santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Автозапуск сайта smartinf.ru

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.05.2015 01:59:17

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

Блокировка определенной части веб страницы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.05.2015 20:14:37

включите контроль доступа в инет.
создайте правила, и заблокируйте определенные тематические ресурсы:
например:
брань, насилие, порнография, ненависть и другие.

[ Как создать образ автозапуска? ]

Перейти

Давайте думать вместе.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.05.2015 20:10:48

Цитата
Андрей Фидель написал: p.s Касперский, др.Веб успешно ловят заразу как trojan-ransom.win32.shade.lg, trojan.encoder 858. Нодом к сожалению не пользуюсь, ибо уж очень жучок у др.веба нравится

encoder.858 - это есть шифратор xtbl. ловить, естественно не значит расшифровать.
РАсшифровки по xtbl нет, за исключением тех, кто контактирует с мошенниками, и выкупает у них ключи для расшифровки.

[ Как создать образ автозапуска? ]

Перейти

Давайте думать вместе.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.05.2015 19:53:00

Андрей Савченко
времонте812 рекламирует себя где только может, в том числе и здесь на форумах антивирусных компаний.

Цитата
Внимание! Буквально месяц назад появился новый вирус - шифровальщик. Xtbl, vault, cbf,com . Данный вирус шифрует все файлы в формат xtbl и vault, cbf. После чего вымогатели просят через их сайт перевести деньги на Bitcoin. После оплаты ничего не происходит, дешифратора они не высылают - лохотрон. Программисты наших партнеров ООО "Ай ТИ Стандарт" разработали дешифратор к данному вирусу. Для расшифровки им понадобится VAULT.KEY, оставленный вирусом на вашем компьютере. Теперь вам не надо платить мошенникам и безрезультатно ждать в ответ дешифратора. Если файлы на вашем компьютере зашифрованы в формате xtbl, vault - смело звоните... Опасен вирус xtbl, vault еще тем, что, если в срок отведенный хакерами не вылечить вирус, он удалит все ваши файлы и "сломает" систему. Написанием дешифраторов занимаются наши партнеры ООО "АЙ ТИ Стандарт".

Цитата

Внимание! Буквально месяц назад появился новый вирус - шифровальщик. Xtbl, vault, cbf,com . Данный вирус шифрует все файлы в формат xtbl и vault, cbf. После чего вымогатели просят через их сайт перевести деньги на Bitcoin. После оплаты ничего не происходит, дешифратора они не высылают - лохотрон. Программисты наших партнеров ООО "Ай ТИ Стандарт" разработали дешифратор к данному вирусу. Для расшифровки им понадобится VAULT.KEY, оставленный вирусом на вашем компьютере. Теперь вам не надо платить мошенникам и безрезультатно ждать в ответ дешифратора. Если файлы на вашем компьютере зашифрованы в формате xtbl, vault - смело звоните...

Опасен вирус xtbl, vault еще тем, что, если в срок отведенный хакерами не вылечить вирус, он удалит все ваши файлы и "сломает" систему. Написанием дешифраторов занимаются наши партнеры ООО "АЙ ТИ Стандарт".

во первых шифровальщик bat-encoder появился не месяц, а год назад. за это время практически не было случаев расшифровки документов, за исключением случаев, когда пользователю удалось восстановить секретный ключ шифрования secring.gpg/
или выкупить ключ у злоумышленников.
----------
во вторых, ключ VAULT.key "эти специалисты" берут и банально выкупают secring.gpg (если проплатит клиент) у злоумышленников. вот и вся технология.

в третьих, дешифратор файлов написать - нет проблемы. но без ключа шифрования он бесполезен.

Изменено: santy - 08.05.2015 19:53:48

[ Как создать образ автозапуска? ]

Перейти

зашифровано в CTBlocker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.05.2015 18:39:41

Роман,
Filecoder.DA по классификации это CTBLocker
для данного типа шифратора
после завершения шифрования шифратор остается в автозапуске, поскольку прописан в заданиях tasks
так что вполне возможно, что шифратор периодически запускался по расписанию, проверял состояние документов,
и повторно выполнял шифрование свежей порции чистых документов.

заражен шифратором был, скорее всего, один из компов, у которого был доступ в папкам сервера,
(т.е. на данном компе эти папки монтировались как логический диск)
другие же компы (которые имели доступ к этой папке) никак не могли быть заражены этим шифратором,
поскольку ctblocker не имеет функционала сетевого червя,
а зашифрованные документы сами по себе (пока) безопасны для пользователей, хотя и нечитабельны.

