Размещено 15.02.2016 05:29:07
Trojan.Proxy2.102 - это по какой классификации название трояна?
mike_1, теслу тестировал на обычной машине, или на виртуальной?
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.
На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения
PRO32
— надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.
Приглашаем вас присоединиться к новому форуму PRO32.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.
Детектирует ли Eset Nod32 банковский троянец Trojan.Proxy2.102 ?
Шифровирусы шумной толпою
Шифровирусы шумной толпою
Размещено 13.02.2016 21:25:20
A new variant of the TeslaCrypt ransomware was released that contains some minor changes. The version number is still 3.0. but the ransom notes have been renamed and the file extension for encrypted files is now .MP3. Unfortunately, there is still no way to decrypt this latest version of TeslaCrypt.
--------
Decrypter for HydraCrypt and UmbreCrypt available
In Emsisoft Lab by Fabian on February 12, 2016 | English, Deutsch
кому интересно, можно попробовать декриптовать файлы из вложения. последние несколько байт некорректно дешифруются,о чем предупреждает разработчик дешифратора, но в некоторых случаях это не критично, или возможно восстановить другим инструментом
--------
Decrypter for HydraCrypt and UmbreCrypt available
In Emsisoft Lab by Fabian on February 12, 2016 | English, Deutsch
| Цитата |
|---|
| Our research team became aware of two new malware families being distributed via exploit kits earlier this month: HydraCrypt and UmbreCrypt. After a quick analysis it turned out that both families are closely related to the CrypBoss ransomware family whose source code leaked onto PasteBin last year. While HydraCrypt and UmbreCrypt both change some of the implementation details in the encryption scheme, the original flaw that allowed us to break CrypBoss last year allowed us to break both HydraCrypt and UmbreCrypt as well. |
кому интересно, можно попробовать декриптовать файлы из вложения. последние несколько байт некорректно дешифруются,о чем предупреждает разработчик дешифратора, но в некоторых случаях это не критично, или возможно восстановить другим инструментом
Изменено: santy - 14.02.2016 06:18:44
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
Размещено 13.02.2016 19:49:17
Вадим,
по очистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
по очистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref 0HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI deltmp delnfr ;------------------------------------------------------------- restart |
перезагрузка, пишем о старых и новых проблемах.
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist
Размещено 11.02.2016 10:27:16
Анастасия, Иван, Владислав,
добавьте файл заставки или скиншот экрана
+
такой файл можно добавить:
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
------------Иван, Владислав,
добавьте несколько зашифрованных файлов,
+
добавьте образ автозапуска системы
добавьте файл заставки или скиншот экрана
+
такой файл можно добавить:
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
------------Иван, Владислав,
добавьте несколько зашифрованных файлов,
+
добавьте образ автозапуска системы
Изменено: santy - 08.11.2017 05:49:49
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
Размещено 10.02.2016 18:46:57
Александр,
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
------------
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------
chklst
delvir
delref %SystemDrive%\DOCUME~1\OFFICE\LOCALS~1\TEMP\RAR$EX00.125\DOCUMENT 2900975899837.EXE
delref %SystemDrive%\DOCUME~1\OFFICE\LOCALS~1\TEMP\RAR$EX00.703\DOC-0113163023EJ.EXE
; Java(TM) 6 Update 7
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet
deltmp
delnfr
;-------------------------------------------------------------
restart
|
перезагрузка, пишем о старых и новых проблемах.
------------
Шифровирусы шумной толпою
Размещено 10.02.2016 12:57:25
сегодня в рассылке
ссылка на документ ведет на архив с закриптованным трояном или шифратором.
