[B]Дарья Аверина[/B], пробуйте в uVS восстановить безопасный режим работы с помощью скрипта.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE

regt 21
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
пишем результат

добавьте образ автозапуска
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

добавьте образ автозапуска
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

[QUOTE]Igor Feren написал:
Две недели прошло, вам, я, предполагаю выслали уже сами вирусы на анализ.
Нам необходимо хоть не лекарство, а само блокирование вируса.[/QUOTE]
вышлите архив с вредоносным вложением (откуда начинается процесс шифрования), который приходит в почту на адрес [URL=mailto:[email protected]][email protected][/URL] в архиве с паролем infected

да, это скрипт очистки системы.

по расшифровке, скорее всего - нет, не помогут. да и при наличие лицензии - не факт еще что все расшифруют.

шифратор был скорее всего здесь, файл либо самоудалился после завершения шифрования, либо был удален при проверке системы.

[QUOTE]Полное имя C:\USERS\0D04~1\APPDATA\LOCAL\TEMP\HKATJND.EXE
Имя файла                   HKATJND.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
JOB.EXE.NOT DIGITAL         (ССЫЛКА ~ \TASKS\)(1)   AND   (ИМЯ ФАЙЛА ~ .EXE)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
[B]Ссылка C:\WINDOWS\SYSTEM32\TASKS\WOQHLXF[/B]
                           [/QUOTE]
имеет смысл на будущее защитить данный каталог в HIPS от записи.

для очистки системы выполните это

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\USERS\0D04~1\APPDATA\LOCAL\TEMP\HKATJND.EXE
;------------------------autoscript---------------------------

chklst
delvir

; Java™ 6 Update 20 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416020FF} /quiet
; SmilesExtensions version 2.1
exec  C:\Program Files (x86)\smwdgt\unins000.exe
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

[/CODE]перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов обращайтесь в техническую поддержку [URL=mailto:[email protected]][email protected][/URL]

здесь нужен хотя бы обзор основных шифраторов (систематизация) с указанием известных имен и классификаций, а так же вариантов и вероятностей восстановления данных.
сейчас информация разрозненна и малоинформативна.

примерно такое инфо по шифраторам:
1. наименование по нескольким классификациям: /ESET,DrWeb, Kaspersky, /
2. период появления в сети
3. используемые алгоритмы шифрования
4. типы шифруемых файлов на стороне пользователя и модификация имени исходного документа
5. установка и способ запуска в системе, пути к файлам шифратора, ассоциации файлов с данным шифратором.
(файлы необходимые к расшифровке данных злоумышленниками).
6. схема выкупа ключей дешифрования.
7. альтернативные варианты восстановления данных.

получается, что в одном случае достаточно перезагрузки системы, чтобы предотвратить процесс шифрования, в другом случае необходимо проверять автозапуск системы, поскольку шифратор может быть или в реестре автозапуска, или в задачах.

шифраторов становится все больше и больше, надо хотя бы автозапуск проверять, чтобы очистить систему и определить способ запуска шифратора, чтобы в дальнейшем блокировать запуск подобных шифраторов через HIPS.
----------
+
проверить и  пролечить систему юзера с шифратором от вредоносных программ, [B]но с учетом того что обнаруженные файлы шифраторов и файлы важные для расшифровки доков добавить в карантин и отправить в вирлаб.

****
[/B]думаю работа по шифраторам полностью провалена вирлабами. вместо того, чтобы анализировать работу шифратора в системе и создавать устойчивые правила для HIPS по предотвращению запуска типичных шифраторов, показывают пользователям "журавлика в небе" под видом возможности расшифровки того, чего нельзя в принципе расшифровать за конечное время.[B]
------------
вот кстати, в CryptoPrevent реализованы в правилах относительные пути, и маски файлов (с указанием белого списка исключений), почему это нельзя сделать в HIPS?

[IMG WIDTH=626 HEIGHT=439]http://s45.radikal.ru/i109/1501/05/dd04a9b9cd7d.jpg[/IMG]
[/B]

по шифратору ctb locker решения нет ни кого.


пробуйте следующие варианты восстановления данных.

Если ваши файлы стали зашифрованы и вы не собираетесь платить выкуп, то есть несколько способов, которыми можно попытаться восстановить ваши файлы.

Метод 1: резервное копирование
Первый и лучший способ, чтобы восстановить данные из последней резервной копии. Если вами было выполнено резервное копирование,
то вы должны использовать резервные копии для восстановления данных.

Способ 2: File Recovery Software

Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Из-за этого вы можете сможет использовать программное обеспечение для восстановления файлов, таких как R-Studio или Photorec восстановить некоторые из ваших исходных файлов.
Важно отметить, что чем больше вы используете ваш компьютер после того, как файлы зашифрованы труднее будет для программы восстановления файлов для восстановления удаленных незашифрованные файлы.

Метод 3: Shadow Volume Copies

В крайнем случае, вы можете попробовать восстановить файлы с помощью теневого тома копий. К сожалению, эта инфекция будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать это, и вы можете использовать их для восстановления файлов. Для получения более подробной информации о том, как восстановить файлы с помощью теневого тома копий, пожалуйста, перейдите по ссылке ниже:

Как восстановить файлы, зашифрованные CTB Locker, использующих теневые тома копий
[URL=http://www.bleepingcomputer.com/viru...rmation#shadow]http://www.bleepingcomputer.com/viru...rmation#shadow[/URL]
----------------
Новые варианты CTB Locker будет пытаться удалить все теневые копии при первом запуске любой исполняемый файл на компьютере после инфицирования. К счастью, инфекция не всегда в состоянии удалить теневые копии, так что вы должны продолжать пытаться восстановить свои файлы с помощью этого метода.


Method 4: Restore DropBox Folders

Если бы вы ваш аккаунт Dropbox отображается как буква диска, то вполне возможно, что его содержимое шифруется CTB Locker.
Если это так, вы можете использовать ссылку ниже, чтобы узнать, как восстановить файлы.

Как восстановить файлы, которые были зашифрованы на DropBox
[URL=http://www.bleepingcomputer.com/viru...mation#dropbox]http://www.bleepingcomputer.com/viru...mation#dropbox[/URL]

добавьте образ автозапуска системы
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

раз отлично, то второй образ пока не нужен.

выполните наши рекомендации
[URL=http://forum.esetnod32.ru/forum9/topic3998/]http://forum.esetnod32.ru/forum9/topic3998/[/URL]