Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 553 554 555 556 557 558 559 560 561 562 563 ... 1784 След.
Давайте думать вместе.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.05.2015 13:17:42
идентификатор действительно повторяется для определенного состояния системы,
но скорее всего ведется учет запусков, и для каждого запуска создается новый ключ

вот скажем для первого запуска
5E5E1BEC5BE045A020AC|0
а это уже для нового запуска
5E5E1BEC5BE045A020AC|46|2|12
Перейти
Давайте думать вместе.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.05.2015 11:14:49
по xtbl не могу сказать, повторяется ли ключ шифрования на одной и той же машине. (маловероятно, что это так.)

для VAULT ключ будет другой, при каждом новом запуске шифратора на одной и той же машине.
Перейти
Давайте думать вместе.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.05.2015 10:27:55
Андрей,
для тестирования шифраторов (а так же программ по детектированию и блокированию шифраторов) используйте виртуальные машины.
Изменено: santy - 18.05.2015 10:28:42
Перейти
ничего не понятно
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.05.2015 15:56:14
если проблема решена,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
Перейти
файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.05.2015 14:18:27
похоже, никак,
поскольку у вас Windows XP, а теневые копии создаются для документов начиная с Vista
uVS v3.85 [http://dsrt.dyndns.org]: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]
Перейти
файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.05.2015 14:04:16
образ чистый,

по восстановлению документов проверьте теневые копии дисков.

по расшифровке документов если есть лицензия на антивирус, обратитесь за помощью в [email protected]
Перейти
Давайте думать вместе.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.05.2015 10:43:01
тестируем EasySync NetArchiver

EasySync NetArchiver will log all internet traffic going in and out on the computer and store it in a local Database for a predetermined amount of days. This way if Ransomware gets through other prevention measures, you will always be able to look back the set amount of days from the current date and recover the key that it used to encrypt your files. Logs can also be helpful for figuring out information that happens on your network.

https://www.easysyncsolutions.com/products.html
Перейти
Вирус Rombertik
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.05.2015 10:28:24
ORION,
знаком с такого рода продуктами?
посмотри, можно ли их использовать для тестирования обмена шифраторов с серверами?

https://www.easysyncsolutions.com/products.html

EasySync NetArchiver will log all internet traffic going in and out on the computer and store it in a local Database for a predetermined amount of days. This way if Ransomware gets through other prevention measures, you will always be able to look back the set amount of days from the current date and recover the key that it used to encrypt your files. Logs can also be helpful for figuring out information that happens on your network.

гугл-перевод
EasySync NetArchiver будет регистрировать все интернет-трафика происходит в и из компьютера и сохранить его в локальной базе данных в течение определенного количества дней. Таким образом, если Вымогателей получает посредством других мер профилактики, вы всегда будете в состоянии оглянуться назад на определенное количество дней от текущей даты и восстановить ключ, который он используется для шифрования файлов. Журналы также могут быть полезны для выяснения информации, что происходит в вашей сети.
Перейти
файлы зашифрованы с расширением *.ecc; *.exx; *.vvv, Teslacrypt / Filecoder.EM /support: .ecc,.ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc, .vvv, .xxx, .ttt., .micro
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.05.2015 04:17:47
1. добавьте в архиве несколько зашифрованных файлов
по ссылке, или через вложение на форуме

2. если есть источник заражение: архив, зараженное сообщение или ссылка на зараженный файл,
вышлите в почту [email protected]

3. судя по расширению файлов, и по описанию - похож на вариант Cryptolocker - TeslaCrypt
http://blogs.cisco.com/security/talos/teslacrypt
https://www.virustotal.com/it/file/3372c1edab46837f1e973164fa2d726c5c5e17bcb888828c­cd7c4dfcc234a370/analysis/
http://www.bleepingcomputer.com/forums/t/568525/new-teslacrypt-ransomware-sets-its-scope-on-video-gamers/
здесь есть декодеры(декрипторы)
http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information

4. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
Изменено: santy - 17.11.2016 17:56:28
Перейти
ничего не понятно
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.05.2015 04:15:26
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-2557657324-1416424490-2854625191-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR Extension: (Jobisjob Alerts) - C:\Users\Компик\AppData\Local\Google\Chrome\User Data\Default\Extensions\plmlpbcjkpppncefeoongifnpinjmegf [2015-05-16]
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:[/CODE]
Перейти
Пред. 1 ... 553 554 555 556 557 558 559 560 561 562 563 ... 1784 След.