Размещено 04.03.2016 05:32:08
Microsoft Ransom:Win32/Genasom
но информации пока мало о нем.
но информации пока мало о нем.
дешифратор возможно и есть, но к дешифратору нужен еще и ключ, который вычисляется.
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
Размещено 03.03.2016 12:36:23
анализ свежего шифратора ВАУЛТ
такой вот комплект остается после шифрования
» C:\Windows\SysWOW64\mshta.exe
» C:\Users\W7_MMD\Desktop\VAULT.hta
» C:\Users\W7_MMD\AppData\Local\VirtualStore\VAULT.hta
» C:\Users\W7_MMD\AppData\Local\Temp\torrc
» C:\Users\W7_MMD\AppData\Local\Temp\tor.exe
» C:\Users\W7_MMD\AppData\Local\Temp\document_0117c8.docx
» C:\Users\W7_MMD\AppData\Local\Temp\3cc4b2b7f96.txt
» C:\Users\W7_MMD\AppData\Roaming\CONFIRMATION.KEY
» C:\Users\W7_MMD\AppData\Roaming\VAULT.hta
» C:\Users\W7_MMD\AppData\Roaming\VAULT.KEY
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\CO
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\VA
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\VA
» C:\Users\W7_MMD\AppData\Local\Temp\vlt\(ARCHIVOS TOR)
такой вот комплект остается после шифрования
» C:\Windows\SysWOW64\mshta.exe
» C:\Users\W7_MMD\Desktop\VAULT.hta
» C:\Users\W7_MMD\AppData\Local\VirtualStore\VAULT.hta
» C:\Users\W7_MMD\AppData\Local\Temp\torrc
» C:\Users\W7_MMD\AppData\Local\Temp\tor.exe
» C:\Users\W7_MMD\AppData\Local\Temp\document_0117c8.docx
» C:\Users\W7_MMD\AppData\Local\Temp\3cc4b2b7f96.txt
» C:\Users\W7_MMD\AppData\Roaming\CONFIRMATION.KEY
» C:\Users\W7_MMD\AppData\Roaming\VAULT.hta
» C:\Users\W7_MMD\AppData\Roaming\VAULT.KEY
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\CO
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\VA
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\VA
» C:\Users\W7_MMD\AppData\Local\Temp\vlt\(ARCHIVOS TOR)
Изменено: santy - 03.03.2016 13:09:42
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
Размещено 03.03.2016 10:07:06
| Цитата |
|---|
| Интересное кино получается. Антивирус NOD32 всё-таки опознал в этом файле трояна и переместил его в карантин. Так почему же он не запретил его запуск в тот момент, когда бухгалтер тыкнула по нему в письме? В чём тогда смысл антивируса, если он разрешает запускать заражённые программы? |
может быть он удалил файл после обновления баз, а на момент запуска еще не было детекта.
Тут явно не Cryptowall:
| Цитата |
|---|
| Encrypted Filenames - CryptoWall 4.0 will now encrypt the actual filename of an encrypted file as well as the data contained in it. Each encrypted file will have a unique name that looks like random characters. Examples encrypted filenames look like 27p9k967z.x1nep or 9242on6c.6la9. You can see a screenshot of what a folder looks like after being encrypted by CryptoWall 4.0 |
Изменено: santy - 03.03.2016 10:11:57
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
Размещено 02.03.2016 11:33:51
Олег,
этот файл был в автозапуске, и после перезагрузки мог выполнить дошифрование новых файлов.
%Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
на момент создания вами образа автозапуска он был уже удален.
-----------
восстановление документов имеет смысл делать только после полной очистки системы.
ок, ждем ответ вирлаба.
этот файл был в автозапуске, и после перезагрузки мог выполнить дошифрование новых файлов.
%Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
на момент создания вами образа автозапуска он был уже удален.
-----------
восстановление документов имеет смысл делать только после полной очистки системы.
ок, ждем ответ вирлаба.
Изменено: santy - 02.03.2016 11:35:14
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
Размещено 01.03.2016 20:08:23
Владимир,
судя по образу система очищена уже.
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
судя по образу система очищена уже.
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET