ESET CONNECT

[B]для коммерческих продуктов:[/B]

ESET Endpoint Antivirus
Version Release Date Latest build Updated Status Next Status Expected EOL
7.0 16-Aug-18 7.1.2045.5 11-Apr-19 Full Support Limited Support TBA
6.6 24-Aug-17 6.6.2089.2 13-Nov-18 Full Support Limited Support TBA
6.5 14-Mar-17 6.5.2123.5 28-Nov-17 Full Support Limited Support TBA

ESET Endpoint Security
Version Release Date Latest build Updated Status Next Status Expected EOL
7.0 16-Aug-18 7.1.2045.5 11-Apr-19 Full Support Limited Support TBA
6.6 25-Feb-15 6.6.2089.2 13-Nov-18 Full Support Limited Support TBA
6.5 14-Mar-17 6.5.2123.5 28-Nov-17 Full Support Limited Support TBA

ESET File Security for Microsoft Windows Server
Version Release Date Latest build Updated Status Next Status Expected EOL
7.0 16-Aug-18 7.0.12018.0 29-Jan-19 Full Support Limited Support TBA
6.5 28-Feb-17 6.5.12018.0 28-Aug-18 Full Support Limited Support TBA
6.4 7-Sep-16 6.4.12004.0 30-Nov-16 Full Support Limited Support TBA

https://support.eset.com/kb3592/

[B]для домашних продуктов:[/B]

ESET Smart Security Premium
Version Release Date Latest Build Updated Status Next Status Expected EOL
12 23-Oct-18 12.2.23.0 18-Jul-19 Full Support Limited Support Dec 2022
11 24-Oct-17 11.2.63.0 11-Sep-18 Limited Support Basic Support Dec 2021
10 25-Oct-16 10.1.245.0 17-May-18 Basic Support End of Life Dec 2020

ESET NOD32 Antivirus
Version Release Date Latest Build Updated Status Next Status Expected EOL
12 23-Oct-18 12.2.23.0 18-Jul-19 Full Support Limited Support Dec 2022
11 24-Oct-17 11.2.63.0 11-Sep-18 Limited Support Basic Support Dec 2021
10 25-Oct-16 10.1.245.0 17-May-18 Basic Support End of Life Dec 2020

https://support.eset.com/kb3678/?segment=home

на текущий момент известные варианты[B] CrySis/Dharma[/B], которые не могут быть расшифрованы без выкупа:

[QUOTE] .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; .kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola[/QUOTE]

[SIZE=14pt]теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:
[/SIZE]
1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[URL=http://dsrt.dyndns.org/files/uvs_v410eng.zip][B]After you unpack the archive with the program uVS[/B][/URL], start the program start.exe (we call this program a starter)

Choose mode "start under the current user" if the current user is an administrator in the system

[IMG WIDTH=396 HEIGHT=496]http://s013.radikal.ru/i325/1601/59/0c8a740a1f5f.jpg[/IMG]

Wait for the boot main window of the program.

[IMG WIDTH=800 HEIGHT=453]http://s017.radikal.ru/i420/1601/3d/0d1b5248d0dd.jpg[/IMG]

You can create an image of the startup of the system in order to explore it on their own, or to transfer the image file to other researchers.

select the toolbar functions: "file" - "save OS image with checking digital signature"

specify the file name and choose a directory to save it. We are waiting for completion of the process. (5-10 minutes, maybe faster)

After completing this process, you can open an image file and continue with the way the system to use all the possibilities inherent in Uvs (signature, criteria, autoscript)

Upload a previously created image, you can also from the starter (start.exe) using the USS mode "load OS image"

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

[QUOTE].cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; 0day[/QUOTE]

[SIZE=14pt]теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:[/SIZE]

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Сразу скажу, что спасти систему и документы не получилось, пользователь переустановил систему. А спасти было возможно.

