santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Жалобы на работу сотрудников технической поддержки

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.11.2015 17:52:58

Илья,
бэкапов и политик + include the brain достаточно для того, чтобы не бегать по сервисам расшифровки документов, а спокойно работать.
а по понедельникам как правило никто не детектирует шифраторы из рассылок,
поэтому мы не можем избавить вас от подобных рассылок,
надо постоянно информировать своих сотрудников о рисках и не_киндер_сюрпризах, которые приходят с почтой.
это означает include the brain.
это работа для админов по безопасной работе в сети.

а то что не детектируется, сразу отправлять в [email protected] в архиве с паролем infected.

[ Как создать образ автозапуска? ]

Перейти

Тестируем HIPS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.11.2015 17:37:41

Роман,
потому что так и есть.
в HIPS сейчас есть возможность защитить папку с документами:
например: C:\DATA\*.* && все документы в этой папке защищены от удаления и изменения,
при этом надо создать второе правило, которое бы разрешило доверенным программам работать с данной папкой.

по маске, типа *.docx правила в HIPS не работает

по относительным путям через системные переменные, типа %TEMP%\*.bat тоже правила не работают.
--------------
возможно в будущем разработчики сделают такую возможность,
хотя это надо было сделать еще "вчера".

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] VAULT. что делать?, bat encoder / CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.11.2015 16:49:40

Сира,
вышлите в почту [email protected] найденный ключ secring.gpg а так же несколько зашифрованных документов
для проверки возможности расшифровки.

[ Как создать образ автозапуска? ]

Перейти

новый вариант VAULT от 2ноября 2015г., Filecoder.FH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.11.2015 11:50:07

вот реакция в песочнице Комодо на запуск исполняемого файла из js
http://camas.comodo.com/cgi-bin/submit?file=335dd30743ae9579c436adcc10e7aff6e1acebd5e139924eb73f5038c7974c1d

Цитата
• Values Created Name Type Size Value CU\Software\Microsoft\ REG_BINARY 19792 ? CU\Software\Microsoft\Windows\ REG_BINARY 4623 ? • Directories Created Name Last Write Time Creation Time Last Access Time Attr C:\WINDOWS\system32\KB911164 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 0x14 • Files Created Name Size Last Write Time Creation Time Last Access Time Attr C:\WINDOWS\system32\KB911164\acctres.dll 64512 2007.07.27 12:00:00.000 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 0x20 C:\WINDOWS\system32\KB911164\KB911164.exe 120834 2007.07.27 12:00:00.000 2007.07.27 12:00:00.000 2008.08.08 09:14:22.234 0x4 C:\WINDOWS\system32\KB911164\KB911164.lnk 1579 2007.07.27 12:00:00.000 2007.07.27 12:00:00.000 2008.08.08 09:14:22.234 0x2 • Processes Created PId Process Name Image Name 0x4b4 explorer.exe C:\WINDOWS\explorer.exe • Files Deleted Name Size Last Write Time Creation Time Last Access Time Attr C:\TEST\sample.exe 120834 2009.01.09 10:37:25.218 2009.01.09 10:36:42.187 2009.01.09 10:36:42.187 0x20

Цитата

• Values Created
Name Type Size Value
CU\Software\Microsoft\ REG_BINARY 19792 ?
CU\Software\Microsoft\Windows\ REG_BINARY 4623 ?

• Directories Created
Name Last Write Time Creation Time Last Access Time Attr
C:\WINDOWS\system32\KB911164 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 0x14

• Files Created
Name Size Last Write Time Creation Time Last Access Time Attr
C:\WINDOWS\system32\KB911164\acctres.dll 64512 2007.07.27 12:00:00.000 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 0x20
C:\WINDOWS\system32\KB911164\KB911164.exe 120834 2007.07.27 12:00:00.000 2007.07.27 12:00:00.000 2008.08.08 09:14:22.234 0x4
C:\WINDOWS\system32\KB911164\KB911164.lnk 1579 2007.07.27 12:00:00.000 2007.07.27 12:00:00.000 2008.08.08 09:14:22.234 0x2

• Processes Created
PId Process Name Image Name
0x4b4 explorer.exe C:\WINDOWS\explorer.exe

• Files Deleted
Name Size Last Write Time Creation Time Last Access Time Attr
C:\TEST\sample.exe 120834 2009.01.09 10:37:25.218 2009.01.09 10:36:42.187 2009.01.09 10:36:42.187 0x20

[ Как создать образ автозапуска? ]

Перейти

новый вариант VAULT от 2ноября 2015г., Filecoder.FH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.11.2015 11:02:14

NickM,
мы не работаем в техподдержке ВАУЛТа, чтобы разбирать детально ошибки этого шифратора,

просто выдаем рекомендации пользователям ЕСЕТ на основе опытов и наблюдений.

Изменено: santy - 10.11.2015 13:36:55

[ Как создать образ автозапуска? ]

Перейти

новый вариант VAULT от 2ноября 2015г., Filecoder.FH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.11.2015 08:59:22

Alex_Serena Alex_Serena,
напоминаем, что вирусы, архивы с вирусами с паролем infected надо отправлять в [email protected]
(сюда можно еще [email protected])
на форуме не надо постить вирусные тела.
---------
похоже на свежий ВАУЛТ.2

как вариант защиты против ВАУЛТ.2 - сделайте папку в корне диска, добавьте в нее несколько документов doc, xls и защитите файлы папки от изменения и удаления с помощью HIPS.

Изменено: santy - 10.11.2015 10:43:22

[ Как создать образ автозапуска? ]

Перейти

новый вариант VAULT от 2ноября 2015г., Filecoder.FH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.11.2015 08:52:32

Цитата
Alex_Serena Alex_Serena написал: Почему они отговаривают от переустановки ? Форматнул диск и установил заново - какие проблемы то ?

потому что проблема с расшифровкой документов не решается с помощью переустановки системы.
это должно быть очевидно.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.11.2015 17:52:16

Павел,
по восстановлению документов проверьте наличие теневых копий,
по расшифровке документов напишите в техподдержку [email protected] при наличие лицензии на антивирус ЕСЕТ

[ Как создать образ автозапуска? ]

Перейти

новый вариант VAULT от 2ноября 2015г., Filecoder.FH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.11.2015 16:25:05

Alex_Serena,
кто ищет, тот всегда найдет
http://forum.drweb.com/index.php?showforum=35

Цитата
Возможна расшифровка файлов, пострадавших от действия последней версии троянца-шифровальщика «Vault» 9 ноября 2015 года Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, пострадавших от действия опасного троянца-энкодера Trojan.Encoder.2843, известного пользователям под именем «Vault».

Цитата

Возможна расшифровка файлов, пострадавших от действия последней версии троянца-шифровальщика «Vault»

9 ноября 2015 года

Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, пострадавших от действия опасного троянца-энкодера Trojan.Encoder.2843, известного пользователям под именем «Vault».

http://news.drweb.ru/show/?i=9689&lng=ru&c=14

Изменено: santy - 09.11.2015 17:28:04

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.11.2015 12:01:24

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС deltmp delnfr zoo %SystemDrive%\USERS\USER\DESKTOP\НОВАЯ ПАПКА\HGZFUZ.EXE delall %SystemDrive%\USERS\USER\DESKTOP\НОВАЯ ПАПКА\HGZFUZ.EXE restart

Код


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
deltmp
delnfr
zoo %SystemDrive%\USERS\USER\DESKTOP\НОВАЯ ПАПКА\HGZFUZ.EXE
delall %SystemDrive%\USERS\USER\DESKTOP\НОВАЯ ПАПКА\HGZFUZ.EXE
restart

перезагрузка, пишем о старых и новых проблемах.
------------
по восстановлению документов проверьте наличие теневых копий,

по расшифровке документов напишите в техподдержку [email protected] при наличие лицензии на антивирус ЕСЕТ

[ Как создать образ автозапуска? ]

Перейти