Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 405 406 407 408 409 410 411 412 413 414 415 ... 1784 След.
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.05.2016 07:35:46
похоже, новый шифратор *.enigma использует в качестве вредоносного вложения html файл, при запуске которого извлекается js скрипт. js предлагается открыть из папки "загрузки".
т.е. процесс получения сообщения в электронной почте завершается шифрованием документов, то пользователь не иначе как пребывает в состоянии гипнотического сна.

[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.05.2016 07:27:34
имею ввиду, ключ автозапуска, в который прописан был запуск исполняемого тела шифратора 3B788CD6389FAA6A3D14C17153F5CE86.EXE.
полный путь на этот файл не указан в реестре, возможно ошибка вирусописателей, по идее после перезагрузки, это тело уже не запустится,

вот этот ключ в реестре
Цитата
Полное имя                  3B788CD6389FAA6A3D14C17153F5CE86.EXE
Имя файла                   3B788CD6389FAA6A3D14C17153F5CE86.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Ссылки на объект            
Ссылка                      HKLM\mwgwfxopw\Software\Microsoft\Windows\CurrentVersion\Run­\MyProgram
MyProgram                   3b788cd6389faa6a3d14c17153f5ce86.exe
                           
------------------
вообще можно с winpe&uVS поработать, тогда  могу переписать скрипт, и выдать его вам  в виде файла.

+
судя по зашифрованным файлам - последние 16 байт одинаковы у всех файлов в каждом случае шифрования.
Изменено: santy - 05.05.2016 09:53:02
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.05.2016 07:05:58
по очистке системы выполните скрипт
(остался еще ключ шифратора в автозапуске, хотя сам файл видимо удален уже)


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNM...

delref 3B788CD6389FAA6A3D14C17153F5CE86.EXE

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected], тем более, что у вас наверняка корпоративный ESET Endpoit установлен.
Изменено: santy - 05.05.2016 07:06:29
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.05.2016 06:38:03
Цитата
Антон Власов написал:
Отправил вложение в архиве с паролем infected+
спасибо, уже посмотрел на VM, как это работает
желательно все таки проверить образ автозапуска компа, с которого был запуск скрипта.

и при наличие лицензии на антивирус ESET отправить архив с вложением в техподдержку [email protected] для анализа шифратора, и возможности расшифровки файлов.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.05.2016 06:35:06
как минимум, надо проводить работу с сотрудниками (ликбез по безопасности), чтобы не доступали таких вещей:
запускаем вложение из почты в формате html, сохраняем исполняемый файл *.js, и затем запускаем скаченный файл.

воистину, народ вообще не имеет представление о расширениях файлов, для них существует только название документа.

[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.05.2016 06:11:31
т.е. исходное вложение в сообщении было в формате html?

(по поводу детектирования шифратора как coverton, возможно здесь может быть и совпадение расширений зашифрованных файлов)
Изменено: santy - 05.05.2016 06:13:45
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.05.2016 05:33:43
Антон, судя по детектированию зашифрованного файла, расширению и записке о выкупе (в ID Ransomware) - это новый шифратор coverton
Цитата
Этот вымогатель еще пока изучается.

Изучите топик для дополнительной информации. Образцы зашифрованных и  подозрительных файлов понадобятся для дальнейшего изучения.   Опознан как
  • ransomnote_filename: enigma_encr.txt
  • sample_extension: .enigma
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.   Опознан как
  • sample_extension: .enigma
Кликните тут для подробностей о Coverton
детект исполняемого файла здесь
https://www.virustotal.com/ru/file/2ff9c98d49fa495842de6fd4e6300b756558a7dd6fbb9c0b­00d3a4875a75c686/...

если сохранилось письмо с вредоносным скриптом - перешлите в почту [email protected] с паролем infected
+
если локализован комп, на котором был запущен шифратор, добавьте образ автозапуска системы.
Изменено: santy - 05.05.2016 05:51:31
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Обнаружена угроза - hosts, Win32/Qhost троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.05.2016 05:24:34
@Dodger,
добавьте образ автозапуска системы.
как это сделать - смотрите в инструкции из подписи.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.05.2016 15:32:23
Михаил,
добавьте образ автозапуска системы, где было запущено шифрование. (возможно, шифратор  до сих пор в автозапуске)
если сохранилось в почте сообщение с вредоносным вложением,
пришлите в почту [email protected]
вложение можно добавить в архив с паролем infected
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Бета версии 10 -ого поколения продуктов ESET
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.05.2016 12:59:07
если это опция HIPS, то экспериментировать с тестами, думаю можно при отключенной  защите файловой системы, главное, чтобы HIPS был включен.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 405 406 407 408 409 410 411 412 413 414 415 ... 1784 След.