Судя по источнику угрозы - это был Petya Ransomware,

[quote]DrWeb: Trojan.Ransom.369
ESET-NOD32: Win32/Diskcoder.Petya.A
Malwarebytes: Ransom.Petya
Kaspersky: Trojan-Ransom.Win32.Petr.a
[/quote]
https://www.virustotal.com/gui/file/26b4699a7b9eeb16e76305d843d4ab05e94d43f32014369­27e13b3ebafa90739/detection

после проверки на VM, оказалось что это классический Petya Ransomware (вариант Red) загруженный из бескрайних просторов сети. С этим вариантом распрощались еще [url="https://blog.malwarebytes.com/malwarebytes-news/2017/07/bye-bye-petya-decryptor-old-versions-released/"][b]два года назад[/b][/url], в связи с тем, что автором JanusSecretary (или авторским коллективом) были сданы мастер-ключи.

[img]https://chklst.ru/uploads/editor/yn/bo7904l61rui.jpg[/img]

На сегодня есть несколько надежных методов спасти систему и документы после подобной атаки.

во первых, это инструменты [b]hack-petya[/b] от [b]leo-stone[/b], которые применимы к Petya Red:
https://github.com/leo-stone/hack-petya/releases/tag/v2.0.1

во вторых, это загрузочный диск [b]antipetya_ultimate[/b] от [b]hasherezade[/b], который так же работает для случая Red
https://github.com/hasherezade/petya_key/releases/download/0.2/antipetya_ultimate.iso

в третьих, это инструменты [url="https://github.com/hasherezade/petya_key/releases/download/0.2/petya_key_v0.2_win32.zip"][b]petya_key[/b][/url] от [b]hasherezade[/b] для получения ключа по известному уникальному идентификатору (в данном случае был [code]e7QqD1pTUSGnkqKaHce5qfTZnkNG9CdTuqkGHNyYeCQad4RBmHspgMv7Wi8w517oCMBKH66rqSTE4nfRvKCSopCteN)[/code]), который содержится на экране ввода ключа, а так же может быть извлечен из из первых 64 секторов системного диска.

Чтобы извлечь нужные 64сектора диска используем загрузочный Winpe + инструментарий [url="https://dmde.ru/download.html"]DMDE[/url]
[quote]DMDE поддерживает файловые системы NTFS/NTFS5, FAT12/16, FAT32, exFAT, Ext2/3/4, HFS+/HFSX, ReFS (Beta) и работает в Windows 98/..XP/..7/..10, Linux, macOS, DOS (консольный интерфейс).
[/quote]
для [b]hack-petya[/b] можно собрать информацию с помощью утилиты от Фабиана Восара [url="http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip"][b]PETYAEXTRACTOR.EXE[/b][/url]:
---------
для получения ключа, я использовал второй и третий методы, простой и сложный.

[i]по второму методу:[/i] можно загрузиться с antipetya_ultimate и далее, следуя подсказкам ввести необходимые команды и параметры, и автоматически получить ключ для расшифровки MFT.
[img]https://chklst.ru/uploads/editor/74/3u14thi2l043.jpg[/img]

по третьему методу: можно использовать простой путь: получить скриншот экрана, содержащего идентификатор, преобразовать изображение в plain text, выделить блок с идентификатором, [url="http://foxtools.ru/Text"][b]преобразовать в нужную кодировку[/b][/url] ANSI Win 1251(если текст с online сервиса был получен, например, в UTF-8),
далее, блок сохраняем в файл ID.txt и используем для получения ключа в petya_key:

[code]petya_key.exe ID.txt >>key.txt[/code]

[quote]Choose one of the supported variants:
r - Red Petya
g - Green Petya or Mischa
d - Goldeneye
[*] My petya is: Victim file: id.txt
[*] [+] Victim ID: e7QqD1pTUSGnkqKaHce5qfTZnkNG9CdTuqkGHNyYeCQad4RBmHspgMv7Wi8w517oCMBKH66rqSTE4nfRvKCSopCteN
---
[+] Your key : [b]GES27jh1Evud5HCs[/b][/quote]

однако, этот метод сработает, если распознание рисунка будет на 100% безошибочным. Ошибка с распознанием хотя бы одного символа приведет к ошибке с получением ключа. А визуально, найти ошибку будет непросто.

