свежий крякл установщик стали ложить в папку , а затем уже папку архивируют, чтобы обойти правила ограничения запуска из архивов. :)
+
еще один хитрый ход используют: тело вируса после запуска копируется в темп, но копируется не сразу полностью, а фрагментами добавляется в созданный файл, с целью избежать сигнатурного детекта при копировании, и только когда полностью файл шифратора собран в целевой папке, затем уже ему передается управление процессом шифрования.

1. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

2. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

тело шифратора здесь сохранилось, активного шифратора нет.

[QUOTE]Полное имя C:\DOCUMENTS AND SETTINGS\VMAIBORODA.VENDOR\LOCAL SETTINGS\TEMP\RAR$EX00.846\ПЕРЕРАСЧЕТ ПО ИТОГАМ ПЕРВОГО КВАРТАЛА 2015 ГОДА.EXE
Имя файла                   ПЕРЕРАСЧЕТ ПО ИТОГАМ ПЕРВОГО КВАРТАЛА 2015 ГОДА.EXE
Тек. статус                 ?ВИРУС? [Запускался неявно или вручную]
                           
www.virustotal.com          2015-07-29
Kaspersky                   UDS:DangerousObject.Multi.Generic
BitDefender                 Gen:Variant.Symmi.38885
DrWeb                       Trojan.Encoder.741
ESET-NOD32                  a variant of Win32/Injector.CFTE
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     55B67209C3000
Linker                      6.0
Размер                      365568 байт
Создан                      27.07.2015 в 18:20:36
Изменен                     27.07.2015 в 18:20:36
                           
TimeStamp                   27.07.2015 в 18:01:45
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            dwengine.exe
Версия файла                6.0.3.02040 (Build 8304)
Версия продукта             6.0.3.02040
Описание                    Dr.Web ® Scanning Engine
Продукт                     Dr.Web ® Anti-Virus
Copyright                   Copyright © Doctor Web, Ltd., 1992-2011
Производитель               Doctor Web, Ltd.
                           
Доп. информация             на момент обновления списка
SHA1                        2633C7BC42808ACA48C4AB9A7F33EFAA34DE7C0F
MD5                         428778683A46A5972DAA545148AC1E8B
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1971894017-3069099733-274846109-1162\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\VMAIBO~1.VEN\LOCALS~1\TEMP\RAR$EX00.846\ПЕРЕРАСЧЕТ ПО ИТОГАМ ПЕРВОГО КВАРТАЛА 2015 ГОДА.EXE
[/QUOTE]
----------
при наличие лицензии на наш  антивирус обратитесь за помощью в техническую поддержку [email protected]

рекомендую если вы используете корпоративную ESET NOD32 перейти хотя бы на 5 версию                        
+
в локальные политики добавить запрет на запуск исполняемых файлов из архивов.

Лис,
1. по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delall %SystemDrive%\DOCUME~1\9335~1\LOCALS~1\TEMP\027163~1.EXE
delall %SystemDrive%\PROGRAM FILES\АКТЫ И НАКЛАДНЫЕ.EXE
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
2. по расшифровке документов напишите в техническую поддержку [email protected] при наличие лицензии на наш антивирус.

по 9ке бета.
VAULT был пропущен (при отключенной постоянной защите), т.е. очистка в памяти ничего не смогла обнаружить вредоносного, дак по сути в памяти cmd.exe висел. легальный процесс.
и по gpg.exe который был переименован в svchost.exe так же наверняка нет сигнатуры.

а ХИПС защитил папку с документами, в других папках документы были зашифрованы.

[QUOTE]Time;Application;Operation;Target;Action;Rule;Additional information
29.07.2015 17:25:57;C:\WINDOWS\system32\cmd.exe;Get access to file;C:\doc\Правила поведения вахтеров.jpg;some access blocked;block access to folder doc;Delete file
29.07.2015 17:25:57;C:\Documents and Settings\safety\Local Settings\Temp\svchost.exe;Get access to file;C:\doc\Правила поведения вахтеров.jpg.gpg;some access blocked;block access to folder doc;Write to file
29.07.2015 17:25:56;C:\WINDOWS\system32\cmd.exe;Get access to file;C:\doc\Cовещание от 26.09.2014г.rtf;some access blocked;block access to folder doc;Delete file
29.07.2015 17:25:56;C:\Documents and Settings\safety\Local Settings\Temp\svchost.exe;Get access to file;C:\doc\Cовещание от 26.09.2014г.rtf.gpg;some access blocked;block access to folder doc;Write to file
29.07.2015 17:25:56;C:\WINDOWS\system32\cmd.exe;Get access to file;C:\doc\акт.pdf;some access blocked;block access to folder doc;Delete file
29.07.2015 17:25:56;C:\Documents and Settings\safety\Local Settings\Temp\svchost.exe;Get access to file;C:\doc\акт.pdf.gpg;some access blocked;block access to folder doc;Write to file
29.07.2015 17:25:55;C:\WINDOWS\system32\cmd.exe;Get access to file;C:\doc\32 ремонтный завод .xls;some access blocked;block access to folder doc;Delete file
29.07.2015 17:25:55;C:\Documents and Settings\safety\Local Settings\Temp\svchost.exe;Get access to file;C:\doc\32 ремонтный завод .xls.gpg;some access blocked;block access to folder doc;Write to file
29.07.2015 17:25:55;C:\WINDOWS\system32\cmd.exe;Get access to file;C:\doc\15092014 16_55_03.xls;some access blocked;block access to folder doc;Delete file
29.07.2015 17:25:55;C:\Documents and Settings\safety\Local Settings\Temp\svchost.exe;Get access to file;C:\doc\15092014 16_55_03.xls.gpg;some access blocked;block access to folder doc;Write to file[/QUOTE]

