Размещено 15.02.2016 05:29:07
Trojan.Proxy2.102 - это по какой классификации название трояна?
mike_1, теслу тестировал на обычной машине, или на виртуальной?
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Детектирует ли Eset Nod32 банковский троянец Trojan.Proxy2.102 ?
Шифровирусы шумной толпою
Шифровирусы шумной толпою
Размещено 13.02.2016 21:25:20
A new variant of the TeslaCrypt ransomware was released that contains some minor changes. The version number is still 3.0. but the ransom notes have been renamed and the file extension for encrypted files is now [B].MP3[/B]. Unfortunately, there is still no way to decrypt this latest version of TeslaCrypt.
http://www.bleepingcomputer.com/news/security/new-teslacrypt-variant-now-uses-the-mp3-extension/
--------
[B]Decrypter for HydraCrypt and UmbreCrypt available[/B]
In Emsisoft Lab by Fabian on February 12, 2016 | English, Deutsch
[QUOTE]Our research team became aware of two new malware families being distributed via exploit kits earlier this month: HydraCrypt and UmbreCrypt. After a quick analysis it turned out that both families are closely related to the CrypBoss ransomware family whose source code leaked onto PasteBin last year. While HydraCrypt and UmbreCrypt both change some of the implementation details in the encryption scheme, the original flaw that allowed us to break CrypBoss last year allowed us to break both HydraCrypt and UmbreCrypt as well.
[/QUOTE]
http://blog.emsisoft.com/2016/02/12/decrypter-for-hydracrypt-and-umbrecrypt-available/
кому интересно, можно попробовать декриптовать файлы из вложения. последние несколько байт некорректно дешифруются,о чем предупреждает разработчик дешифратора, но в некоторых случаях это не критично, или возможно восстановить другим инструментом
http://www.bleepingcomputer.com/news/security/new-teslacrypt-variant-now-uses-the-mp3-extension/
--------
[B]Decrypter for HydraCrypt and UmbreCrypt available[/B]
In Emsisoft Lab by Fabian on February 12, 2016 | English, Deutsch
[QUOTE]Our research team became aware of two new malware families being distributed via exploit kits earlier this month: HydraCrypt and UmbreCrypt. After a quick analysis it turned out that both families are closely related to the CrypBoss ransomware family whose source code leaked onto PasteBin last year. While HydraCrypt and UmbreCrypt both change some of the implementation details in the encryption scheme, the original flaw that allowed us to break CrypBoss last year allowed us to break both HydraCrypt and UmbreCrypt as well.
[/QUOTE]
http://blog.emsisoft.com/2016/02/12/decrypter-for-hydracrypt-and-umbrecrypt-available/
кому интересно, можно попробовать декриптовать файлы из вложения. последние несколько байт некорректно дешифруются,о чем предупреждает разработчик дешифратора, но в некоторых случаях это не критично, или возможно восстановить другим инструментом
Изменено: santy - 14.02.2016 06:18:44
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
Размещено 13.02.2016 19:49:17
Вадим,
по очистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------
chklst
delvir
delref 0HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI
deltmp
delnfr
;-------------------------------------------------------------
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
по очистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------
chklst
delvir
delref 0HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI
deltmp
delnfr
;-------------------------------------------------------------
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist
Размещено 11.02.2016 10:27:16
Анастасия, Иван, Владислав,
добавьте файл заставки или скиншот экрана
+
такой файл можно добавить:
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
------------Иван, Владислав,
добавьте несколько зашифрованных файлов,
+
добавьте образ автозапуска системы
добавьте файл заставки или скиншот экрана
+
такой файл можно добавить:
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
------------Иван, Владислав,
добавьте несколько зашифрованных файлов,
+
добавьте образ автозапуска системы
Изменено: santy - 08.11.2017 05:49:49
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
Размещено 10.02.2016 18:46:57
Александр,
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------
chklst
delvir
delref %SystemDrive%\DOCUME~1\OFFICE\LOCALS~1\TEMP\RAR$EX00.125\DOCUMENT 2900975899837.EXE
delref %SystemDrive%\DOCUME~1\OFFICE\LOCALS~1\TEMP\RAR$EX00.703\DOC-0113163023EJ.EXE
; Java™ 6 Update 7
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet
deltmp
delnfr
;-------------------------------------------------------------
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------
chklst
delvir
delref %SystemDrive%\DOCUME~1\OFFICE\LOCALS~1\TEMP\RAR$EX00.125\DOCUMENT 2900975899837.EXE
delref %SystemDrive%\DOCUME~1\OFFICE\LOCALS~1\TEMP\RAR$EX00.703\DOC-0113163023EJ.EXE
; Java™ 6 Update 7
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet
deltmp
delnfr
;-------------------------------------------------------------
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
Шифровирусы шумной толпою
Размещено 10.02.2016 12:57:25
сегодня в рассылке
[CODE]Уважаемый должник!
Меня зовут Тимошинов Дмитрий Иванович
Я представитель интернет банкинга Русский Стандарт Онлайн Кредит. На Ваши паспортные данные 12.08.2015 был оформлен потребительский кредит
через наш онлайн сервис, на сумму 360 991 рублей.
На данный момент ваша задолженность не погашена!
На 10.02.2016, ваш долг составляет 385 660 рублей с учётом пени 0.5% в день.
В связи с этим, на ваше имя был составлен судебный иск!
