Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 568 569 570 571 572 573 574 575 576 577 578 ... 1784 След.
Вирус изменил названия файлов
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.04.2015 11:31:57
письмо, если содержит вложение, желательно в архиве,
или только вложение в архиве с паролем infected,
иначе антивирусы могут прибить по дороге.
[ Как создать образ автозапуска? ]
Перейти
Вирус изменил названия файлов
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.04.2015 11:03:23
доки зашифрованы этим ключом

Цитата
gpg: ключ EFE2B3A5: импортирован открытый ключ "Cellar"
gpg: Всего обработано: 1
gpg:                 импортировано: 1

- Public keyring updated. -

File: X:\active\shifr\bat.encoder.vault\47\Temp\pubring.gpg
Time: 27.04.2015 13:55:41 (27.04.2015 7:55:41 UTC)
такой еще файл поищите, возможно среди удаленных

%temp%\a5180538.fccb9d8d

VAULT.KEY зашифрован этим ключом
Цитата
gpg: зашифровано ключом RSA с ID D6B5E4AA
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\47\Temp\VAULT.KEY
Time: 27.04.2015 14:05:52 (27.04.2015 8:05:52 UTC)
---------
+
вышлите письмо, которое было открыто, и с которого началось заражение.
Изменено: santy - 27.04.2015 11:08:20
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] пропажа данных с флэшки после сканирования, Добрый день! После сканирования чужой флэшки антивирусом пропали видимые данные. При повторном сканировании антивирус сканирует пропавшие папки и говорит мне, чо всё "ОК". Как сделать папки "видимыми"? Спасибо!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.04.2015 10:23:34
здесь посмотрите
http://chklst.ru/forum/discussion/38/kak-nachat-prakticheski-ispolzovat-universal-virus-sniffer#Item_2

читаем с текста
Восстанавливаем файлы на съемном диске, скрытые после вирусной атаки.
[ Как создать образ автозапуска? ]
Перейти
Вирус изменил названия файлов
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.04.2015 10:20:31
не просто изменил название файлов, но и зашифровал их содержимое, при этом затерев оригиналы файлов.

по VAULT
1. вышлите в почту [email protected] письмо с вредоносным вложением, лучше в архиве с паролем infected
2. читаем VAULT. что делать
http://chklst.ru/forum/discussion/1481/vault-chto-delat#Item_2
3. из папки %TEMP% юзера откопируйте в архив temp с паролем infected все файлы размером от 500б до 3-4кб, которые были созданы на дату и время запуска шифратора.
архив temp так же вышлите в почту [email protected]
Изменено: santy - 27.04.2015 11:19:54
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.04.2015 09:47:54
текущие варианты защиты от шифратора VAULT (помимо резервного копирования):
1. локальные политики.
запрет на запуск исполняемых файлов
*.doc.js
*.doc*.js
*.xls.js
*.xls*.js
2. запретить перезапись, удаление файлов pubring.gpg  в %TEMP% юзера
Изменено: santy - 27.04.2015 10:04:17
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.04.2015 07:05:28
первый ключ VaultCrypt злоумышленников
gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\38\abraun\VAULT (c рабочего стола).KEY
Time: 27.04.2015 10:13:51 (27.04.2015 4:13:51 UTC)

----------
второй ключ злоумышленников появился

VaultCrypt
956D C11A 4A5D 3AA5 2E8D  0483 1DAE 0B11 81A3 F5F1
0x1DAE0B1181A3F5F1
ID ключа: 0x81A3F5F1
дата создания: 21.04.2015

Цитата
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1 - GPGshell v3.78

mI0EVTXwewEEALwrwle1wOckuOpuI2gWVONqBV1v4b3N0yvjSfkvGwdOKaU7­w7hF
K3H+2k2NbbucryAxkBYl6At921lyPg//gCXNpTC3iv4KvrFFtElDLpACrXj1­O2oC
ECS0an9H3D2TSPEZ0VyvTUHj6AlYD83yibdCaPfL0L+emsK3C21sANOTABEB­AAG0
ClZhdWx0Q3J5cHSIuAQTAQIAIgUCVTXwewIbLwYLCQgHAwIGFQgCCQoLBBYC­AwEC
HgECF4AACgkQHa4LEYGj9fEZ1wP/d4B4Q3MOEkZxUyPkLhgG42uNKLYzUTPb­kh0m
/U9OEDsp0yKWQqQtC3K7sf2xduzgx6ysOfT6eXhPo7HdBCYi1R1eBgzcWgQw­E5MM
L4X40OMcPjvAWQFzX+qgiu1yulRSAepiKW6jSe8GRzdIj63SCmz7OipKSkW7­Kk1j
NrwjZJg=
=gKhC
-----END PGP PUBLIC KEY BLOCK-----

gpg: зашифровано 1024-битным ключом RSA с ID 81A3F5F1, созданным 21.04.2015
     "VaultCrypt"
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\46\doc_vault_2015_04_22\doc\DATA\5\VAULT.KEY
Time: 27.04.2015 10:06:05 (27.04.2015 4:06:05 UTC)
Изменено: santy - 27.04.2015 07:16:03
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.04.2015 05:51:32
RP55, как у тебя проверенные, с цифровой от DrWeb попали в автоскрипт?

Код
del %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\TEMP\EE13828-F07E9F95-2DF37889-D84BA139\GAMJRP68.EXE

del %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\TEMP\EE13828-F07E9F95-2DF37889-D84BA139\ZVCRMK1HXOS.EXE

del %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\TEMP\EE13828-F07E9F95-2DF37889-D84BA139\8U0QAMNSRKAMZ.DLL

del %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\TEMP\EE13828-F07E9F95-2DF37889-D84BA139\KQE1FXJ63.EXE
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.04.2015 18:35:12
если есть возможность, поищите файлы с таким содержимым среди удаленных файлов. или вообще с помощью прямого доступа к диску.
(не знаю сколько это может занять времени)
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.04.2015 17:39:07
Денис Стрельников,
без secring.gpg расшифровка невозможна,
помочь не сможем.
в архиве secring.gpg нулевого размера. если есть возможность, поищите на диске такое содержимое в области данных.
Cellar (Cellar) <[email protected]>
или хотя бы просто Cellar
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.04.2015 17:07:00
Денис Стрельников,
когда было шифрование? сохранилось ли письмо с вредносным архивом или ссылкой?
если да, вышлите в почту [email protected] в архиве, с паролем Infected
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 568 569 570 571 572 573 574 575 576 577 578 ... 1784 След.