Валя,

идея была и есть правильная
(я вот, честно говоря, только сегодня до нее дошел, не думал что так просто можно было надежно защитить документы)

изначально можно юзеру предложить работать с документами исключительно в защищенной папке Документы.
т.е. в HIPS включена защита к примеру c:\users\Документы

[B]c:\users\Документы\*.*[/B]


я сегодня протестировал ее на Ендпойнт 5 и EAV 8ке с помощью шифратора Kryakl CL 1.0.0.0.
что сделал: создал эти два правила, отключил постоянную защиту и защиту интернет для чистоты эксперимента.  включен только HIPS.
запустил шифратор и контролировал его работу.
на 8ке (новой 8.0.319) сработала дополнительная защита - шифратор был очищен в памяти, т.е. здесь видимо до вмешательства правил ХИПСА не дошло.
какой механизм защиты сработал - не знаю, возможно добавлена более тщательная проверка в памяти, и не факт, что это был сигнатурный детект. вообщем не знаю.

Я предположил, что этого механизма нет в Ендпойте 5, и действительно.
там тот же шифратор (при таких же условиях: отключена постоянная защита) полностью отработал, и вывесил объявление о зашифровке и выкупе, и зашифровал незащищенные папки.
а вот защищенную папку не смог зашифровать. сработала защита HIPS

[QUOTE]01.04.2015 14:52:29 C:\Documents and Settings\safety\Local Settings\Temp\Процесс312.docx.exe Получить доступ к файлу C:\doc\Правила поведения вахтеров.jpg определенный доступ заблокирован block access to folder doc Выполнить запись в файл
01.04.2015 14:52:29 C:\Documents and Settings\safety\Local Settings\Temp\Процесс312.docx.exe Получить доступ к файлу C:\doc\Концепт uvs.txt определенный доступ заблокирован block access to folder doc Выполнить запись в файл
01.04.2015 14:52:29 C:\Documents and Settings\safety\Local Settings\Temp\Процесс312.docx.exe Получить доступ к файлу C:\doc\акт.pdf определенный доступ заблокирован block access to folder doc Выполнить запись в файл
01.04.2015 14:52:29 C:\Documents and Settings\safety\Local Settings\Temp\Процесс312.docx.exe Получить доступ к файлу C:\doc\readme.txt определенный доступ заблокирован block access to folder doc Выполнить запись в файл
01.04.2015 14:52:29 C:\Documents and Settings\safety\Local Settings\Temp\Процесс312.docx.exe Получить доступ к файлу C:\doc\keygpg.rar определенный доступ заблокирован block access to folder doc Выполнить запись в файл
01.04.2015 14:52:29 C:\Documents and Settings\safety\Local Settings\Temp\Процесс312.docx.exe Получить доступ к файлу C:\doc\inf.txt определенный доступ заблокирован block access to folder doc Выполнить запись в файл
[/QUOTE]

вообщем, поскольку у меня у менеджеров работает в основном 5-ка, то сделаю защиту сетевых дисков, где они работают с документами.
и буду ждать такой же фишки в 6 ке кропоративной.

(пока что настроил политику ограничения запуска исполняемых файлов из архивов).
----------
потестирую еще на других шифраторах и на бетке 9.

в 9ке бетке домашней (в отличие от 6ки корпоративной) тоже есть возможность добавить в ХИПС правило защиты папки.
и тоже работает очистка в памяти при отключенной постоянной защите.

привет.
смотрел настройки HIPS в восьмерке 8.0.319. вижу что есть возможность защиты папки с документами следующим способом.
1. создаем правило для папки с документами, которое
[U]запрещает[/U] удалять, и изменять файлы из данной папки для всех приложений
2. создаем второе правило, которое разрешает удалять и изменять файлы из данной папки для выбранных приложений,
например: far, explorer, total, office, xnview, acrobat reader и проч. легальный софт для работы с документами.

и все. шифратор тут ничего не сможет сделать.
-----------------
защиту папок можно сделать так же в Endpoint v 5, а вот Endpoint 6 почему то убрали защиту папок,
возможно защитить только отдельные файлы.
что это? глюк 6.1? или недоработка?

посмотрю еще в бетке 9 есть ли такая возможность.

Просьба к специалистам техподдержки надавить на разработчиков и вернуть такую возможность в Endpoint v 6

тест тест,
перешлите в почту [email protected]  письмо с вредоносной ссылкой, по которой сходили за реквизитами

[B]ZloyDi, [/B]
ESET отказался от поддержки ESETREscue (на базе Win AIK/ADK)? сколько живу, ни разу не пользовался им. хватает либо сборки под Линукс, либо Winpe&uVS

по восстановлению документов проверьте наличие чистых теневых копий.
если нужна помощь напишите id и пароль к тимвьюверу в почту