santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2016 07:51:29

обратитесь в техподдержку антивируса, который установлен на зашифрованной машине.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2016 05:30:47

Александр,
добавьте образ автозапуска, по ссылке из моей подписи
+
добавьте несколько зашифрованных файлов

Изменено: santy - 22.02.2020 15:08:26

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2016 09:01:35

Роман,
так же реально, как и xtbl и breaking_bad

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус зашифровал все файлы помогите с дешифровкой., Вирус зашифровал все файлы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2016 08:08:09

Алексей,
судя по образу все чисто

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC deltmp delnfr restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2016 19:32:25

офисный документ, содержащий макросы детектируется как
https://www.virustotal.com/ru/file/b7ecc1539a1683399e3a3f671a7b74679127eb8a51bcc72227bfbb12dd7415ac/analysis/

файл шифратора.

Полное имя C:\DOCUMENTS AND SETTINGS\****\LOCAL SETTINGS\TEMP\EIASUS.EXE
Имя файла EIASUS.EXE
Тек. статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
pid = 2768 VM-XP\****
CmdLine "C:\Documents and Settings\****\Local Settings\Temp\eiasus.exe"
Процесс создан 21:40:30 [2016.02.18]
С момента создания 00:00:40
parentid = 2688 C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE11\WINWORD.EXE
SHA1 686CDFEF4458B28B5FE37EA421886FBAF2FC9DA6

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUMENTS AND SETTINGS\****\LOCAL SETTINGS\TEMP\EIASUS.EXE
------------------
шифратор после завершения шифрования самоудаляется,
и прописывает копию в автозапуск

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Locky
Locky C:\DOCUME~1\****\LOCALS~1\Temp\svchost.exe

Образы EXE и DLL
SVCHOST.EXE C:\DOCUMENTS AND SETTINGS\****\LOCAL SETTINGS\TEMP

Изменено: santy - 18.02.2016 19:45:19

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус зашифровал все файлы помогите с дешифровкой., Вирус зашифровал все файлы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2016 14:34:23

да, можно.
можно использовать winpe&uVS
http://chklst.ru/forum/discussion/61/winpeuvs

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус зашифровал все файлы помогите с дешифровкой., Вирус зашифровал все файлы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2016 12:23:20

добавьте образ автозапуска
как создать образ автозапуска, смотрите в подписи

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .locky; *.zepto; *.odin; *.OSIRIS, Locky

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2016 12:05:16

вначале надо очистить систему, поскольку судя по образу шифратор у вас в автозапуске

Цитата
Полное имя C:\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE Имя файла EIASUS.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] Удовлетворяет критериям RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)] FILE.PROTECT (SKIP) (ФАЙЛ ~ ВОЗМОЖНО ЗАЩИЩЕННЫЙ ФАЙЛ)(1) [skip (0)] Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] Процесс 32-х битный Инф. о файле Не удается найти указанный файл. Цифр. подпись Отсутствует либо ее не удалось проверить Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Файл Возможно защищенный файл Доп. информация на момент обновления списка pid = 4508 Pasha-PC\Pasha CmdLine "C:\Users\Pasha\AppData\Local\Temp\eiasus.exe" Процесс создан 10:04:41 [2016.02.18] С момента создания 02:41:31 parentid = 2132 C:\WINDOWS\EXPLORER.EXE CLOSE_WAIT 192.168.1.9:63394 <-> 195.154.241.208:80 CLOSE_WAIT 192.168.1.9:63540 <-> 46.4.239.76:80 CLOSE_WAIT 192.168.1.9:63674 <-> 85.25.149.246:80 Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-3527718930-2974141823-127104087-1000\Software\Microsoft\Windows\CurrentVersion\Run\Locky Locky C:\Users\Pasha\AppData\Local\Temp\eiasus.exe

Цитата

Полное имя C:\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE
Имя файла EIASUS.EXE
Тек. статус АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]

