Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 430 431 432 433 434 435 436 437 438 439 440 ... 1784 След.
зашифровано с расширением id-*[email protected]*, возможно, Filecoder.DG
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.02.2016 20:05:43
Сергей,
добавьте образ автозапуска,
как сделать, смотрите в подписи.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .crime
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.02.2016 20:02:11
Юра Савин,
по образу все чисто,
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.02.2016 17:17:48
по DAUREN все чисто.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.02.2016 17:15:52
по ASSEL:

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

del %SystemDrive%\USERS\TAMARA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.{[email protected]}.XTBL

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\TAMARA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_1\ПОИСК MAIL.RU

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .crime
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.02.2016 16:05:02
Наташа,
система уже очищена от вирусных тел,
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.02.2016 07:02:15
новая рассылка VAULT, будьте внимательны

блокируем адреса:

*bit.ly/*
*is.gd/*

пока без детекта:
https://www.virustotal.com/ru/file/703294f669940df3e3103412c77514fd4153ed2e638284a0­67ea117a1ad6a04b/analysis/1456369371/

js добавлен по ссылке на документы для подготовки.doc

шифратор скорее всего запускается так:
"C:\WINDOWS\system32\rundll32.exe" C:\DOCUME~1\****\LOCALS~1\Temp\97fe0b81628.txt,run X1WAVE2



Цитата
Приветствуем вас!
Ставлю Вас в известность, что по нашей фирме возбужденно судебное производство по факту мошенничества с эмиссией ценных бумаг. Данный факт не доказан, сложившуюся ситуацию мы будем решать в суде.
В связи с тем, что наши предприятия соприкасались в работе в III-м кв. прошлого года, Ваша предприятие попадает под проверку Росфинмониторинга, и, возможно, выемку ряда документов - список в приложенном файле.
Ставим вас в известность. Спасибо за понимание.

Прикрепленных файлов (1):
1. Документы для подготовки.dоc

--
с уважением, ОАО ЕвроДизель
Изменено: santy - 25.02.2016 08:52:42
[ Как создать образ автозапуска? ]
Перейти
Есть ли вирусы?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.02.2016 21:33:14
Владимир,
из непроверенных файлов сетевая активность у этих файлов:
; Сетевая активность

АКТИВЕН    | C:\BOLID\ARM_ORION_PRO1_12\OMONITOR.EXE
АКТИВЕН    | C:\PROGRAM FILES\EWCLID 2 CLIENT\SERVERAV\SERVERAV.EXE
АКТИВЕН    | C:\BOLID\ARM_ORION_PRO1_12\SHELL.EXE
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .crime
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.02.2016 21:24:49
Евгений Кононенко,
непонятно, зачем вы продублировали старый образ автозапуска
http://forum.esetnod32.ru/messages/forum35/topic13014/message91736/#message91736
там в сообщении уже был этот образ, и соответственно по нему был добавлен ниже скрипт очистки.
+
еще раз:
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\ALTERGEO\HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE

delref %SystemDrive%\PROGRA~2\IOBIT\SURFIN~1\BROWER~1\ASCPLU~1.DLL

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNJABJMHINNDPHFNBJEHDALKPHPDMEPLI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\HEOCQEMK.DEFAULT\EXTENSIONS\[email protected]

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\HEOCQEMK.DEFAULT\EXTENSIONS\[email protected]

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\6.0.1_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.2_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NJABJMHINNDPHFNBJEHDALKPHPDMEPLI\1.0.9_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.0.9.1_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\KOMETA\APPLICATION\45.0.2454.103

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMPOJJILDDEFGNHIICJCMHBKJGBBCLOB%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\KOMETA\APPLICATION

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\KOMETA

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEDIAGET2

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
Изменено: santy - 24.02.2016 21:28:12
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .crime
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.02.2016 21:19:17
Цитата
Наташа Лепская написал:
Подскажите, пожалуйста что делать? Поймали вирус, который зашифровал все файлы на компьютере в расширение ".crime".
Наталья Лепская,
добавьте образ автозапуска системы,
(смотрите в моей подписи, как это сделать)
+
добавьте несколько зашифрованных файлов.
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.02.2016 13:34:05
CTB-Locker for Websites

CTB-Locker for Websites is a ransomware that is designed specifically to target websites, encrypt their contents, and then demand a .4 bitcoin ransom to get the decryption key.  Websites become infected by the ransomware developers hacking the site and replacing the original index.php or index.html with a new index.php.  This new index.php will then be used to encrypt the site's data using AES-256 encryption and to display a new home page that contains information on what has happened to the files and how to make a ransom payment.

CTB-Locker для веб-сайтов

CTB-Locker адаптирован для веб-сайтов, шифрует содержимое целевых веб-сайтов, а затем требуют 0,4 Bitcoin выкупа, чтобы получить ключ дешифрования. Сайты заражаются после  взлома и замены оригинальных index.php или index.html  новым index.php. Этот новый index.php будет использоваться для шифрования данных сайта с помощью AES-256 шифрование и отображать новую домашнюю страницу, которая содержит информацию о том, что произошло с файлами и как произвести оплату выкупа.

http://www.bleepingcomputer.com/news/security/ctb-locker-for-websites-reinventing-an-old-ransomware/

+
там же:

CTB-Locker for Windows is now signed with a stolen certificate

CTB-Locker для Windows, теперь подписан украденным сертификатом
Изменено: santy - 24.02.2016 13:38:01
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 430 431 432 433 434 435 436 437 438 439 440 ... 1784 След.