 КБ)
и здесь чисто
GLAVBUH_2016-11-02_08-45-59.7z (497.67 КБ)

по этому компу
HP_2016-11-01_17-46-18.7z (577.2 КБ)

выполните очистку системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\UPDATEMOBOGENIE.EXE
addsgn 1AB3729A5583FF8FF42B627DA804DEC9E90A05B6FAEF9F81A5B0C3B3F514A2ACE09C1364FED57C56F86247AC86259B39B188BE2166253B680963AFEFBA1265F8 8 demon_process

zoo %SystemDrive%\USERS\НАСТЯ\APPDATA\BITCEE3.TMP
addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0F481783C5353CF265B33623B3173E3D9CC92B807B8AFA6609FA2820FDDE279AB04624D41CBD8506CA66 24 Ransom:Win32/Troldesh.A [Microsoft]

delref %SystemDrive%\USERS\НАСТЯ\APPDATA\ROAMINGKES.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

deldirex %SystemDrive%\USERS\НАСТЯ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\PROGRAM FILES\TOOLDEV342\WEATHERBAR\\TRACERSTOOLBARBHO_X64.DLL

delref HTTP://WEBALTA.RU/SEARCH?Q={SEARCHTERMS}&FROM=IE

delref HTTP://WEBALTA.RU/SEARCH

deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE

; Java(TM) 6 Update 22 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416022FF} /quiet
; Weatherbar
exec MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4} /quiet
; Mobogenie
exec  C:\Program Files (x86)\Mobogenie\uninst.exe
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
Изменено: santy - 02.11.2016 10:16:17
[ Как создать образ автозапуска? ]
Перейти
Двойные стандарты в политике Eset
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.11.2016 04:36:30
Роман, здравствуйте,
но вы можете отвечать за контент своего сайта.
удалить ссылку, на которую вам указали не сложно, предупредить или заблокировать доступ пользователю, который постит ссылки на вредоносные сайты.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.11.2016 12:04:25
Цитата
Дмитрий Страхов написал:
Отправил запрос в техподдержку ( приложил образ).
Подскажите, реально ли расшифровать данные на данном ПК?
трудно сказать. первые варианты [email protected] были расшифрованы,
затем злоумышленники видимо улучшили алгоритм шифрования.

в техподдержку необходимо как правило отправить:
1. зашифрованные файлы,
2. копии чистых файлов, если есть такие,
3. файл шифратора, если был найден (или источник откуда был запущен шифратор)
4. лог ESET log collector взятый из зашифрованной системы.
Изменено: santy - 01.11.2016 12:06:03
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.11.2016 11:15:16
Дмитрий,
судя по образу система уже очищена от тела шифратора,

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .c400; *.roto; *.tar; *.c300, Rotocrypt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.11.2016 10:15:46
Цитата
Егор Денисов написал:
Хорошо. Буду ждать результата. Спасибо.
замечу, что разработка дешифратора не минутное дело,
как правило если расшифровка возможна, то дешифратор может быть выпущен в течение месяца.
Изменено: santy - 01.11.2016 10:19:01
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .c400; *.roto; *.tar; *.c300, Rotocrypt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.11.2016 09:46:12
выполнил тестовое шифрование, попробую отправить файлы в вирлаб.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .c400; *.roto; *.tar; *.c300, Rotocrypt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.11.2016 07:45:21
кстати да, оба файла с одинаковым хэшем. и являются файлов шифратора.
https://www.virustotal.com/ru/file/bf09d6fc95cf7fd5f44e62e9515cbb5650fc1e544a566247­83d8071af7712e23/analysis/1477974362/

так же прописывает свою копию в автозапуск

Цитата
Полное имя                  C:\DOCUMENTS AND SETTINGS\username\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\NCLUJGPW.EXE
Имя файла                   NCLUJGPW.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске [Запускался неявно или вручную]
File_Id                     54514FCD23000
Linker                      7.0
Размер                      134656 байт
Создан                      01.11.2016 в 10:32:21
Изменен                     31.10.2016 в 00:15:24
                           
TimeStamp                   29.10.2014 в 20:36:29
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                           
Доп. информация             на момент обновления списка
SHA1                        AF846503643705A6BF9FD8A3CF0CA933CA7049FA
MD5                         E809C35B5D8C2CECE9A6D895873D98F4
                           
Ссылки на объект            
Ссылка                      C:\DOCUMENTS AND SETTINGS\username\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VKVYJETS.LNK
                           
Ссылка                      HKEY_USERS\S-1-5-21-2052111302-1383384898-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\VKvYJeTs
VKvYJeTs                    "C:\Documents and Settings\username\Local Settings\Application Data\Mozilla\nclujgpW.exe"
SHORTCUT                    C:\DOCUMENTS AND SETTINGS\username\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VKVYJETS.LNK
Изменено: santy - 01.11.2016 10:19:01
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] вымогатель блокирует загрузку системы
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.11.2016 04:38:56
Цитата
RP55 RP55 написал:
Цитата
 Алексей Замуруев  написал:
вызвал спеца он всё уладил.
С какой программой он работал ?
RP55, скорее всего, переустановил систему :).
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .c400; *.roto; *.tar; *.c300, Rotocrypt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 31.10.2016 16:40:39
@Егор Денисов,
это похоже на RotoCrypt, возможно не безнадежный случай, хотя и неизвестно пока есть расшифровка по нему или нет.
когда было шифрование? есть ли записка или файл о выкупе? если есть такой файл, так же добавьте его на форум.
+
если возможно, сделайте образ автозапуска системы из зашифрованной системы,
можно из безопасного режима системы,
или из под Winpe&uVS
Изменено: santy - 01.11.2016 10:19:01
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 346 347 348 349 350 351 352 353 354 355 356 ... 1784 След.