Надежнее, таки загрузиться с Winpe, скопировать с 0 по 63 секторы проблемного жесткого диска, сохранить в файл *.bin с последующим извлечением (можно использовать hex-редакторы: Winhex или xwforensics) необходимого идентификатора.

[img]https://chklst.ru/uploads/editor/b1/722308duqybd.jpg[/img]

Замечает, что после ввода правильного ключа идет процесс расшифровки.

[img]https://chklst.ru/uploads/editor/5o/1nq1c48mpt2v.jpg[/img]

Интересно, что по первому методу от[b] leo-stone[/b], ключ так же был вычислен (и успешно применен для расшифровки диска), но с некоторым отличием от метода [b]hasherezade[/b].
[code]
GxSx7xhxExux5xCx: hack-petya от leo-stone
GES27jh1Evud5HCs: petya_key от hasherezade
[/code]
остается добавить, что веб-генератор ключа, созданный leo-stone по адресам :
[b]petya-pay-no-ransom.herokuapp.com[/b] и [b]petya-pay-no-ransom-mirror1.herokuapp.com[/b]
спустя некоторое время прекратил работу, поэтому для получения ключа применяем им же созданную офлайновую утилиту hack-petya. И здесь есть некоторый нюанс. PetyaExtractor (F.Wosar) создавал файлики src.txt и nonce.txt в base64 кодировке (для веб-генератора ключа), а для офлайновой утилиты необходимо эти же данные предварительно [url="https://www.base64decode.org/"]декодировать из base64[/url].

[code]hack-petya.exe >>key.txt[/code]
результат:

Скрытый текст

G00000000  cb f0 82 97 9a 61 e2 1b  44 a2 db c8 92 96 04 82  |.....a..D.......| 00000010  00 06 80 0e 63 5a 7e 16  5e d6 5e cd 7a ce e8 ca  |....cZ~.^.^.z...| 00000020  ca f0 02 97 9a 27 e2 db  c4 a4 db c8 92 56 04 82  |.....'.......V..| 00000030  02 1c 80 4e 62 5a 7e 15  de 16 5e cb 7a cc eb ca  |...NbZ~...^.z...| 00000040  ca f0 02 97 9a 63 e2 5b  c4 a1 db c8 92 d6 04 82  |.....c.[........| 00000050  04 3e 80 ce 65 5a fe 14  5e 96 5e cd 7a cd e8 ca  |.>..eZ..^.^.z...| 00000060  c9 f0 82 98 9a 2d e2 5b  44 a2 db c8 92 96 04 82  |.....-.[D.......| 00000070  06 04 80 ce 64 5a fe 14  de 16 5e cb 7a cc eb ca  |....dZ....^.z...| 00000080  c9 f0 02 9e 9a 3f e2 9b  c4 a2 db c8 92 56 04 82  |.....?.......V..| 00000090  08 26 80 ce 62 5a fe 15  de 56 5e cb 7a cb eb ca  |.&..bZ...V^.z...| 000000a0  cc f0 02 98 9a 61 e2 1b  c4 a4 db c8 92 96 04 82  |.....a..........| 000000b0  0a 22 80 8e 64 5a fe 14  de 56 5e cb fa cc eb ca  |."..dZ...V^.....| 000000c0  cb f0 02 97 9a 61 e2 db  c4 a2 db c8 92 d6 04 82  |.....a..........| 000000d0  0c 1e 80 8e 62 5a fe 15  de 56 5e cb fa cd eb ca  |....bZ...V^.....| 000000e0  cc f0 02 9d 9a 43 e2 1b  c4 a1 db c8 92 96 04 82  |.....C..........| 000000f0  0e 38 80 ce 63 5a 7e 15  de 96 5e cb 7a cb eb ca  |.8..cZ~...^.z...| [61643 38786 24986 7138 41540 51419 38546 33284 1536 3712 23139 5758 54878 52574 52858 51944] Your key is:  [b]GxSx7xhxExux5xCx[/b]

-------------

-------------
(с), chklst.ru

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы в  вирлабе:

[QUOTE] .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer[/QUOTE]
[SIZE=14pt]
теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:[/SIZE]

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[SIZE=14pt] Microsoft предупреждает, что исправления безопасности Meltdown и Spectre несовместимы с некоторыми антивирусными продуктами.
[/SIZE]

Согласно рекомендациям Microsoft по безопасности, это обновления для системы безопасности Windows, которые устраняют недостатки Meltdown и Spectre для различных дистрибутивов Windows.