Ознакомьтесь пожалуйста с документами:[/CODE]
ссылка на документ ведет на архив с закриптованным трояном или [B]шифратором.[/B]
*[email protected]*
[CODE]Уважаемый должник!
Меня зовут Тимошинов Дмитрий Иванович
Я представитель интернет банкинга Русский Стандарт Онлайн Кредит. На Ваши паспортные данные 12.08.2015 был оформлен потребительский кредит
через наш онлайн сервис, на сумму 360 991 рублей.
На данный момент ваша задолженность не погашена!
На 10.02.2016, ваш долг составляет 385 660 рублей с учётом пени 0.5% в день.
В связи с этим, на ваше имя был составлен судебный иск!
Ознакомьтесь пожалуйста с документами:[/CODE]
ссылка на документ ведет на архив с закриптованным трояном или [B]шифратором.[/B]
*[email protected]*
Изменено: santy - 10.02.2016 14:02:04
зашифровано с расширением id-*[email protected]*, возможно, Filecoder.DG
Размещено 10.02.2016 08:33:39
Денис Мережников,
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
зашифровано с расширением id-*[email protected]*, возможно, Filecoder.DG
Размещено 09.02.2016 16:20:45
Денис,
поищите среди удаленных этот файл
C:\USERS\20D3~1\APPDATA\LOCAL\TEMP\89\ASHBWHGOGIVNSNMLM.EXE
по очистке системы выполните:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
zoo G:\JSYJVXNM.BAT
addsgn 988C1FF2342A4C9A74D7AEB1DB5C120525013B1E0AEA1F780CA62D37A45F
zoo G:\TEMZNRJKVQ.BAT
zoo G:\LYIXNTNQDAIV.BAT
;------------------------autoscript---------------------------
chklst
delvir
delref %SystemDrive%\USERS\ДЕН\APPDATA\LOCAL\TEMP\{4BA9B26E-4670-4C21-A7CD-D10DABC21097}\{147CDBFE-A00A-43EB-9724-0A6211BFEF26}.TMP
delref %SystemDrive%\USERS\20D3~1\APPDATA\LOCAL\TEMP\89\ASHBWHGOGIV
deltmp
delnfr
;-------------------------------------------------------------
quit
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
поищите среди удаленных этот файл
C:\USERS\20D3~1\APPDATA\LOCAL\TEMP\89\ASHBWHGOGIVNSNMLM.EXE
по очистке системы выполните:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
zoo G:\JSYJVXNM.BAT
addsgn 988C1FF2342A4C9A74D7AEB1DB5C120525013B1E0AEA1F780CA62D37A45F
zoo G:\TEMZNRJKVQ.BAT
zoo G:\LYIXNTNQDAIV.BAT
;------------------------autoscript---------------------------
chklst
delvir
delref %SystemDrive%\USERS\ДЕН\APPDATA\LOCAL\TEMP\{4BA9B26E-4670-4C21-A7CD-D10DABC21097}\{147CDBFE-A00A-43EB-9724-0A6211BFEF26}.TMP
delref %SystemDrive%\USERS\20D3~1\APPDATA\LOCAL\TEMP\89\ASHBWHGOGIV
deltmp
delnfr
;-------------------------------------------------------------
quit
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
Шифровирусы шумной толпою
Размещено 08.02.2016 12:15:30
новая рассылка сегодня от якобы Росткомнадзора ([email protected])
тема:Блокировка аккаунта
"Уведoмляем вас o блoкировке вашегo аккаунта по требованию правообладателя.Письмо прилагаем."
вложение:
Уведомление о приостановке.rar
https://www.virustotal.com/ru/file/c7b07f158ac747583d7aa87264e3e37e8ff2ce7e3a1e4f92
08.02.2016 16:59:18 D:\68767687685767685976573645870896654765867753654876987465876
ESET Endpoint Suite 6.3 перехватывает обращение к серверу управления после запуска файлика на виртуальной машине
Время;Событие;Источник;Объект;Протокол;Правило/название червя;Приложение;Пользователь
08.02.2016 16:50:31;Обнаружен возможный ботнет;192.185.68.50:80;10.10.***:65074;TCP;Win32/Filecoder.DG;C:\Windows\SysWOW64\vmnat.exe;NT AUTHORITY\система
https://www.virustotal.com/ru/file/c7b07f158ac747583d7aa87264e3e37e8ff2ce7e3a1e4f92
тема:Блокировка аккаунта
"Уведoмляем вас o блoкировке вашегo аккаунта по требованию правообладателя.Письмо прилагаем."
вложение:
Уведомление о приостановке.rar
https://www.virustotal.com/ru/file/c7b07f158ac747583d7aa87264e3e37e8ff2ce7e3a1e4f92
08.02.2016 16:59:18 D:\68767687685767685976573645870896654765867753654876987465876
ESET Endpoint Suite 6.3 перехватывает обращение к серверу управления после запуска файлика на виртуальной машине
Время;Событие;Источник;Объект;Протокол;Правило/название червя;Приложение;Пользователь
08.02.2016 16:50:31;Обнаружен возможный ботнет;192.185.68.50:80;10.10.***:65074;TCP;Win32/Filecoder.DG;C:\Windows\SysWOW64\vmnat.exe;NT AUTHORITY\система
https://www.virustotal.com/ru/file/c7b07f158ac747583d7aa87264e3e37e8ff2ce7e3a1e4f92
Изменено: santy - 08.02.2016 14:07:48