Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
02.05.2022 16:25:33 Update Update authorization failed. Please check if your license is valid. SYSTEM "WebLicensePublicId" = "3AT-3GJ-3EJ" ( 1: Безопасно ) ; лицензия не активирована. статус Inactive пробуйте вначале активировать лицензию на сайте https://www.esetnod32.ru/activation/master/ Если активация будет успешной, пробуйте после этого активировать данной лицензией устанвленный продукт ESET Если возникнут проблемы с активацией, напишите в [email protected]
Ботнет Emotet теперь использует файлы ярлыков Windows (.LNK), содержащие команды PowerShell, для заражения компьютеров жертв, отказываясь от макросов Microsoft Office, которые теперь отключены по умолчанию.
Использование файлов .LNK не ново, так как Emotet ранее использовала их в сочетании с кодом Visual Basic Script (VBS) для создания команды, загружающей полезную нагрузку. Однако они впервые использовали ярлыки Windows для прямого выполнения команд PowerShell.
Новая техника после неудачной кампании
В прошлую пятницу операторы Emotet прекратили фишинговую кампанию, потому что они испортили свой установщик после того, как использовали статическое имя файла для ссылки на вредоносный ярлык .LNK.
Запуск ярлыка запускал команду, которая извлекала строку кода VBS и добавляла ее в файл VBS для выполнения.
Однако, поскольку у распределенных файлов ярлыков было другое имя, чем статическое, которое они искали, это не помогло бы правильно создать файл VBS. Группа устранила проблему вчера.
Сегодня исследователи безопасности заметили, что Emotet перешел на новую технику, которая использует команды PowerShell, прикрепленные к LNK-файлу, для загрузки и выполнения скрипта на зараженном компьютере.
Вредоносная строка, добавляемая к файлу .LNK, запутывается и дополняется нулями (пробелом), чтобы она не отображалась в целевом поле (файл, на который указывает ярлык) диалогового окна свойств файла.
Вредоносный файл .LNK Emotet содержит URL-адреса нескольких скомпрометированных веб-сайтов, используемых для хранения полезной нагрузки сценария PowerShell. Если сценарий присутствует в одном из определенных мест, он загружается во временную папку системы как сценарий PowerShell со случайным именем.
Ниже представлена деобфусцированная версия вредоносной строки Emotet, прикрепленной к полезной нагрузке .LNK:
Этот сценарий создает и запускает другой сценарий PowerShell, который загружает вредоносное ПО Emotet из списка скомпрометированных сайтов и сохраняет его в папку %Temp%. Затем загруженная DLL запускается с помощью команды regsvr32.exe.
Выполнение сценария PowerShell выполняется с помощью утилиты командной строки Regsvr32.exe и заканчивается загрузкой и запуском вредоносного ПО Emotet.
Исследователь безопасности Макс Малютин говорит, что наряду с использованием PowerShell в файлах LNK этот поток выполнения является новым для развертывания вредоносного ПО Emotet.
Новая техника на подъеме
Исследовательская группа Cryptolaemus, которая внимательно следит за активностью Emotet, отмечает, что новая техника является явной попыткой злоумышленника обойти защиту и автоматическое обнаружение.
Исследователи безопасности из компании ESET, занимающейся кибербезопасностью, также заметили, что использование новой технологии Emotet увеличилось за последние 24 часа.
Данные телеметрии ESET показывают, что страны, наиболее затронутые Emotet с помощью новой технологии, — это Мексика, Италия, Япония, Турция и Канада.
Помимо перехода на PowerShell в файлах .LNK, операторы ботнета Emotet внесли несколько других изменений с тех пор, как в ноябре возобновили свою деятельность на более стабильном уровне, например, перешли на 64-битные модули.
Вредоносная программа обычно используется в качестве шлюза для других вредоносных программ, особенно угроз программ-вымогателей, таких как Conti.
1. в безопасном режиме системы Safe mode выполните скрипт scr01.txt (скрипт во вложении) в uVS 2. в безопасном режиме выполните удаление установленного продукта ESET с помощьюESET Uninstaller как это сделать, подробнее в базе знаний https://support.eset.com/ru/kb2289-eset-eset-uninstaller 3. в нормально режиме скачиваем офлайновую версию продукта ESET согласно вашей лицензии и разрядности системы https://forum.esetnod32.ru/forum4/topic16587/ 4. в случае успешной установке, активируем продукт, проверяем в работе
Это Filecoder.EQ/CryLock 2.0 {2.0.0.0}, на текущий момент нет возможности расшифровать Ваши файлы. Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем, расшифровка станет возможна.
Если необходима помощь в очистке системы, сделайте пожалуйста образ автозапуска системы в uVS на зашифрованном ПК как сделать, подробнее на нашем форуме https://forum.esetnod32.ru/forum9/topic2687/
рекомендуем сделать лог ESETSysVulnCheck для анализа уявимостей системы, которые могли стать причиной успешной атаки шифровальщика.
Скачайте специальную утилиту ESETSysVulnCheck по ссылке (скачивать необходимо в IE)
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
Сохраните программу на компьютер. Запустите ESET Log Collector от имени администратора (щелкните по программе правой клавишей мышки и в контекстном меню выберите "Запуск от имени администратора").
В выпадающем меню "Режим сбора журналов ESET" выберите пункт "Фильтрованный двоичный код" и нажмите кнопку Собрать. Дождитесь окончания сбора необходимых сведений, по окончанию работы программы Вы увидите сообщение «Все файлы собраны и заархивированы» По умолчанию, архив с данными сохранится в папку, откуда Вы запускали утилиту и будет иметь название "ess_logs.zip". Путь сохранения архива можно изменить, нажав кнопку "...". Пришлите данный архив к нам на анализ.
Файервол контролирует весь входящий и исходящий сетевой трафик, разрешая или запрещая (на основе заданных правил фильтрации) те или иные сетевые подключения.