[QUOTE]Operating System Version Update KB

Windows Server, version 1709 (Server Core Installation)    4056892

Windows Server 2016                                                       4056890

Windows Server 2012 R2                                                   4056898

Windows Server 2012                                                   Not available

Windows Server 2008 R2                                                   4056897

Windows Server 2008                                                    Not available
[/QUOTE]
«Во время нашего тестирования мы обнаружили, что некоторые сторонние приложения делают неподдерживаемые вызовы в ядро ​​памяти Windows, которые вызывают ошибки остановки (также известные как ошибки bluescreen)», - заявила Microsoft в примечании о совместимости для вчерашних исправлений безопасности.

«Эти вызовы могут приводить к ошибкам остановки [...], которые не позволяют загружать устройство. Чтобы предотвратить ошибки остановки, вызванные несовместимыми антивирусными приложениями, Microsoft предлагает только обновления безопасности Windows, выпущенные 3 января 2018 года, на устройства, запущенные антивирусное программное обеспечение от партнеров, которые подтвердили свое программное обеспечение, совместимо с обновлением безопасности операционной системы Windows в январе 2018 года ».

«Если вам не было предложено обновление для системы безопасности, у вас может быть несовместимое антивирусное программное обеспечение, и вы должны следить за своим поставщиком программного обеспечения», - сказала Microsoft.

Не сообщалось о том, что вредоносные группы не используют ни Meltdown, ни Spectre в реальных атаках, поэтому Microsoft также рекомендует пользователям предоставлять антивирусным поставщикам больше времени для обновления своих продуктов.

Microsoft заявляет, что, когда производители антивирусов обновляют свой продукт для поддержки исправлений Meltdown и Spectre, им было поручено создать пользовательский раздел реестра в ОС, что позволит Windows загружать и получать исправления безопасности (если пользователь также соглашается с ним).

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-updates-to-fix-meltdown-and-spectre-cpu-flaws/

Эпидемия бат-энкодера в России бурно протекала в период с марта 2014 года по октябрь 2015 года.

Согласно дате создания приватных ключей

[IMG WIDTH=787 HEIGHT=370]https://chklst.ru/uploads/editor/94/r4sn2wio3a2x.jpg[/IMG]

мы можем условно выделить несколько периодов:

1. начиная с 01.03.2014 г. для шифрования *.unblck@gmail_com, *.uncrpt@gmail_com, *.unstyx@gmail_com использовались следующие мастер-ключи:
[CODE]P-crypt (P-crypt) <anon@anon.com>0x5C63D713/0x591A1333 создан 01.03.2014 года.
passphrase к данному мастер-ключу к сожалению неизвестна.
passphrase для сессионных ключей — "P-crypt"[/CODE]
[CODE]StyxKey (StyxKey) <unstyx@gmail.com> 0xF3E75FD0/0x01270FE6 создан 26.05.2014 года
passphrase: «HckTeam”
passphrase для сессионных ключей: «unstyx»[/CODE]
[CODE]HckTeam (HckTeam) <uncrpt@mail2tor.com>0xE578490A/0xF107EA9F создан 01.06.2014 года.
Passphrase:”HckTeam”
passphrase для сессионных ключей могут быть: «paycrypt», «unblck», «uncrpt» в зависимости от идентификатора сессионного ключа.[/CODE]
т.о. если шифрование данным шифратором происходило в период с 26.05.2014 по 28.06.2014 года, используя известные мастер-ключи StyxKey (StyxKey) и HckTeam (HckTeam) возможно расшифровать ключевой файл KEY.PRIVATE и извлечь сессионный secring.gpg, который необходим для расшифрования документов пользователя.

