Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Да Extension Fast Dial 4.12 telega default-1397054884568 Firefox 32.0.3 C:\Users\Антон\AppData\Roaming\Mozilla\Firefox\Profiles\n5jwmzw4.default-1397054884568\extensions\[email protected] Да Extension FoxTrick 0.14.0.3 FoxTrick team default-1397054884568 Firefox 32.0.3 C:\Users\Антон\AppData\Roaming\Mozilla\Firefox\Profiles\n5jwmzw4.default-1397054884568\extensions\{9d1f059c-cada-4111-9696-41a62d64e3ba} Да Extension MEGA 2.0.190 Mega Limited default-1397054884568 Firefox 32.0.3 C:\Users\Антон\AppData\Roaming\Mozilla\Firefox\Profiles\n5jwmzw4.default-1397054884568\extensions\[email protected] Да Extension Web Finder Pro 0.1 default-1397054884568 Firefox 32.0.3 C:\Users\Антон\AppData\Roaming\Mozilla\Firefox\Profiles\n5jwmzw4.default-1397054884568\extensions\{9802047e-5a84-4da3-b103-c55995d147d1}
В полку вредоносных программ, шифрующих данные и документы пользователя прибыло. Вариант, использующий называют по классификации DrWeb BAT.encoder (ESET: BAT/Filecoder.J). Существуют несколько вариантов BAT.encoder, но все они используют один и тот же механизм шифрования. На стороне пользователя создается ключевая пара: pub/sec key. В дальнейшем, sec key /secring.gpg/ сразу же шифруется открытым ключом злоумышленников. Оригинал ключа удаляется спец. утилитой с целью защиты от восстановления ключа. Шифрование данных и документов пользователя на всех найденных локальных, съемных и сетевых дисках выполняется публичным ключом /pubring.gpg/ из созданной ключевой пары. /естественно, воспроизвести создание одинаковой ключевой пары невозможно, всякий раз будет создана новая ключевая пара с уникальным отпечатком./
пример pub key:
Цитата
отпечаток: 8637 E30A 6EC3 3205 F0C6 A1E5 5B0D 504C 12B9 516A ID 12B9516A ID длин. 5B0D504C12B9516A
gpg: зашифровано 2048-битным ключом RSA, с ID A3CE7DBE, созданным 05.08.2014 "keybtc (keybtc) " gpg: сбой расшифрования: секретный ключ не найден.
File: W:\bat.encoder\[email protected]\12B9516A_A3CE7DBE\KEY.PRIVATE Time: 06.09.2014 17:26:44 (06.09.2014 10:26:44 UTC) Как защититься от бат.енкодера:
1. прежде всего, установить антивирусную защиту и регулярно обновлять базы, есть вероятность, что антивирус перехватит запуск bat энкодера, или заблокирует процесс загрузки компонентов вредоносной программы из внешней сети, с определенных URL-адресов.
2. регулярно создавать и обновлять копии ваших документов, плюс обратите внимание, что архивы rar, zip могут быть так же зашифрованы, если окажутся на вашем диске в момент работы шифратора.
4. процесс шифрования, если уже начался, будет остановлен и завершен после перезагрузки системы или аварийного завершения работы.
5. Пробуйте с помощью HIPS запретить запись в файлы pubring.gpg, secring.gpg в папке %temp% в любом случае, в данной модификации bat-encoder (если он использует GnuPG) после скачивая утилиты gpg.exe (которая может быть переименована как угодно) вначале будет пытаться создать ключевую пару в эти файлы. а затем будет шифровать ваши данные с помощью созданных ключей. Если перехватить процесс на стадии создания ключей, то шифрование не состоится. или можете положить известные вам ключи pubring.gpg, secring.gpg ------ троян, если не сможет их перезаписать, возможно будет пытаться их использовать для шифрования.
вобщем, так и выходит: защищаем в HIPS добавленные в %temp% известную пару pub/sec ключей в итоге, бат_энкодер, если пробился через черные списки и мониторинг, не сможет перезаписать, и удалить эту пару ключей, в итоге шифровать документы будет вашим pub key. соответственно, и secring.gpg из этой пары не будет удален и перезаписан.
результат:
файлы зашифрованы, но ключик то секретный у нас хранится на связке ключей. . Upd: достаточно положить и защитить pubring.gpg, а секретную часть ключа хранить в надежном месте.
RP55, достаточно криптору проверять имя файла не по расширению, а по вхождению (дополнительно) этих масок (.doc, .jpg, .pdf и другие) в имя файла и все опять накроется медным (с элементами криптографии) тазом. А без наличия этой маски (*.doc....) в наименовании файла, в голове у юзера будут постоянно возникать кризисы. не открывается, чем открыть и т.п.. Ну и самому придется писать и периодически запускать криптор_переименователь. ,
Да Extension SQ assessor panel 1.2 default Firefox 32.0.3 C:\Users\elvis\AppData\Roaming\Mozilla\Firefox\Profiles\gobqxwhn.default\extensions\[email protected] Да Extension Web Finder Pro 0.1 default Firefox 32.0.3 C:\Users\elvis\AppData\Roaming\Mozilla\Firefox\Profiles\gobqxwhn.default\extensions\{9802047e-5a84-4da3-b103-c55995d147d1}
------ пишем результат
[ Закрыто] JS/Kryptik.I троянская программа, постоянно всплывает сообщение об обнаружении вируса
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
,