Цитата
Полное имя C:\DOCUMENTS AND SETTINGS\\LOCAL SETTINGS\TEMP\BIEFWOI.EXE Имя файла BIEFWOI.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске Статус ВИРУС Сигнатура ctb locker [глубина совпадения 64(64), необх. минимум 8, максимум 64] Удовлетворяет критериям TASK.EXE (ССЫЛКА ~ .JOB)(1) AND (ЗНАЧЕНИЕ ~ .EXE)(1) [auto] SHIFR.STBLOCKER (ССЫЛКА ~ .JOB)(1) AND (ПОЛНОЕ ИМЯ ~ \TEMP\)(1) AND (ЗНАЧЕНИЕ ~ .EXE)(1) [delall] Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске File_Id 50898883B1000 Linker 7.0 Размер 719360 байт Создан 28.01.2015 в 22:16:00 Изменен 28.01.2015 в 22:16:00 ... Доп. информация на момент обновления списка pid = 572 NT AUTHORITY\SYSTEM CmdLine "C:\DOCUME~1\\LOCALS~1\Temp\biefwoi.exe" Процесс создан 22:16:01 [2015.01.28] С момента создания 00:01:21 parentid = 1040 SHA1 65FAB9B8BE60662644BE2373769457B156766CFB MD5 79A88FAFA063DD9F62607AC22BA3600F Ссылки на объект Ссылка C:\WINDOWS\TASKS\WADOJXK.JOB Значение C:\DOCUME~1\*\LOCALS~1\Temp\biefwoi.exe

Цитата

Полное имя C:\DOCUMENTS AND SETTINGS\*\LOCAL SETTINGS\TEMP\BIEFWOI.EXE
Имя файла BIEFWOI.EXE
Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ВИРУС
Сигнатура ctb locker [глубина совпадения 64(64), необх. минимум 8, максимум 64]

Удовлетворяет критериям
TASK.EXE (ССЫЛКА ~ .JOB)(1) AND (ЗНАЧЕНИЕ ~ .EXE)(1) [auto]
SHIFR.STBLOCKER (ССЫЛКА ~ .JOB)(1) AND (ПОЛНОЕ ИМЯ ~ \TEMP\)(1) AND (ЗНАЧЕНИЕ ~ .EXE)(1) [delall]

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 50898883B1000
Linker 7.0
Размер 719360 байт
Создан 28.01.2015 в 22:16:00
Изменен 28.01.2015 в 22:16:00
...
Доп. информация на момент обновления списка
pid = 572 NT AUTHORITY\SYSTEM
CmdLine "C:\DOCUME~1\*\LOCALS~1\Temp\biefwoi.exe"
Процесс создан 22:16:01 [2015.01.28]
С момента создания 00:01:21
parentid = 1040
SHA1 65FAB9B8BE60662644BE2373769457B156766CFB
MD5 79A88FAFA063DD9F62607AC22BA3600F

Ссылки на объект
Ссылка C:\WINDOWS\TASKS\WADOJXK.JOB
Значение C:\DOCUME~1\*\LOCALS~1\Temp\biefwoi.exe

Изменено: santy - 12.06.2016 12:05:07

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *filesos*; *backyourfiles*; *[email protected]_*, Filecoder.NDE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.05.2015 13:30:24

1. добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

2. есть есть лицензия на антивирус от компании ESET, отправьте всю информацию о заражении ваших файлов в техподдержку по адресу [email protected]

3. проверьте возможность восстановления данных из чистой теневой копии.

[ Как создать образ автозапуска? ]

Перейти

Восстанавливаем файлы, удаленные после шифратора

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.05.2015 10:32:08

Использование R-Studio, GetDataBack, EasyRecovery, Recuva
(делимся опытом восстановления данных)

http://rlab.ru/doc/r-studio_getdataback_easyrecovery_recuva.html

Изменено: santy - 08.05.2015 10:53:58

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Удаление программы стороннего загрузчика, smartinf и т.п. загрузается вперед Яндекса

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.05.2015 09:32:34

ок, ждем такого же оперативного выполнения рекомендаций.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Удаление программы стороннего загрузчика, smartinf и т.п. загрузается вперед Яндекса

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.05.2015 09:22:15

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.21 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://NILAVETS.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=269102FFD6DF900960DEB96339E07C3B deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://NILAVETS.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=269102FFD6DF900960DEB96339E07C3B

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

Здравствуйте на многих выскакивать банеры рекламмные , не родные для этих сайтов.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.05.2015 17:41:14

Код
;uVS v3.85.21 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\K6SRSCTEYDOT.EXE addsgn 988C1FEAEA2A4C9A99C1AEB1DB5C120525013B1E0F05E0870CA62D37A45F4F1ADC0297D77E5516073B0989DF3A5E49713BDB4B3E2992B0A77B7F2D3A977A6A73 8 temp zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\KW7DAQS5SJWT.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\N0CO9MOIDH0L.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\QCAFMYT9YWFB.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\VQZT9BGUJTSE.EXE hide %SystemDrive%\PROGRAM FILES\WINDJVIEW\UNINSTALL.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE ;------------------------autoscript--------------------------- chklst delvir delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\K6SRSCTEYDOT.EXE
addsgn 988C1FEAEA2A4C9A99C1AEB1DB5C120525013B1E0F05E0870CA62D37A45F4F1ADC0297D77E5516073B0989DF3A5E49713BDB4B3E2992B0A77B7F2D3A977A6A73 8 temp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\KW7DAQS5SJWT.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\N0CO9MOIDH0L.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\QCAFMYT9YWFB.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\VQZT9BGUJTSE.EXE
hide %SystemDrive%\PROGRAM FILES\WINDJVIEW\UNINSTALL.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти