Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 408 409 410 411 412 413 414 415 416 417 418 ... 1784 След.
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.04.2016 12:08:41
Евгений,
выполните очистку системы, тело шифратора до сих пор в автозапуске


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 1A966A9A5583348CF42B254E32A2136D011AB2F6020BF7359BC3C57B569E350E239C0509FD929C016FC28476F40849FAF620BDF9B98C3BDDEA71EC6B8506CAEC 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGFIMGICDOMB...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKBEHDIBCCC...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMF...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD...

delref %SystemDrive%\USERS\JK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GFIMGICDOMBNIJNJGPCKDJHNJMAAPAFJ\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\USERS\JK\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\JK\APPDATA\LOCAL\KOMETA\PANEL

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.04.2016 10:24:36
нет расшифровки по better_call_saul
--------
если нужна помощь в очистке системы, добавьте образ автозапуска системы
Изменено: santy - 30.06.2017 11:51:14
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.04.2016 09:47:26
Цитата
Роман написал:
Цитата
santy   написал:
Ваши документы, для работы по контракту.  
Было дело. При этом пользователю пришло на все его почтовые ящики (корпоративную, яндекс, майл и т.д.)
В письме написано "Ваши документы для работы по контракту", а внутри архива "Жалоба на погашение долга. Ознакомьтесь". Вчера пришло, ещё не детектируется.
отправил файл в техподдержку сегодня.
детекта действительно нет, ни по js, ни по свежему телу шифратора.

C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
2016-04-15 [2016-04-15 04:15:28 UTC (2 часов, 30 минут назад)]
Файл был чист на момент проверки.
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.04.2016 07:47:11
новая рассылка js во вложенных архивах. загружается шифратор better_call_saul
Цитата
Ваши документы, для работы по контракту.  
https://www.virustotal.com/ru/file/f283742059a28447dba55a74000e768668cd636417d7e08f­777a7153e99e12b0/...
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.04.2016 04:59:57
новая рассылка от
[email protected]
в архивном вложении js
Цитата
Уважаемый(ая)
 
Это уведомление  биллинг  FastVPS, сплочено с тем , что Ваш  счет номер  3421350062, созданный 07/04/2016  получил статус просроченного.
 
Если номер счета относитсяк   главной предложению (VPS компьютер,  выделенный сервер):
 
- В случае если Вы никак не собираетесь использовать это предложение -  пожалуйста, напишите нам запрос на ее отключение и подтвердите , что Вы забрали все необходимые данные.
- Если у Вас возникли сложности с оплатой -  пожалуйста, свяжитесь с нами посредством  тикет-концепцию и, (по возможности, мы  продолжим дату оплаты условно на срок до 5  суток.
- В случае если Вы хотите продлитьприменение сервера , но  нет возможности оплатить госномерне отвечаете на  номер и недоступны по контактному телефону, Ваш сервер  будет арестован вместе со всей информацией в течение  текущего дня!
Пожалуйста,  срочно свяжитесь с нами в случае  возникших  ошибок с  оплатой!
 
Ваш способ оплаты:
 
Счет: 0980707686
Сумма: 134.99EUR
Дата оплаты: 12/04/2016
 
Вы можете посмотреть данные  здесь
C уважением, FastVPS Eesti OU
Sincerely, FastVPS Eesti OU
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.04.2016 12:01:20
шифратор все еще в автозапуске

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 1AFD729A55837A8FF42B624E41D07345250103A30216E93D8DC19237A9A2541A4BE1F0173ED8EAB5D4B6EE9311FE91FF7DDF1E375DDBC42B7B9F0FD338F97BF8 8 Ransom.Shade.better_call_saul

;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref %Sys32%\DRIVERS\{55DCE8BA-9DEC-4013-937E-ADBF9317D990}GW64.SYS

delref %Sys32%\DRIVERS\{55DCE8BA-9DEC-4013-937E-ADBF9317D990}W64.SYS

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER\BIN

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJ...

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
Изменено: santy - 30.06.2017 11:51:14
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.04.2016 09:58:57
я уже написал, что интересует в первую очередь по данному шифратору. исходный файл или письмо, адрес, откуда был запущен шифратор.
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.04.2016 09:35:48
да, пока не от чего оттолкнуться.
нужен исходный файл, с которого был запущен процесс шифрования, чтобы проверить всю цепочку от начала и конца шифрования.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.04.2016 07:55:23
Кстати, по  [email protected] пробуйте обращаться в техподдержку [email protected], я расшифровал свои тестовые документы.
при наличие лицензии на продукт ESET, думаю, решение по расшифровке документов возможно.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.04.2016 07:45:55
Николай, по опыту тестирования Ransom.Shade/xtbl/b_b/b_c_s наблюдал, что шифрование действительно не сразу выполняется после запуска тела шифратора.
возможно какое то время идет обмен с сервером, и только после получения ключей запускается шифрование.
Изменено: santy - 30.06.2017 11:50:16
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 408 409 410 411 412 413 414 415 416 417 418 ... 1784 След.