Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
VT APIv3 is the preferred way to programmatically interact with VirusTotal. While older API endpoints are still available and will not be deprecated, we encourage you to migrate your workloads to this new version. It exposes far richer data in terms of: IoC relationships, sandbox dynamic analysis information, static information for files, YARA workloads management, crowdsourced detection details, etc.
[ Закрыто] Не устанавливается NOD32. Код ошибки MSI.1317
Создана новая программа вакцины от программ-вымогателей, которая завершает процессы, пытающиеся удалить теневые копии тома с помощью программы Microsoft vssadmin.exe,
Каждый день Windows будет создавать резервные копии вашей системы и файлов данных и сохранять их в моментальных снимках теневого копирования томов.
Затем эти снимки можно использовать для восстановления файлов, если они были по ошибке изменены или удалены.
Поскольку заражение программами-вымогателями не хочет, чтобы жертвы использовали эту функцию для бесплатного восстановления файлов, одно из первых действий, которые они делают при запуске, - это удаление всех копий теневых томов на компьютере.
Один из способов удаления теневых томов - использовать следующую команду vssadmin.exe:
Код
vssadmin delete shadows /all /quiet
Вакцина от программ-вымогателей Raccine
В эти выходные исследователь безопасности Флориан Рот выпустил вакцину-вымогатель Raccine, которая отслеживает удаление теневых копий тома с помощью команды vssadmin.exe.
«Мы довольно часто видим, как программы-вымогатели удаляют все теневые копии с помощью vssadmin. Что, если бы мы могли просто перехватить этот запрос и остановить процесс вызова? Давайте попробуем создать простую вакцину», - объясняет страница Raccine на GitHub.
Raccine работает путем регистрации исполняемого файла raccine.exe в качестве отладчика для vssadmin.exe с помощью раздела реестра Windows с параметрами выполнения файла образа.
После регистрации raccine.exe в качестве отладчика при каждом запуске vssadmin.exe он также запускает Raccine, который проверяет, пытается ли vssadmin удалить теневые копии.
Если он обнаруживает, что процесс использует «vssadmin delete», он автоматически завершает процесс, что обычно выполняется до того, как программа-вымогатель начнет шифрование файлов на компьютере.
Хотя этот метод предотвратит шифрование с помощью большого количества программ-вымогателей, некоторые современные семейства программ-вымогателей удаляют теневые тома с помощью других команд, перечисленных ниже.
Для этих вариантов вымогателей Raccine в настоящее время не будет блокировать вымогателей, поскольку они не используют vssadmin.exe. Поддержка этих команд может быть добавлена в будущем.
Следует также отметить, что Raccine может прекратить работу законного программного обеспечения, которое использует vssadmin.exe как часть своих процедур резервного копирования.
Рот планирует добавить в будущем возможность разрешать определенным программам обходить Raccine, чтобы они не прекращались по ошибке.
Как установить Raccine
Чтобы установить Raccine, вы можете выполнить следующие действия:
Загрузите Raccine.exe и используйте командную строку с повышенными привилегиями, чтобы скопировать его в папку C: \ Windows. raccine-reg-patch.reg и дважды щелкните его. Когда он предложит вам объединить содержимое в реестр, позвольте ему сделать это.
Raccine теперь зарегистрирован как отладчик для команды vssadmin.exe, отслеживающей попытки удаления теневых копий тома.
Если вы обнаружите, что Raccine завершает работу законных программ, которые вы используете, вы можете удалить его, запустив файл реестра raccine-reg-patch-uninstall.reg и удалив C: \ windows \ raccine.exe.
После удаления Raccine больше не будут завершаться процессы, пытающиеся удалить копии теневых томов с помощью vssadmin.exe.
UFC 3 написал: Добрый день заразились таким шифровальщиком может кто сталкивался уже
скорее всего, это Crysis, расширение harma без возможности расшифровки добавьте в архиве записки о выкупе: info.hta и FILES ENCRYPTED.txt + один из зашифрованных файлов
так же сделайте образ автозапуска зашифрованной системы,
возможно файлы шифратора сохранились в системе и еще активны
