Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 407 408 409 410 411 412 413 414 415 416 417 ... 1784 След.
файлы зашифрованы с расширением cripttt, filecoder.NDO
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.04.2016 13:39:50
по расшифровке файлов с расширением cripttt (Filecoder.NDO) обращайтесь в техподдержку [email protected] при наличие лицензии на антивирус ESET
Изменено: santy - 08.07.2016 06:04:54
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Продление/покупка/расширение/перенос/конвертирование лицензии, главная
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.04.2016 13:00:14
если ставил антивирус кто-то другой, то уточните у него пароль к вашей лицензии.
[ Как создать образ автозапуска? ]
Перейти
проблемы после установки/переустановки антивируса, загрузка процессора, подвисания программ, задержка открытий страниц
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.04.2016 07:09:46
No Name,
пробуйте обновить ESS до актуальной версии 9
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.04.2016 04:38:48
Teslacrypt обновился до 4.1b
http://www.bleepingcomputer.com/news/security/teslacrypt-4-1b-released-with-few-modifications/
детальная информация по теслакрипт
https://www.endgame.com/blog/your-package-has-been-successfully-encrypted-teslacrypt-41a-and-malware...
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.04.2016 12:53:48
Интересно, что только Microsoft определил в MBR на зашифрованной Petja Ransomware системе вредоносный код:

https://www.virustotal.com/ru/file/cdcc95616faee15d2eab02837a6050b0dc3790219edeaa87­fee40f805b86522a/...
Изменено: santy - 20.04.2016 12:55:05
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.04.2016 12:18:01
Дмитрий Колесников,
купите хотя бы одну лицензию Криптопревент, установите ее на одну машину. создайте (автоматически) в ней локальные политики  по ограничению запуска нежелательных исполняемых программ. Экспортируйте ключ safer в регфайл, и затем просто добавьте этот ключ в реестр на все проблемные машины.
больше будет пользы, чем регулярные настройки сознания, которые быстро сбиваются.
хотя одно другому не будет мешать, но безопасности станет больше.
Изменено: santy - 30.06.2017 11:52:14
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.04.2016 09:08:55
Евгений,
судя по логу выполнения скрипта, тело шифратора было удалено.
Цитата
--------------------------------------------------------
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
C:\PROGRAMDATA\WINDOWS\CSRSS.EXE [Не удается найти указанный файл. ]
\\?\D:\USERS\JK\DESKTOP\UVS_V387\ZOO\CSRSS.EXE.---
Не удалось скопировать файл [Не удается найти указанный файл. ]
--------------------------------------------------------
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.04.2016 05:03:29
Александр,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\SOSITION\SSTRPRSRV.EXE
addsgn 1AC4209A5583338CF42B627DA804DEC9E946303A4536D3B4494891985C5D3D6827921123415A2B0D0F888B2563D6D9BE7DDE9B7FDE9694207AFCD80BCFF58898 8 Huixin Zhao

addsgn 1A78EC9A5583338CF42BFB3A889E99702D0F0A829A714A740011B1B0DB9B61C9EA62DA64FE33144FC375B79F467C5FA4F4EF00F170DAB0A7EB29F9EC908DDC58 8 Adware.Mutabaha.1167 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\HOHOBND\GHABUK.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.HOHOSEARCH.COM/?TS=AHEQA3YKBHEPAK..&V=20160415&UID=E9BD9414EB3C24590F3CBFCE0A73A17D&PTID=...
delref {6E727987-C8EA-44DA-8749-310C0FBE3C3E}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHB...

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANE...

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHG...

delref %Sys32%\DRIVERS\QRNFD_1_10_0_8.SYS
del %Sys32%\DRIVERS\QRNFD_1_10_0_8.SYS

delref %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU
del %SystemDrive%\LAUNCHER.BAT

delref HTTP:\\WWW.HOHOSEARCH.COM\?TS=AHEQA3YKBHEPAK..&V=20160415&UID=E9BD9414EB3C24590F3CBFCE0A73A17D&PTID=OPT&MOD...
del %SystemDrive%\IEXPLORE.BAT

delref HTTP:\\SEARCH-HOP.RU
del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME.BAT

del %SystemDrive%\FIREFOX.BAT

regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.04.2016 14:48:54
новый образ не нужен,
добавьте лог выполнения скрипта.
это файл дата_времяlog.txt из папки, откуда вы запускали uVS
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.04.2016 12:19:26
Евгений,
смотрите по дате шифрования. в этом случае можно предположить что письмо было запущено сотрудником именно в этот  день, или на следующий.
такое письмо содержит вложенный архив, внутри которого содержится js
(иногда вкладывают js и без архива)
текст письма как правило акцентирует сотрудника на задолженности его компании за что -либо, которую надо срочно погасить.
Изменено: santy - 30.06.2017 11:51:14
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 407 408 409 410 411 412 413 414 415 416 417 ... 1784 След.