Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 398 399 400 401 402 403 404 405 406 407 408 ... 1784 След.
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2016 13:39:24
Елена,
выполните скрипт очистки,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
sreg

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.622\BAIDUPROTECT.EXE
delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0004.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref WSCTF.EXE
delref HTTP://WWW.HAO123.COM/?TN=91800134_HAO_PG
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\X.VBS
areg

перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска для окончательной очистки системы.
Изменено: santy - 27.05.2016 15:26:38
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2016 13:35:42
Елена,
систему надо основательно чистить. здесь помимо основного антивируса ESET еще и китайский байду
комп как я вижу рабочий, но основательно замусорен, отсюда и шифраторы и прочее.
---------
скрипт очистки сейчас добавлю.
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2016 13:21:08
Сергей,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCALLOW\PRESTRM\PRESTRM.DLL
del %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCALLOW\PRESTRM\PRESTRM.DLL

deldirex %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BJGFNBGJNMEOHEHMINFENOAHKCDDIDPI\4.5.141_0\ПОДЕЛИТЬСЯ ВКОНТАКТЕ
deldirex %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCAL\KOMETA\PANEL

deldirex %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCAL\KOMETA\PANEL\1.0.0.775

; Java(TM) 6 Update 22
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки нет по vault
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2016 12:45:09
в моей подписи есть ссылка на инструкцию "как создать образ автозапуска"
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2016 12:32:30
Цитата
Сергей Глазовский написал:
Здравствуйте. Вчера, 25.05.2016, на одном из ПК отработал шифровальщик. Вчера почему-то антивирус ESET NOD32 не отловил скрипт. Заражение произошло через открытие письма в MS Outlook без открытия вложений. В письме была HTTP ссылка, переход по ссылке не выполнялся. В итоге все файлы .doc, .docx, .xls, .xlsx, .pdf зашифрованы, после расширения файла добавлено .vault. Есть образец файла VAULT.hta. Также скопирован файл VAULT.KEY. При проверке ПК вручную антивирус ругнулся на файл VAULT.hta, выдал сообщение, что обнаружен Win32/Filecoder.FH. Просьба помочь с расшифровкой файлов и выявлением хвостов зловреда. Возможно, подойдёт описываемая ранее в данной теме утилита ESETFilecoderNacCleaner.exe.
Сергей, добавьте образ автозапуска системы, где произошло шифрование
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2016 12:31:25
Руслан, ответил в почту
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2016 12:30:57
Нет, дешифратора нет.
Елена Севостьянова, добавьте образ автозапуска системы, возможно, остатки шифратора еще остались в системе.
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2016 06:12:12
Цитата
Алексей Кузнецов написал:
Понял каким должен быть ключ. Все что высылал до этого, не то. Прикладываю единственно возможный вариант. Выдрал хексом с диска.
да, это похоже на ключ ВАУЛТ. по крайней мере, именно такой формат ключа был в начальном варианте ВАУЛТ от 2ноября 2015г
если это действительно ключ из вашего сеанса шифрования, то значит возможна расшифровка файлов.

вот такой формат ключа был
Код
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Изменено: santy - 10.08.2016 09:30:52
[ Как создать образ автозапуска? ]
Перейти
Universal Virus Sniffer (uVS)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.05.2016 18:48:18
---------------------------------------------------------
3.87.3
---------------------------------------------------------
o Улучшен разбор командной строки cmd.exe

o Новая скриптовая команда: BP
Заблокировать запуск указанного в параметре файла по пути или маске.
Допустимо использовать переменные окружения Windows и символы ? и *.
Примеры:
%APPDATA%\*.exe
trojan*.*
c:\auto*.???

o Новый параметр fHeight
[Settings]
; Размер шрифта в редакторе скриптов
fHeight (по умолчанию 9)

o Новый параметр fWeight
[Settings]
; Вес (жирность) шрифта
fWeight (по умолчанию 300)

o Новый параметр fFaceName
[Settings]
; Имя шрифта
fFaceName (по умолчанию Tahoma)
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.05.2016 11:49:00
да, как правило такие случаи шифрования практически безнадежны, если шифратор не оставляет следов в системе о своем секретном ключе.
обратите внимание на превентивные меры, т.е. на локальные политики, которые запрещают запуск исполняемых из архивов.
на сегодня, из тех что мне известны, мертвые шифраторы: ВАУЛТ, ctblocker, Ransom.Shade (во всех своих проявлениях)
Изменено: santy - 10.08.2016 09:29:58
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 398 399 400 401 402 403 404 405 406 407 408 ... 1784 След.