Размещено 17.01.2022 11:15:13
1. Добавьте, пожалуйста, в Ваше сообщение лицензионные данные на продукт ESET.
2. Для дополнительного анализа и подбора дешифратора в антивирусной лаборатории нам необходимы следующие файлы и журналы
[B]«Crypted»[/B] (добавить несколько зашифрованных и оригинальных файлов в архив, без пароля)
[SIZE=9pt]В идеале - 10 документов MS Office (.doc, .xls, .ppt формат) вместе с оригинальными версиями этих же файлов, или зашифрованные стандартные файлы Windows (например, C:\Пользователи\Общие\Изображения\Образцы изображений\пустыня.jpg), Предельный размер вложения - 5 Мб. [/SIZE]
[B]«Filecoder»[/B] (добавить тело вируса-шифратора и записку/инструкцию о выкупе в архив (*.html, *.hta, *.txt или рисунок), с паролем infected )
[SIZE=9pt]Тело шифратора может находиться во архивном вложении (или по ссылке) электронного сообщения, или в карантине антивируса. В этом случае, необходимо временно отключить защиту, найденный файл восстановить из карантина ("восстановить в") в отдельный каталог с изменением расширения: *.exe >> *.vexe; *.hta>> *.vhta; *.txt >>.vtxt.
Архивируем с помощью, например, 7-zip с шифрованием имен файлов.
http://www.7-zip.org/a/7z1510.exe - для 32 - х битных систем.
http://www.7-zip.org/a/7z1510-x64.exe - для 64 - х битных систем. [/SIZE]
[B]"ess_logs.zip"[/B] (логи из программы ESETLogCollector)
[SIZE=9pt]Скачайте утилиту ESET Log Collector по ссылке:
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol
Перед сбором лога ELC желательно, чтобы на компьютере была установлена последняя версия антивируса с действующей лицензией:
Сохраните программу на компьютер. Запустите ESET Log Collector от имени администратора (щелкните по программе правой клавишей мышки и в контекстном меню выберите "Запуск от имени администратора").
В выпадающем меню "Режим сбора журналов ESET" выберите пункт "Фильтрованный двоичный код" и нажмите кнопку Собрать. Дождитесь окончания сбора необходимых сведений, по окончанию работы программы Вы увидите сообщение «Все файлы собраны и заархивированы» По умолчанию, архив с данными сохранится в папку, откуда Вы запускали утилиту и будет иметь название "ess_logs.zip". Путь сохранения архива можно изменить, нажав кнопку "...". Пришлите данный архив к нам на анализ. Если размер файла превышает 20Мб, выложите файл на общедоступный диск, и пришлите нам ссылку на загрузку данного файла.[/SIZE]
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)
[SIZE=9pt]Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ. [/SIZE]
-------------------------------
3. Мы настоятельно рекомендуем Вам ознакомиться со следующей статьёй для уменьшения риска повторного заражения в дальнейшем:
http://www.esetnod32.ru/support/knowledge_base/solution/?IBLOCK_ID=53&SECTION_ID=1782&ELEMENT_ID=853007
2. Для дополнительного анализа и подбора дешифратора в антивирусной лаборатории нам необходимы следующие файлы и журналы
[B]«Crypted»[/B] (добавить несколько зашифрованных и оригинальных файлов в архив, без пароля)
[SIZE=9pt]В идеале - 10 документов MS Office (.doc, .xls, .ppt формат) вместе с оригинальными версиями этих же файлов, или зашифрованные стандартные файлы Windows (например, C:\Пользователи\Общие\Изображения\Образцы изображений\пустыня.jpg), Предельный размер вложения - 5 Мб. [/SIZE]
[B]«Filecoder»[/B] (добавить тело вируса-шифратора и записку/инструкцию о выкупе в архив (*.html, *.hta, *.txt или рисунок), с паролем infected )
[SIZE=9pt]Тело шифратора может находиться во архивном вложении (или по ссылке) электронного сообщения, или в карантине антивируса. В этом случае, необходимо временно отключить защиту, найденный файл восстановить из карантина ("восстановить в") в отдельный каталог с изменением расширения: *.exe >> *.vexe; *.hta>> *.vhta; *.txt >>.vtxt.
Архивируем с помощью, например, 7-zip с шифрованием имен файлов.
http://www.7-zip.org/a/7z1510.exe - для 32 - х битных систем.
http://www.7-zip.org/a/7z1510-x64.exe - для 64 - х битных систем. [/SIZE]
[B]"ess_logs.zip"[/B] (логи из программы ESETLogCollector)
[SIZE=9pt]Скачайте утилиту ESET Log Collector по ссылке:
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol
Перед сбором лога ELC желательно, чтобы на компьютере была установлена последняя версия антивируса с действующей лицензией:
Сохраните программу на компьютер. Запустите ESET Log Collector от имени администратора (щелкните по программе правой клавишей мышки и в контекстном меню выберите "Запуск от имени администратора").
В выпадающем меню "Режим сбора журналов ESET" выберите пункт "Фильтрованный двоичный код" и нажмите кнопку Собрать. Дождитесь окончания сбора необходимых сведений, по окончанию работы программы Вы увидите сообщение «Все файлы собраны и заархивированы» По умолчанию, архив с данными сохранится в папку, откуда Вы запускали утилиту и будет иметь название "ess_logs.zip". Путь сохранения архива можно изменить, нажав кнопку "...". Пришлите данный архив к нам на анализ. Если размер файла превышает 20Мб, выложите файл на общедоступный диск, и пришлите нам ссылку на загрузку данного файла.[/SIZE]
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)
[SIZE=9pt]Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ. [/SIZE]
-------------------------------
3. Мы настоятельно рекомендуем Вам ознакомиться со следующей статьёй для уменьшения риска повторного заражения в дальнейшем:
http://www.esetnod32.ru/support/knowledge_base/solution/?IBLOCK_ID=53&SECTION_ID=1782&ELEMENT_ID=853007