2. следующий период в истории bat-энкодера начинается с 28 июня 2014г, когда был создан новый ключ
[CODE]HckTeam (HckTeam) <paycrypt@gmail.com>0x3ED78E85/0xF05CF9EE[/CODE]
с этого момента шифрование документов идет с расширением *.paycrypt@gmail_com
по данному ключу нет в доступе секретной части.

05 августа 2014 г создан новый ключ
[CODE]keybtc (keybtc) <keybtc@gmail.com>0xAAB62875/0xA3CE7DBE[/CODE]
с этого момента шифрование документов идет с расширением *.keybtc@gmail_com
по данному ключу нет секретной части.

Сессионные ключи в этот период имеют идентификаторы genesis (keybtc@gmail.com) <keybtc@gmail.com> и cryptpay (cryptpay) <paycrypt@gmail.com> создаваемые без парольной фразы.

В период июль 2014 года так же параллельно шло распространение простого энкодера с шифрованием *.PZDC, *.CRYPT, *.GOOD с использованием следующих ключей:
[CODE]uncrypt <uncrypt@mail.com>0x6E697C70/0xDF907172 создан 30.06.2014года
extension: (*.pzdc, *.crypt)
passphrase: “,tpgfhjkZ”[/CODE]
[CODE]unlock <unlocker@consultant.com>0xE71BDC55/0x63D1F277 от 17.07.2014 года
extension: (*.good)
passphrase: "Jur59ETnqq"[/CODE]
3. с января 2015 года

[IMG WIDTH=788 HEIGHT=210]https://chklst.ru/uploads/editor/o3/nllvj3b5qak3.jpg[/IMG]

и по октябрь 2015 года бат-энкодер шифрует файлы пользователей с расширением *.vault

[IMG WIDTH=784 HEIGHT=276]https://chklst.ru/uploads/editor/5u/kb3vgt6p1cln.jpg[/IMG]

в этот период смена мастер-ключей происходила часто, и неизвестен ни один ключ VaultCrypt для восстановления сессионных secring.gpg из VAULT.KEY

сессионные ключи в этот период имеют идентификатор Cellar и не содержат пассфразу.

В конце декабря 2015 года энкодер из России переместился в Германию, и трижды там отметился как *.xrtn, *.trun, *.xort. Во всех трех случаях был использован ключ kkkkk <k@k.kk> (от 15.04.2015г)

[IMG WIDTH=830 HEIGHT=56]http://chklst.ru/uploads/editor/9o/f5sch9rglfab.jpg[/IMG]

[B]©, chklst.ru, forum.esetnod32.ru[/B]

TrID - это утилита, предназначенная для идентификации типов файлов из их двоичных подписи.
Хотя существуют аналогичные утилиты с жестко закодированной логикой, TrID не имеет фиксированных правил.
Вместо этого он расширяемый и может быть обучен распознавать новые форматы быстрым и автоматическим способом.

[IMG WIDTH=693 HEIGHT=582]http://mark0.net/screenshots/tridnet.png[/IMG]

http://mark0.net/soft-trid-e.html

Задача Обновление компонентов Remote Administrator используется для обновления компонентов ERA (агент ERA, прокси-сервер ERA, сервер ERA Server, веб-консоль и MDM). Например, если нужно выполнить обновление с версий ERA 6.1.28.0, 6.1.33.0, 6.2.x, 6.3.x, 6.4.x до версии ERA 6.5.x.

https://help.eset.com/era_admin/65/ru-RU/index.html?client_tasks_upgrade_components.htm


Чтобы обновить инфраструктуру ERA, рекомендуется использовать задачу обновления компонентов, доступную в веб-консоли ERA. Ниже приведен пример того, как настраивать задачу Обновление компонентов Remote Administrator для обновления ERA 6.1.x или более поздней версии до версии ERA 6.5.

http://help.eset.com/era_install/65/ru-RU/index.html?components_upgrade.htm

http://support.eset.com/kb3668/