santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

зашифровано с расширением *filesos*; *backyourfiles*; *[email protected]_*, Filecoder.NDE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.02.2015 16:10:55

если в вирлабе ЛК расшифровки нет для данного шифратора: Encoder.398, то обращайтесь в ДрВеб, у них есть расшифровка в техподдержке, но при этом у вас должна быть лицензия ДрВеб.
восстановить из теневой копии мы не поможем, поскольку для XP теневое копирование документов не выполняется.

[ Как создать образ автозапуска? ]

Перейти

Nod 32 всплывает окно адрес заблокирован, Помогите пожалуйста окно адрес заблокирован globalstorage1.com постоянно появляется

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.02.2015 20:21:08

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

+
добавьте логи расширений браузеров
http://forum.esetnod32.ru/forum9/topic10570/

Изменено: santy - 21.02.2015 20:22:14

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.02.2015 17:03:54

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE del %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT del %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\3299C2A0-1424110925-11B2-8000-ED82B7AB0B7E\JOSRV.EXE delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\SOFTWAREUPDATER\SUSRV.EXE delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\MICROSOFT\WINDOWS\TOOLBAR.EXE ;------------------------autoscript--------------------------- chklst delvir ; Optimizer Pro v3.2 exec C:\Program Files (x86)\Optimizer Pro\unins000.exe" /VERYSILENT ; Remote Desktop Access (VuuPC) exec C:\Users\Алексей\AppData\Roaming\VOPackage\Uninstall.exe deldirex %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\VOPACKAGE REGT 27 REGT 28 REGT 29 deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
del %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
del %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\3299C2A0-1424110925-11B2-8000-ED82B7AB0B7E\JOSRV.EXE
delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\SOFTWAREUPDATER\SUSRV.EXE
delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\MICROSOFT\WINDOWS\TOOLBAR.EXE
;------------------------autoscript---------------------------

chklst
delvir

; Optimizer Pro v3.2
exec  C:\Program Files (x86)\Optimizer Pro\unins000.exe" /VERYSILENT
; Remote Desktop Access (VuuPC)
exec  C:\Users\Алексей\AppData\Roaming\VOPackage\Uninstall.exe

deldirex %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\VOPACKAGE

REGT 27
REGT 28
REGT 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] TrojanDownloader.Stantinko.P

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.02.2015 09:31:34

хорошо,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] TrojanDownloader.Stantinko.P

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.02.2015 08:49:22

хорошо,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %Sys32%\DRIVERS\BD0001.SYS delall %Sys32%\DRIVERS\BD0002.SYS delall %Sys32%\DRIVERS\BD0003.SYS delall %Sys32%\DRIVERS\BD0004.SYS delall %Sys32%\DRIVERS\BDDEFENSE.SYS delall %Sys32%\DRIVERS\BDMNETMON.SYS delall %Sys32%\DRIVERS\BDMWRENCH_X64.SYS delall %Sys32%\DRIVERS\BDSAFEBROWSER.SYS exec32 C:\Program Files (x86)\smiles\uninstall.exe exec32 C:\Program Files (x86)\DolkaRuIePlugin\uninst.exe exec32 "C:\Program Files (x86)\Sweet Home 3D\unins000.exe" deltmp delnfr restart

Код

;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %Sys32%\DRIVERS\BD0001.SYS
delall %Sys32%\DRIVERS\BD0002.SYS
delall %Sys32%\DRIVERS\BD0003.SYS
delall %Sys32%\DRIVERS\BD0004.SYS
delall %Sys32%\DRIVERS\BDDEFENSE.SYS
delall %Sys32%\DRIVERS\BDMNETMON.SYS
delall %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
delall %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
exec32 C:\Program Files (x86)\smiles\uninstall.exe
exec32 C:\Program Files (x86)\DolkaRuIePlugin\uninst.exe
exec32 "C:\Program Files (x86)\Sweet Home 3D\unins000.exe"
deltmp
delnfr
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] TrojanDownloader.Stantinko.P

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.02.2015 07:55:54

Код
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %Sys32%\D3DADAPTER.DLL delall %Sys32%\KBDMAI.DLL delall %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\AVASTEMUPDATE.EXE sreg delref %Sys32%\DRIVERS\BD0001.SYS delref %Sys32%\DRIVERS\BD0002.SYS delref %Sys32%\DRIVERS\BDDEFENSE.SYS delref %Sys32%\DRIVERS\BDMNETMON.SYS delref %Sys32%\DRIVERS\BDMWRENCH_X64.SYS delref %Sys32%\DRIVERS\BDANTIEXP.SYS delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS ;------------------------autoscript--------------------------- chklst delvir regt 28 regt 29 ; superpromokody 1.1 exec C:\Program Files (x86)\DolkaRuIePlugin\uninst.exe deltmp delnfr areg ;-------------------------------------------------------------

Код

;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %Sys32%\D3DADAPTER.DLL
delall %Sys32%\KBDMAI.DLL
delall %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\AVASTEMUPDATE.EXE

sreg

delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BDDEFENSE.SYS
delref %Sys32%\DRIVERS\BDMNETMON.SYS
delref %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
delref %Sys32%\DRIVERS\BDANTIEXP.SYS
delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
;------------------------autoscript---------------------------

chklst
delvir

regt 28
regt 29
; superpromokody 1.1
exec  C:\Program Files (x86)\DolkaRuIePlugin\uninst.exe
deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
------------
добавьте новый образ автозапуска
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.02.2015 06:01:58

Цитата
Дмитрий Морозов написал: Не сильно они нужны, в пересылке по mail файлы не криптуются, запарка на 1-2 дня, я с ужасом прикидываю ситуацию, если бы криптограф дошел-бы до сервера и попаганил 1 С файлы... Реально задумаешься об оплате ххх баксов

Цитата

Дмитрий Морозов написал:
Не сильно они нужны, в пересылке по mail файлы не криптуются, запарка на 1-2 дня, я с ужасом прикидываю ситуацию, если бы криптограф дошел-бы до сервера и попаганил 1 С файлы... Реально задумаешься об оплате ххх баксов

реально надо задуматься о других вещах.
1. регулярное создание архивных копий всех важных файлов, документов, баз
2. настроить локальные политики безопасности таким образом, чтобы левые приложения не запускались на серверах и рабочих станциях
3. зайдите на форум Касперского и вы увидите ту же самую картину - "зачем мы платим вам за антивирус, если вы пропускаете шифраторы и потом месяцами расшифровываете документы"
4. как правило громче всех кричат об этом те, кто палец о палец не ударил, чтобы улучшить политику безопасности на своем предприятии
5. поглубже вникните в вопросы шифрования и криптологии, и вы поймете, что спецы которые занимаются разработкой алгоритмов шифрования делают все возможное для того, чтобы документы зашифрованные по их алгоритмам не были расшифрованы за разумное время.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2015 20:45:24

к сожалению восстановление документов невозможно. единственная копия документов уже с зашифрованными документами.
расшифровки по xtbl нет в вирлабах.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2015 20:33:09

дешифратора, скорее всего не будет.
по предыдущим версиям этого энкодера расшифровки нет до сих пор. (прошло уже больше чем полгода с момента выхода этого типа шифраторов).
кому сильно нужны файлы.vault, то надо идти на поклон к злодеям.

[ Как создать образ автозапуска? ]

Перейти

Давайте думать вместе.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2015 19:49:03

кстати не все зашифрованные файлы xtbl заканчиваются на =
пример:
xtbl\doc_uvs\SDlTIxdHKsJXTOk3DC7vP0Sp8-Me-ucZ+8ebt-1BYBlYgONJhxVlmA4qFzgjm517.xtbl
и размер между зашифрованным файлом и чистым не совпадает

[ Как создать образ автозапуска? ]

Перейти