Удовлетворяет критериям
RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
FILE.PROTECT (SKIP) (ФАЙЛ ~ ВОЗМОЖНО ЗАЩИЩЕННЫЙ ФАЙЛ)(1) [skip (0)]

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс 32-х битный
Инф. о файле Не удается найти указанный файл.
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов
Файл Возможно защищенный файл

Доп. информация на момент обновления списка
pid = 4508 Pasha-PC\Pasha
CmdLine "C:\Users\Pasha\AppData\Local\Temp\eiasus.exe"
Процесс создан 10:04:41 [2016.02.18]
С момента создания 02:41:31
parentid = 2132 C:\WINDOWS\EXPLORER.EXE
CLOSE_WAIT 192.168.1.9:63394 <-> 195.154.241.208:80
CLOSE_WAIT 192.168.1.9:63540 <-> 46.4.239.76:80
CLOSE_WAIT 192.168.1.9:63674 <-> 85.25.149.246:80

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-3527718930-2974141823-127104087-1000\Software\Microsoft\Windows\CurrentVersion\Run\Locky
Locky C:\Users\Pasha\AppData\Local\Temp\eiasus.exe

+
вышлите вложение письма, но только добавьте его в архиве с паролем infected

по расшифровке, скорее всего решения нет. Как только будет решение по данному шифратору, напишем на форуме.
рекомендую очистить систему, сохранить зашифрованные копии документов, и продолжать работу,
но уже с большим вниманием в электронным сообщениям.

поскольку вектор атак периодически меняется.
будьте внимательны с офисными документами из вложений электронной почты, которые при открытии просят вас разрешить запуск макросов.
это крайне подозрительная просьба. предупредите сотрудников, чтобы такие документы закрывали и удаляли.

-------------
надо сказать, что в данном случае более правдоподобная легенда,
файл сразу определяется как офисный документ с макросами,
поэтому логично выглядит предупреждение, о том что необходимо разрешить запуск макросов.

Изменено: santy - 19.02.2016 09:03:59

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .locky; *.zepto; *.odin; *.OSIRIS, Locky

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2016 11:53:59

Павел,
имейте ввиду, что Locky может шифрануть еще и сетевые папки, которые не подключены как диски, в общем все шары, которые найдет в сети.

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\PASHA\DOWNLOADS\7Z922.EXE addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D4FC108506CA7A 64 Trojan.BPlug.1064 [DrWeb] zoo %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE delall %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE hide %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CC 2014\УДАЛИТЬ ADOBE PHOTOSHOP CC 2014.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAM FILES (X86)\YTDOWNLOADER\YTDOWNLOADER.EXE delref %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС deldirex %SystemDrive%\USERS\АНТОН\APPDATA\ROAMING\VOPACKAGE deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\PASHA\DOWNLOADS\7Z922.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D4FC108506CA7A 64 Trojan.BPlug.1064 [DrWeb]

zoo %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE
delall %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\TEMP\EIASUS.EXE

hide %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CC 2014\УДАЛИТЬ ADOBE PHOTOSHOP CC 2014.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\PROGRAM FILES (X86)\YTDOWNLOADER\YTDOWNLOADER.EXE

delref %SystemDrive%\USERS\PASHA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\USERS\АНТОН\APPDATA\ROAMING\VOPACKAGE

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2016 05:39:53

Виктор,
шифратора уже не в автозапуске

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL delref %SystemDrive%\USERS\САМУСЕНКОВЫ\APPDATA\LOCAL\APWORKS\DVKIT.DLL delref %SystemDrive%\USERS\САМУСЕНКОВЫ\APPDATA\LOCAL\ODICS\DVKIT.DLL del D:\BETHESDA.NET_LAUNCHER.BAT regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL

delref %SystemDrive%\USERS\САМУСЕНКОВЫ\APPDATA\LOCAL\APWORKS\DVKIT.DLL

delref %SystemDrive%\USERS\САМУСЕНКОВЫ\APPDATA\LOCAL\ODICS\DVKIT.DLL

del D:\BETHESDA.NET_LAUNCHER.BAT

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти