Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Валентин, к сожалению, в теме шифраторов приходят уже с очищенной системой, по крайней мере с удаленными шифраторами. очищать некоторые из них следуют, потому что шифраторы сидят либо в папке автозапуска, либо в задачах планировщика, и могут повторно запустить шифрование оставшихся чистых файлов.
но согласен, в этом разделе (Шифраторы) все таки приоритетна расшифровка документов, и не следует сразу удалять все подряд, все что может помочь в расшифровке.
вирлаб Есета обнаружил связь между трояном elenoocka.A и ctb locker
(рассылки по почте с Еленочкой сейчас идут очень активно!)
по Еленоочке:
Еленочка, которая идет в качестве вложения в почту, действительно - это tr.downloader, который скачивает из сети тело шифратора, устанавливает его в задачи, и запускает процесс шифрования. с таким результатам.
шифратор скачивается в %temp%, отсюда уже прописывается в задачи планировщика, и сразу запускается на исполнение.
Цитата
Полное имя C:\DOCUMENTS AND SETTINGS\%userprofile%\LOCAL SETTINGS\TEMP\SZDHNKI.EXE Имя файла SZDHNKI.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Статус ВИРУС Сигнатура ctb locker [глубина совпадения 64(64), необх. минимум 8, максимум 64]
Удовлетворяет критериям VOLTAR.JOB (ССЫЛКА ~ .JOB)(1) AND (ЗНАЧЕНИЕ ~ \TEMP\)(1) JOB.EXE.NOT DIGITAL (ССЫЛКА ~ \TASKS\)(1) AND (ИМЯ ФАЙЛА ~ .EXE)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске File_Id 548E0C0CAE000 Linker 7.0 Размер 704000 байт Создан 27.01.2015 в 12:34:44 Изменен 27.01.2015 в 12:34:44
TimeStamp 14.12.2014 в 22:15:40 EntryPoint + OS Version 5.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись проверка не производилась
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов
Доп. информация на момент обновления списка pid = 1444 NT AUTHORITY\SYSTEM CmdLine "C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\szdhnki.exe" Процесс создан 12:34:45 [2015.01.27] С момента создания 00:02:39 parentid = 1004 C:\WINDOWS\SYSTEM32\SVCHOST.EXE SHA1 85BB3D47A1ABE3F3694533D72DB91B55E15F8715 MD5 803F9C1091E5CA6DC3E9AA90172E0BF4
Ссылки на объект Ссылка C:\WINDOWS\TASKS\MBWWHVJ.JOB Значение C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\szdhnki.exe
Образы EXE и DLL SZDHNKI.EXE C:\DOCUMENTS AND SETTINGS\%userprofile%\LOCAL SETTINGS\TEMP
свежий шифратор основными игроками детектируется, так что (скорее всего) антивирусная защита действительно должна защитить, но называется у всех по разному.
по шифратору * приходит сообщение примерно такого типа:
в качестве вложения добавлен файл html в архиве, содержащий ссылку на опять же архив, но уже содержащий исполняемый файл *.exe запуск данного *.exe и приводит к шифрованию документов, в частности *protectdata@inbox
файл после запуска добавляется в папку автозагрузки, так что здесь максимальные правила CryptoPrevent вполне могли бы защитить юзера от шифрования. (последний рубеж)
Цитата
Полное имя C:\DOCUMENTS AND SETTINGS\SAFETY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\АРХИВНАЯ ДОКУМЕНТАЦИЯ О ПРИВЛЕЧЕНИИ В КАЧЕСТВЕ СВИДЕТЕЛЯ ПО ГРАЖДАНСКОМУ ДЕЛУ №573265.EXE Имя файла АРХИВНАЯ ДОКУМЕНТАЦИЯ О ПРИВЛЕЧЕНИИ В КАЧЕСТВЕ СВИДЕТЕЛЯ ПО ГРАЖДАНСКОМУ ДЕЛУ №573265.EXE Тек. статус ВИРУС в автозапуске [Запускался неявно или вручную]
Статус ВИРУС Сигнатура Win32/Filecoder.CQ [ESET-NOD32] [глубина совпадения 51(62), необх. минимум 8, максимум 64]
Сохраненная информация на момент создания образа Статус в автозапуске [Запускался неявно или вручную] File_Id 54C401F5488000 Linker 83.82 Размер 2662400 байт Создан 26.01.2015 в 22:05:52 Изменен 24.01.2015 в 22:38:26
TimeStamp 24.01.2015 в 20:35:01 EntryPoint + OS Version 4.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись проверка не производилась
Оригинальное имя Версия файла 1.0.0.0 Описание Производитель
Доп. информация на момент обновления списка SHA1 8903228D1142F5DA095C1E9598F8BE9051B43BD1 MD5 492FAFFAE05442384C8454869EF10996
Ссылки на объект Ссылка C:\DOCUMENTS AND SETTINGS\user\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА
---------------------------- кстати, обошли Криптопревент(бесплатный) с максимальными настройками
%alluserprofille%\start menu\programs\startup\*.exe есть такое правило а нужно такое %userprofille%\start menu\programs\startup\*.exe добавить же новые правила можно только в платной версии (15$)
Дмитрий Полищук написал: Если не гарантируют расшифровки даже такие Гуру с авторитетным знанием дела, то что остаётся делать?! У меня зашифрованы все фотографии детей за последние пять лет...
откопируйте зашифрованные файлы на отдельный носитель. дети вырастут - расшифруют. (шучу, не обижайтесь). криптостойкие алгоритмы шифрования для того и созданы чтобы даже гуру шифрования не смогли их расшифровать за конечное время. а пользуются их результатами, к сожалению, интеллектуальные злоумышленники и вымогатели.
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
