Размещено 04.03.2016 05:32:08
Microsoft Ransom:Win32/Genasom
но информации пока мало о нем.
но информации пока мало о нем.
дешифратор возможно и есть, но к дешифратору нужен еще и ключ, который вычисляется.
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
Размещено 03.03.2016 12:36:23
анализ свежего шифратора ВАУЛТ
такой вот комплект остается после шифрования
» C:\Windows\SysWOW64\mshta.exe
» C:\Users\W7_MMD\Desktop\VAULT.hta
» C:\Users\W7_MMD\AppData\Local\VirtualStore\VAULT.hta
» C:\Users\W7_MMD\AppData\Local\Temp\torrc
» C:\Users\W7_MMD\AppData\Local\Temp\tor.exe
» C:\Users\W7_MMD\AppData\Local\Temp\document_0117c8.docx
» C:\Users\W7_MMD\AppData\Local\Temp\3cc4b2b7f96.txt
» C:\Users\W7_MMD\AppData\Roaming\CONFIRMATION.KEY
» C:\Users\W7_MMD\AppData\Roaming\VAULT.hta
» C:\Users\W7_MMD\AppData\Roaming\VAULT.KEY
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\CO
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\VA
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\VA
» C:\Users\W7_MMD\AppData\Local\Temp\vlt\(ARCHIVOS TOR)
http://nyxbone.com/malware/russianRansom.html
такой вот комплект остается после шифрования
» C:\Windows\SysWOW64\mshta.exe
» C:\Users\W7_MMD\Desktop\VAULT.hta
» C:\Users\W7_MMD\AppData\Local\VirtualStore\VAULT.hta
» C:\Users\W7_MMD\AppData\Local\Temp\torrc
» C:\Users\W7_MMD\AppData\Local\Temp\tor.exe
» C:\Users\W7_MMD\AppData\Local\Temp\document_0117c8.docx
» C:\Users\W7_MMD\AppData\Local\Temp\3cc4b2b7f96.txt
» C:\Users\W7_MMD\AppData\Roaming\CONFIRMATION.KEY
» C:\Users\W7_MMD\AppData\Roaming\VAULT.hta
» C:\Users\W7_MMD\AppData\Roaming\VAULT.KEY
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\CO
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\VA
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\VA
» C:\Users\W7_MMD\AppData\Local\Temp\vlt\(ARCHIVOS TOR)
http://nyxbone.com/malware/russianRansom.html
Изменено: santy - 03.03.2016 13:09:42
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
Размещено 03.03.2016 10:07:06
[QUOTE]Интересное кино получается. Антивирус NOD32 всё-таки опознал в этом файле трояна и переместил его в карантин. Так почему же он не запретил его запуск в тот момент, когда бухгалтер тыкнула по нему в письме? В чём тогда смысл антивируса, если он разрешает запускать заражённые программы?[/QUOTE]
Откуда знать как эти события между собой связаны: момент когда бухгалтер открыла письмо, и момент когда антивирус что-то удалил.
может быть он удалил файл после обновления баз, а на момент запуска еще не было детекта.
Тут явно не Cryptowall:
[QUOTE]Encrypted Filenames - CryptoWall 4.0 will now encrypt the actual filename of an encrypted file as well as the data contained in it. Each encrypted file will have a unique name that looks like random characters. Examples encrypted filenames look like [B]27p9k967z.x1nep[/B] or [B]9242on6c.6la9[/B]. You can see a screenshot of what a folder looks like after being encrypted by CryptoWall 4.0[/QUOTE]
Откуда знать как эти события между собой связаны: момент когда бухгалтер открыла письмо, и момент когда антивирус что-то удалил.
может быть он удалил файл после обновления баз, а на момент запуска еще не было детекта.
Тут явно не Cryptowall:
[QUOTE]Encrypted Filenames - CryptoWall 4.0 will now encrypt the actual filename of an encrypted file as well as the data contained in it. Each encrypted file will have a unique name that looks like random characters. Examples encrypted filenames look like [B]27p9k967z.x1nep[/B] or [B]9242on6c.6la9[/B]. You can see a screenshot of what a folder looks like after being encrypted by CryptoWall 4.0[/QUOTE]
Изменено: santy - 03.03.2016 10:11:57
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
Размещено 02.03.2016 11:33:51
Олег,
этот файл был в автозапуске, и после перезагрузки мог выполнить дошифрование новых файлов.
%Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
на момент создания вами образа автозапуска он был уже удален.
-----------
[B]восстановление документов имеет смысл делать только после полной очистки системы.[/B]
ок, ждем ответ вирлаба.
этот файл был в автозапуске, и после перезагрузки мог выполнить дошифрование новых файлов.
%Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
на момент создания вами образа автозапуска он был уже удален.
-----------
[B]восстановление документов имеет смысл делать только после полной очистки системы.[/B]
ок, ждем ответ вирлаба.
Изменено: santy - 02.03.2016 11:35:14
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
Размещено 01.03.2016 20:08:23
Владимир,
судя по образу система очищена уже.
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
судя по образу система очищена уже.
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET