Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 427 428 429 430 431 432 433 434 435 436 437 ... 1784 След.
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 09:12:01
добавьте образ автозапуска системы с рабочего стола
http://forum.esetnod32.ru/forum9/topic2687/

или из под Winpe&uVS
http://chklst.ru/forum/discussion/61/winpeuvs
+
для таких бухгалтеров надо  настроить политики ограничения запуска исполняемых файлов из архивов.
Изменено: santy - 01.03.2016 09:13:22
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 08:17:16
да, вот этот файл удалите вручную
C:\USERS\МИХАИЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 06:41:24
I analysed it. The orignal location can be any folder it really depends how it was downloaded/dropped to the system. Currently it seems the majority of the spreading ways of Locky is via VBA/TrojanDownloaders and JS/TrojanDownloader.Nemucod and those downloaders downloads to %temp% folder (so you are safe with group policy). But I saw a case where Locky was executed from %windir%. I have no idea who copied it there and I didn't receive more logs from that case yet.
The best protestion against Locky is to have good firewall set to manual, because Locky needs to download RSA public key (the same as CryptoWall for example) and it is harmless without the key.

http://www.bleepingcomputer.com/forums/t/605607/locky-ransomware-support-and-help-topic/page-2#entry3945396

+
анализ Locky в блоге malwarebytes
https://blog.malwarebytes.org/intelligence/2016/03/look-into-locky/
Изменено: santy - 03.03.2016 16:56:10
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] NOD блокирует страницы, Антивирус блокирует новостные страницы яндекса
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 06:26:16
поживем, увидим.
по моей базе компов (несколько сот) пока нет ложных срабатываний в начале рабочего дня после обновления до 13106.
но у меня корпоративные продукты. 4,5 и 6 версии.
Изменено: santy - 01.03.2016 06:27:11
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] NOD блокирует страницы, Антивирус блокирует новостные страницы яндекса
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 06:02:00
судя по моим логам проблемы нет уже после 13103.
срабатывание есть по клиентам, которые еще не обновились.
Threat HTML/Refresh.BC trojan
и
Threat JS/ScrInject.B trojan
Изменено: santy - 01.03.2016 06:04:11
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 05:41:08
Оксана,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

hide %SystemDrive%\USERS\МИХАИЛ\DOWNLOADS\WINDJVIEW-2.0.2-SETUP.EXE
chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCLPDGMDKDNIJJBGMNAJOLNBNJEJOEOGM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHNGKPGDBPBKOPNDLPKICFAIFFPHDKBO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDACICECCGAPJHPNIECKNJLMMLANAEM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCNCJPGANFOCBFOENAEMAGJJOPKKINDP%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODKMEDFOMGHPHDNMMEMHKPOANGGCFBBE%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\8FEE~1\APPDATA\LOCAL\TEMP\YLAOLCKHUXZYXJMX.EXE

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке с ВАУЛТом решения нет.
вы можете сохранить важные зашифрованные файлы, в том числе и VAULT.KEY на отдельный носитель,
и написать письмо в будущее, может кто-нибудь расшифрует через время,
или  будут опубликованы приватные ключи, которые сейчас только у мошенников.
Изменено: santy - 01.03.2016 05:41:45
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.02.2016 17:39:15
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
+
жду от вас архив после выполнения скрипта
архив из каталога uVS (по формату: ZOO_****.rar/7z) отправить в почту [email protected]
если нет такого архива в папке uVS, тогда самостоятельно заархивируйте папку ZOO с паролем infected
и вышлите в почту
Изменено: santy - 29.02.2016 17:42:22
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.02.2016 16:48:01
нет, не расшифруются. это только скрипт очистки системы от вирусных тел.
по расшифровке отдельный разговор.
так просто не решается эта проблема, тем более с новым шифратором.
--------
необходимо проанализировать тело шифратора, зашифрованные файлы, определить тип шифратора,
и далее уже смотреть: есть по нему на сегодня дешифраторы или нет.
поскольку вирусописатели меняют заголовки зашифрованных файлов,
при этом возможно что алгоритм шифрования не меняется.
--------
здесь например добавили xtbl, хотя предыдущие варианты действительно xtbl совершенно иначе формируют заголовок файла.

этот вариант шифратора как минимум неделя уже в ходу.
Изменено: santy - 29.02.2016 16:54:32
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.02.2016 16:40:58
по второму образу все чисто.
скорее всего шифрануло расшаренные на сервере NTPAGE0 диски и каталоги.
шифратор запустился с Priputnikova
Изменено: santy - 29.02.2016 16:44:06
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.02.2016 16:36:55
по первому образу: Priputnikova.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 1ABE399A5583C58CF42BC4BD0CB82A472562DEBA89FA9C1D61C3F67CDBA379C9D5185697BB95E851C31A809F46D149EC7DDFE89A51DEB02CAEBF5BC677062273 8 Ransom:Win32/Genasom [Microsoft]

zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\LOCAL\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]
zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]
zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\REMOTE DESKTOP [email protected]
del %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\REMOTE DESKTOP [email protected]
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]

delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]

delref %Sys32%\NEFTPDZVCNORKO.EXE
del %Sys32%\NEFTPDZVCNORKO.EXE

deltmp
delnfr

;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

архив из каталога uVS (по формату: ZOO_****.rar/7z)  отправить в почту [email protected]
------------
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 427 428 429 430 431 432 433 434 435 436 437 ... 1784 След.