*[email protected]*
| Код |
|---|
Уважаемый должник! Меня зовут Тимошинов Дмитрий Иванович Я представитель интернет банкинга Русский Стандарт Онлайн Кредит. На Ваши паспортные данные 12.08.2015 был оформлен потребительский кредит через наш онлайн сервис, на сумму 360 991 рублей. На данный момент ваша задолженность не погашена! На 10.02.2016, ваш долг составляет 385 660 рублей с учётом пени 0.5% в день. В связи с этим, на ваше имя был составлен судебный иск! Ознакомьтесь пожалуйста с документами: |
ссылка на документ ведет на архив с закриптованным трояном или шифратором.
*[email protected]*
Изменено: santy - 10.02.2016 14:02:04
зашифровано с расширением id-*[email protected]*, возможно, Filecoder.DG
Размещено 10.02.2016 08:33:39
Денис Мережников,
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
зашифровано с расширением id-*[email protected]*, возможно, Filecoder.DG
Размещено 09.02.2016 16:20:45
Денис,
поищите среди удаленных этот файл
C:\USERS\20D3~1\APPDATA\LOCAL\TEMP\89\ASHBWHGOGIVNSNMLM.EXE
по очистке системы выполните:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
без перезагрузки, пишем о старых и новых проблемах.
------------
поищите среди удаленных этот файл
C:\USERS\20D3~1\APPDATA\LOCAL\TEMP\89\ASHBWHGOGIVNSNMLM.EXE
по очистке системы выполните:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
zoo G:\JSYJVXNM.BAT
addsgn 988C1FF2342A4C9A74D7AEB1DB5C120525013B1E0AEA1F780CA62D37A45F4F1ADC02B7377E5516073B09895F855049713BDB4BBE969CB0A77B7F2D3A17C56473 8 policies.0225
zoo G:\TEMZNRJKVQ.BAT
zoo G:\LYIXNTNQDAIV.BAT
;------------------------autoscript---------------------------
chklst
delvir
delref %SystemDrive%\USERS\ДЕН\APPDATA\LOCAL\TEMP\{4BA9B26E-4670-4C21-A7CD-D10DABC21097}\{147CDBFE-A00A-43EB-9724-0A6211BFEF26}.TMP
delref %SystemDrive%\USERS\20D3~1\APPDATA\LOCAL\TEMP\89\ASHBWHGOGIVNSNMLM.EXE
deltmp
delnfr
;-------------------------------------------------------------
quit
|
без перезагрузки, пишем о старых и новых проблемах.
------------
Шифровирусы шумной толпою
Размещено 08.02.2016 12:15:30
новая рассылка сегодня от якобы Росткомнадзора ([email protected])
тема:Блокировка аккаунта
"Уведoмляем вас o блoкировке вашегo аккаунта по требованию правообладателя.Письмо прилагаем."
вложение:
Уведомление о приостановке.rar
08.02.2016 16:59:18 D:\68767687685767685976573645870896654765867753654876987465876
ESET Endpoint Suite 6.3 перехватывает обращение к серверу управления после запуска файлика на виртуальной машине
Время;Событие;Источник;Объект;Протокол;Правило/название червя;Приложение;Пользователь
08.02.2016 16:50:31;Обнаружен возможный ботнет;192.185.68.50:80;10.10.***:65074;TCP;Win32/Filecoder.DG;C:\Windows\SysWOW64\vmnat.exe;NT AUTHORITY\система
тема:Блокировка аккаунта
"Уведoмляем вас o блoкировке вашегo аккаунта по требованию правообладателя.Письмо прилагаем."
вложение:
Уведомление о приостановке.rar
08.02.2016 16:59:18 D:\68767687685767685976573645870896654765867753654876987465876
ESET Endpoint Suite 6.3 перехватывает обращение к серверу управления после запуска файлика на виртуальной машине
Время;Событие;Источник;Объект;Протокол;Правило/название червя;Приложение;Пользователь
08.02.2016 16:50:31;Обнаружен возможный ботнет;192.185.68.50:80;10.10.***:65074;TCP;Win32/Filecoder.DG;C:\Windows\SysWOW64\vmnat.exe;NT AUTHORITY\система
Изменено: santy - 08.02.2016 14:07:48