santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2016 14:10:52

Алексей, здесь в каждом сообщении пишу:
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2016 13:56:15

Emsisoft releases Decrypter for the LeChiffre Ransomware
(Эмсисофт выпустила дешифратор для LeChiffre Ransomware)

http://www.bleepingcomputer.com/news/security/emsisoft-releases-decrypter-for-the-lechiffre-ransomware/

В конце прошлой недели стало известно, что системы трех индийских банков и фармацевтической компании поразил вымогатель LeChiffre. Еще тогда специалисты Malwarebytes предположили, что шифровальщик – дело рук любителей. Эксперт фирмы Emsisoft Фабиан Восар (Fabian Wosar) косвенно подтвердил эту теорию, взломав шифрование LeChiffre за день.

От других шифровальщиков LeChiffre отличается тем, что заражение производится вручную. 22 января 2016 года специалисты Malwarebytes рассказали в блоге, что неизвестный злоумышленник был вынужден вручную внедриться в сети пострадавших компаний, повысить свои привилегии и получить доступ к другим машинам сети, через незащищенные порты Remote Desktop. Проникнув на компьютер жертвы, атакующий вручную инициировал скачивание LeChiffre со своего сервера, а затем запускал вредоносное приложение.

https://xakep.ru/2016/01/26/lechiffre-decrypted/

Изменено: santy - 28.01.2016 14:03:07

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2016 11:28:49

Алексей Жуков,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/BLBKDNMDCAFMFHINPMNLHHDDBEPGKEAA ;------------------------autoscript--------------------------- chklst delvir regt 27 regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/BLBKDNMDCAFMFHINPMNLHHDDBEPGKEAA
;------------------------autoscript---------------------------

chklst
delvir

regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

новый вариант VAULT от 2ноября 2015г., Filecoder.FH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2016 11:07:37

Снегирь Зимний,
по образу все чисто.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2016 11:04:02

Алексей Жуков
перезалейте или переделайте образ автозапуска. ваш файл нулевого размера.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2016 11:02:00

Цитата
Андрей Коробка написал: Понятно, значит придётся с ними договариваться

пробуйте еще в ЛК прояснить, у них бывают расшифровки по b_b

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2016 08:10:59

Андрей,
думаю, с расшифровкой b_b будут большие сложности

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2016 06:14:14

Mike Z,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\ACER\APPDATA\LOCAL\ISMSOFT\2605A794.EXE addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6B96B5F780C9FE19C9692555803E8D6634E159D212A00849FB903FD8A3DDFBB8D4056C26C2D1DAD8C7F316073 8 Win32/Boaxxe.BR [ESET-NOD32] delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL del %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\ISMSOFT\DIVLINK.DLL del %SystemDrive%\USERS\ACER\APPDATA\LOCAL\ISMSOFT\DIVLINK.DLL delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ACER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\[email protected] del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\[email protected] del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.BAT del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\BROWSERS\EXE.XOFERIF.BAT del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE deldirex %SystemDrive%\USERS\ACER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE regt 27 regt 28 regt 29 ; Pandora Service exec C:\Program Files\PANDORA.TV\PanService\unins000.exe deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ACER\APPDATA\LOCAL\ISMSOFT\2605A794.EXE
addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6B96B5F780C9FE19C9692555803E8D6634E159D212A00849FB903FD8A3DDFBB8D4056C26C2D1DAD8C7F316073 8 Win32/Boaxxe.BR [ESET-NOD32]

delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
del %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL

delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\ISMSOFT\DIVLINK.DLL
del %SystemDrive%\USERS\ACER\APPDATA\LOCAL\ISMSOFT\DIVLINK.DLL

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ACER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\[email protected]
del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\[email protected]

del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT

del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.BAT

del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\BROWSERS\EXE.XOFERIF.BAT

del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT

deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE

deldirex %SystemDrive%\USERS\ACER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE

regt 27
regt 28
regt 29
; Pandora Service
exec C:\Program Files\PANDORA.TV\PanService\unins000.exe
deltmp
delnfr

;-------------------------------------------------------------
restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2016 06:10:33

Андрей,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6B96B5F780C9FE19C9692555803E8D6634E159D212A00849FB903FD8A3DDFBB8D4056C26C2D1DAD8C7F316073 8 Win32/Boaxxe.BR [ESET-NOD32] zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\AFWDWORKS\80C015A6.EXE addsgn 925277FA0C6AC1CC0B64484EA34F9EEF008A2BE3879148F1604E5998D0278DB312D7936EE220660F6DD3EC12A03E49ADFE1CEC213D6016232D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32] zoo %SystemDrive%\PROGRAMDATA\CSRSS\CSRSS.EXE addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A1C24446148F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DE2C2212D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32] zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE addsgn 9252777A056AC1CC0BE4414EA34F6275398A79C8267248F1604E5998D0278DB312D7936EE220660F6DD3EC89BB0A49ADFE1CEC213D2480202D2127ECC35572B4 8 filecoder.ED zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\AFWDWORKS\KHVFYQSX.DLL del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\AFWDWORKS\KHVFYQSX.DLL deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6B96B5F780C9FE19C9692555803E8D6634E159D212A00849FB903FD8A3DDFBB8D4056C26C2D1DAD8C7F316073 8 Win32/Boaxxe.BR [ESET-NOD32]

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\AFWDWORKS\80C015A6.EXE
addsgn 925277FA0C6AC1CC0B64484EA34F9EEF008A2BE3879148F1604E5998D0278DB312D7936EE220660F6DD3EC12A03E49ADFE1CEC213D6016232D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\PROGRAMDATA\CSRSS\CSRSS.EXE
addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A1C24446148F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DE2C2212D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE
addsgn 9252777A056AC1CC0BE4414EA34F6275398A79C8267248F1604E5998D0278DB312D7936EE220660F6DD3EC89BB0A49ADFE1CEC213D2480202D2127ECC35572B4 8 filecoder.ED

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\AFWDWORKS\KHVFYQSX.DLL
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\AFWDWORKS\KHVFYQSX.DLL

deltmp
delnfr

;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не удаляется угроза JS/ExtenBro.Agent.BG

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2016 06:02:24

добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти