Выбрать дату в календареВыбрать дату в календаре

новый вариант VAULT от 2ноября 2015г., Filecoder.FH
тут другой алгоритм работы шифратора. с ним надо будет еще разбираться.
возможно другой алгоритм шифрования. без применения gpg, а значит и ключи будут другие.
Тестируем HIPS
привет.
смотрел настройки HIPS в восьмерке 8.0.319. вижу что есть возможность защиты папки с документами следующим способом.
1. создаем правило для папки с документами, которое
[U]запрещает[/U] удалять, и изменять файлы из данной папки для всех приложений
2. создаем второе правило, которое разрешает удалять и изменять файлы из данной папки для выбранных приложений,
например: far, explorer, total, office, xnview, acrobat reader и проч. легальный софт для работы с документами.

и все. шифратор тут ничего не сможет сделать.
-----------------
защиту папок можно сделать так же в Endpoint v 5, а вот Endpoint 6 почему то убрали защиту папок,
возможно защитить только отдельные файлы.
что это? глюк 6.1? или недоработка?

посмотрю еще в бетке 9 есть ли такая возможность.

Просьба к специалистам техподдержки надавить на разработчиков и вернуть такую возможность в Endpoint v 6
CryptoMonitor
Тестируем это продукт, может получится заставить его реагировать на шифрование файлов.


EasySync CryptoMonitor is one of the best prevention measures for an encrypting Ransomware. CryptoMonitor will actually kill an encryption infection, blacklist it from running again, and notify you as soon as the infection starts. Because of the unique way that CryptoMonitor is made, it will effectively stop even the newest of encryption infections and requires no signatures or updates. It will protect you in a way that traditional antiviruses can’t!

[IMG WIDTH=521 HEIGHT=291]https://nebula.wsimg.com/7d6e3cf7460b66c2091b8b934d8a5085?AccessKeyId=22F842173B2E38F84596&disposition=0&alloworigin=1[/IMG]

[IMG WIDTH=523 HEIGHT=235]https://nebula.wsimg.com/0309b22c9f6616afbf30745204bb9573?AccessKeyId=22F842173B2E38F84596&disposition=0&alloworigin=1[/IMG]

https://www.easysyncsolutions.com/products.html
Восстанавливаем файлы, удаленные после шифратора
а что с ней было? с system volume information. была удалена?
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
[IMG WIDTH=480 HEIGHT=359]http://s019.radikal.ru/i613/1504/98/2a135d5a843b.jpg[/IMG]

Если вам необходимо восстановить документы зашифрованные VAULT, выполните следующие действия:

1. [URL=http://www.outsidethebox.ms/9960/#versions][B]проверьте наличие теневых копий на дисках[/B][/URL], если есть чистые теневые копии, восстановить документы можно без расшифровки.
Используйте для работы с теневыми копиями [URL=http://www.shadowexplorer.com/downloads.html][B]ShadowExplorer[/B][/URL]

если теневые копии отсутствуют, возможно были отключены шифратором, восстановите (на будущее) через настройки защиты дисков резервирование
пространства в 5-10% под теневые копии.

2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов.
для этого необходимо найти файл [B]secring.gpg[/B].
secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а созданный на вашей машине (как правило в %TEMP%
юзера) в момент запуска процесса шифрования. Хотя вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает
данный ключ с помощью утилиты [URL=https://technet.microsoft.com/ru-ru/sysinternals/bb897443.aspx][B]sdelete.exe[/B][/URL].

[QUOTE]"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list"
[/QUOTE]
Повторный запуск шифратора с целью получения этого ключа не поможет. ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов
не подойдет. пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера. ~1Кб.

[B]что делает шифратор с исходными файлами:[/B]
[CODE]dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
echo %%i>> "%temp%\conf.list"
)

[/CODE]после шифрования к примеру файла 1.doc рядом с ним создается зашифрованный файл 1.doc.gpg, затем зашифрованный 1.doc.gpg перемещается на место исходного_чистого с новым именем 1.doc,
и только затем переименовывается в 1.doc.vault.
[B]т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления.
[/B]-------
Добавим,  что злоумышленники после завершения шифрования оставляют на диске файлы  VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg,
но зашифрованный с помощью pub key злоумышленников, поэтому  расшифровать его на нашей стороне невозможно.
В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой" воли
с  целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру.
--------
если sec key найден, вы можете установить [B]GnuPG и GPGShell[/B] и проверить возможность расшифровки.

скачайте отсюда и установите [URL=ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.19.exe][B]GnuPG[/B][/URL]
+
отсюда можно скачать [URL=http://www.jumaros.de/rsoft/index.html][B]GPGShell[/B][/URL]

В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
+
После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
-----------

[B]как можно избежать встречи с VAULT?[/B]
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы [B]*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat[/B], то такой документ никак не может быть офисным документом.
Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например:
[QUOTE]%userprofile%\Local Settings\Temp\_tc\*.js
%userprofile%\Appdata\Local\Temp\_tc\*.js
[/QUOTE]
3. Пробуйте с помощью HIPS запретить запись в файл [B]%TEMP%\pubring.gpg[/B].
в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую
пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае
шифрование состоится, но известным ключом. Или не состоится.

[B](с), chklst.ru[/B]
Как я заплатил злоумышленникам за расшифровку документов.
здесь можно поделиться опытом.
Шифровирусы шумной толпою
[IMG WIDTH=480 HEIGHT=360]http://i004.radikal.ru/1501/7e/e7198c95e3fa.png[/IMG]

1. Откочевал недавно (с мая и до осени 2014г) и отплясал  по нервам пользователей и ИТ сотрудников [B][URL=http://chklst.ru/forum/discussion/532/bat-encoder#Item_1]bat.encoder[/URL][/B].
Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и  письмах. К печатному слову особенное доверие. " К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам  социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС,  судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.
[B]
В основе такого поведения, конечно же, незнание того факта что исполняемые файлы [CODE]*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.wsf, *.lnk, *.hta[/CODE] никак не могут быть офисным документом.[/B] Цена открытия подобных документов все более возрастает. для [B]bat.encoder[/B] стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.

Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.

На дворе стоит уже февраль 2015г, и новый, не менее(а может быть и более) технологичный шифратор, [B]ctb-locker[/B], он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000руб!

Принцип работы злоумышленников прост. Письмо, помимо цепляющего текста, содержит вложенный документ (или ссылку на загрузку документа (как правило в архиве) из сети), который обычно является (в последнее время все чаще -закодированным скриптом) загрузчиком шифратора из сети. Расчет на человека, который невнимателен при появлении в почте сообщений от невидимых (и неведомых) адресатов. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.

1. [B]bat.encoder[/B]/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла:  Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера) мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: [URL=mailto:keybtc@gmail.com]keybtc@gmail.com[/URL] или [URL=mailto:paycrypt@gmail.com]paycrypt@gmail.com[/URL]

2. [B]filecoder.CQ /encoder.567 [/B]/ Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma                    C:\Program Files\temp\WINRAR.EXE                                                    
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}[URL=mailto:-email-masfantomas@aol.com-ver-4.0.0.0.cbf]-email-masfantomas@aol.com-ver-4.0.0.0.cbf[/URL]
электронная почта злодеев: [URL=mailto:masfantomas@aol.com]masfantomas@aol.com[/URL]

3. [B]*[URL=mailto:protectdata@inbox.com]protectdata@inbox.com[/URL][/B]
[B]Win32/Filecoder.DG (ESET) / encoder.741 (DrWeb)[/B]/
пример файла шифратора: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено [URL=mailto:id-1838430874_protectdata@inbox.com]id-1838430874_protectdata@inbox.com[/URL]
стоимость расшифровки: 200$

4.[B]*[URL=mailto:sos@xmail.com]sos@xmail.com[/URL] [/B]
[B]Win32/Filecoder.NAM (ESET)/ Encoder.741 (DrWeb)[/B] /
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: [URL=mailto:url.txt.id-0944860228_sos@xsmail.com]url.txt.id-0944860228_sos@xsmail.com[/URL]

5. [B]*.xtbl/Win32/Filecoder.ED [/B]
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORm­At73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client
Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: [URL=mailto:deshifrovka01@gmail.com]deshifrovka01@gmail.com[/URL] или [URL=mailto:deshifrovka@india.com]deshifrovka@india.com[/URL] .

6. СTB-locker (Curve-Тор-Bitcoin Locker)
Filecoder.DA /Critroni / [B]Encoder.686 (DrWeb)[/B]/Ransom.Win32.Onion.y/
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы прописывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
---------------------------------
3. что делать?

готовим сани к зиме летом, а систему безопасности укрепляем круглый год.

[IMG WIDTH=100 HEIGHT=302]http://royallib.com/data/images/187/cover_187862.jpg[/IMG]
1. для укрепления рубежа brain [URL=http://lib.aldebaran.ru/author/saimon_vilyam/saimon_vilyam_iskusstvo_obmana/saimon_vilyam_iskusstvo_obmana.rtf.zip]читаем классическую работу Кевина Митника The Art of Deception[/URL]-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.


2. настраиваем в локальных политиках безопасности [B][URL=http://www.it-lines.ru/blogs/security/srp-luchshaya-besplatnaya-zashhita-ot-virusov]правила ограниченного использования программ[/URL][/B][URL=http://www.it-lines.ru/blogs/security/srp-luchshaya-besplatnaya-zashhita-ot-virusov].[/URL]
С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути [B]%UserProfile%\Local Settings\*.exe[/B]

для автоматизации создания [B]правил ограниченного использования программ [/B]можно использовать [B][URL=http://www.foolishit.com/vb6-projects/cryptoprevent/]CryptoPrevent[/URL][/B][URL=http://www.foolishit.com/vb6-projects/cryptoprevent/].[/URL]

-----------------
4. если ваши файлы уже зашифрованы..

Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из [B]последней резервной копии[/B].

Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например [B]R-Studio или Photorec[/B] чтобы восстановить некоторые из ваших исходных файлов.

Метод 3: Shadow Volume Copies
[URL=http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information#shadow]Пробуйте восстановить файлы с помощью теневого тома копий[/URL]. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
[B]©, chklst.ru, forum.esetnod32.ru[/B]
Изменено: santy - 17.04.2018 12:09:39
[ Закрыто] BAT.Encoder
В полку вредоносных программ, шифрующих данные и документы пользователя прибыло. Вариант, использующий [url=https://www.pgpru.com/forum/rabotasgnupg]легальную программу GnuPG с криптографией PGP/OpenPGP[/url] называют по классификации DrWeb BAT.encoder (ESET: BAT/Filecoder.J). Существуют несколько вариантов BAT.encoder, но все они используют один и тот же механизм шифрования. На стороне пользователя создается ключевая пара: pub/sec key. В дальнейшем, sec key /secring.gpg/ сразу же шифруется открытым ключом злоумышленников. Оригинал ключа удаляется спец. утилитой с целью защиты от восстановления ключа. Шифрование данных и документов пользователя на всех найденных локальных, съемных и сетевых дисках выполняется публичным ключом /pubring.gpg/ из созданной ключевой пары. /естественно, воспроизвести создание одинаковой ключевой пары невозможно, всякий раз будет создана новая ключевая пара с уникальным отпечатком./

пример pub key:
[QUOTE]отпечаток: 8637 E30A 6EC3 3205 F0C6 A1E5 5B0D 504C 12B9 516A
ID 12B9516A
ID длин. 5B0D504C12B9516A[/QUOTE]
[QUOTE]-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1 - GPGshell v3.78

mI0EU/6w/QEEALe9xEmdsFgpYjjDi8MJYQd4kwapQs1BVFXpHLp+MoUYJhLE­bfvD
eB9zy3ytgO0zlJclkLOrhcNKMZLASefh8izzzuf9kTDr3KHA/wr95F9vxJVG­or4Q
UzJ5JqIPgaxVeCvrAQjGkGUPG0dMl+g2mPKNWNCoWb61qnXT1SURA57jABEB­AAG0
JGdlbmVzaXMgKGdlbmVzaXMpIDxrZXlidGNAZ21haWwuY29tPoi4BBMBAgAi­BQJT
/rD9AhsvBgsJCAcDAgYVCAIJCgsEFgIDAQIeAQIXgAAKCRBbDVBMErlRakU2­A/9D
WH1QhB+0z9IywdT0lfO8/Y8MeO16kCBhBXTvLVohfcNY9icZf+54Wi7OCKyB­Kyh2
HhAgo0ezzg61uKs5ktiihIDfcWKpcy42niZfZlkz2/QGydvRVLnGP7YtnCqi­6bZP
XXKbc0R+izq5xX1F8fiuzxiRSDURDxj43V2dhzVR0w==
=p6nf
-----END PGP PUBLIC KEY BLOCK-----
[/QUOTE]
gpg: зашифровано 1024-битным ключом RSA, с ID 12B9516A, созданным 28.08.2014
"genesis (genesis) "

восстановить полностью ключевую пару невозможно без наличия секретной части ключа, который злоумышленники используют в энкодере.

В теле bat файла хранится всего лишь публичная часть ключа злоумышленников, которым шифруется sec key из ключевой пары юзера.

(в данном случае используется ключ/подключ.... шифрование выполнено подключом, в целях возможной замены подключа, при его компроментации.)
[QUOTE]-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1 - GPGshell v3.78

mQENBFPgfZQBCACwmI/ra8/PJnw1YAvQZ8mszyEtIfJ4GA2jTM3ih9qCWMRb­3cCI
heeVFaBTyAp33AP0EGjRDcg7E4VihowO2zCqJa7QkEfxVLwYKbEiEEnns4VD­Nnut
eOsyHF/ZyiNshYUN3Fj+YiFMtOzEUcJEE0QuUfl2o0Ajl9BRz3cQPPSnUhKS­/vmc
Fut1Y5GcJVWhjl4f51Grp1Q5lB9ndqCVGpG7PZ7tqQgA6934DOjGQQF3BK9Z­uSJq
v4bMKs12cOndOIFuoim/KV5NL4wXlUes7GIlTp4P3izlobNlVfYKXgS4Vc/H­/FiA
YVOaB7L4rVXwc7oixYSI1a4TwqXfifDhJNSRABEBAAG0ImtleWJ0YyAoa2V5­YnRj
KSA8a2V5YnRjQGdtYWlsLmNvbT6JATgEEwECACIFAlPgfZQCGwMGCwkIBwMC­BhUI
AgkKCwQWAgMBAh4BAheAAAoJEIUsFvyqtih1ly4IAJlYEiJX2VeXV77c8M/0­PRtN
XAGmgFjt9WNvnMGlvAY88/QUMwMU9XV2gXTc+KiLacuagofhGpHOuZf3suSB­YMDS
oi135YTGs1sAWOx2kBwmyW8rrNLZ84V4wa97I9nEbzIYB0thzr3euu0QTz78­hj2v
Gai2uA82F45XFcjXhPKINbSgMCYIpbhfjUCMbSVy8+3rF9fUDWICVwzAof46­7GOI
b4SKcDkX5IOzDugDnKXvKwDNr9fcomZhhVUz5djF1TTORc0qXQye2GiFa6Zt­E4aH
WFw6hKfBIgaJGFIqnr7be0Di1duWisnCYS2n9/VDcZpeOpv7uqc78KDJ+Ogm­27W5
AQ0EU+B9lAEIAMcXK4tuglxptwQKg4aODX8OnSbAyAQW5QHTK9d4GG40vry8­IJVx
pUYe7fgax7OIkKLnYjo0uNXnBD70e3Z80WhDK1/2eIC4MxqVAD4cKP2yKZOF­LKi2
BJ7BdYk+y4d2MgqGuGIt84Wp0Zrcs1O32pS2lXfaBxjREaAUuqzy4MU0AJ5+­5tK0
qeD1OTxJhYivIky/qrmDtMf0G/WzxULV1iy0pkDP/s44KmsQxept3MzmCMgd­AXmg
2ANdP5r+UOglQeLKBmyLhCAcNqvHPU5I2X5qWmAbU0Z8IT/M1m/SE0/r9VF6­3C+Y
g3HQQDVZYOFWqi2uHOoU/LZ157kgF5gYqNUAEQEAAYkBHwQYAQIACQUCU+B9­lAIb
DAAKCRCFLBb8qrYodQp3B/0SeVJOLU+3gmq+R7VLqNbeS6NZ9KnZQvda3vyE­0/+t
FGx3Xo6Gf4chi+hTY33Ph+/4xA0cFg3i2YDSZRunDKG3OavrRDIpF6SNIH/X­/sPU
IQxATi1Sq/EmNzJdAqqqYNQT7YlWyVjI2pLcbberET+9LHIMcatnQ08GZQDV­iiSI
o7fW4sVYMgnRS5OXOwzMqW7wLuLbIGuTZQXTIOAoOhuZtfmy5woCRwF9sygY­u5yw
iwQkX2P/Ffzwrpu92J8uqoVeUXdBV8bgnK92KKKi/F4czak/DLa453cLlwoz­PxSv
6/RKzQXVaopzuOdvdRTwKSb+mFr+gsMlQ1t7xNcMdW84
=yxjK
-----END PGP PUBLIC KEY BLOCK-----[/QUOTE]
gpg: зашифровано 2048-битным ключом RSA, с ID A3CE7DBE, созданным 05.08.2014
"keybtc (keybtc) "
gpg: сбой расшифрования: секретный ключ не найден.

File: W:\bat.encoder\paycrypt@gmail.com\12B9516A_A3CE7DBE\KEY.PRIVATE
Time: 06.09.2014 17:26:44 (06.09.2014 10:26:44 UTC)
[B]Как защититься от бат.енкодера:[/B]

1. прежде всего, установить антивирусную защиту и регулярно обновлять базы, есть вероятность, что антивирус перехватит запуск bat энкодера, или заблокирует процесс загрузки компонентов вредоносной программы из внешней сети, с определенных URL-адресов.

2. регулярно создавать и обновлять копии ваших документов, плюс обратите внимание, что архивы rar, zip могут быть так же зашифрованы, если окажутся на вашем диске в момент работы шифратора.

[QUOTE]*.xls *.xlsx *.doc *.docx *.xlsm *.cdr *.slddrw *.dwg *.ai *.svg *.mdb *.1cd *.pdf
*.accdb *.zip *.rar *.max *.cd *[/QUOTE]
3. от повторного заражения может защитить наличие в каталоге %temp% некоторых файлов: файлов keybtccheck.bin, crypta.bin, crypti.bin, paycrpt.bin, alligation.bit и skipcrypo.bit ([B]список видимо будет пополняться со временем[/B]), если в теле энкодера присутствует следующая строка: if exist "%temp%\keybtccheck.bin" goto replyauto , завершающая процесс работы энкодера. ©, В.Мартьянов, DrWeb

4. процесс шифрования, если уже начался, будет остановлен и завершен после перезагрузки системы или аварийного завершения работы.

5. Пробуйте с помощью HIPS запретить запись в файлы pubring.gpg, secring.gpg в папке %temp% в любом случае, в данной модификации bat-encoder (если он использует GnuPG) после скачивая утилиты gpg.exe (которая может быть переименована как угодно) вначале будет пытаться создать ключевую пару в эти файлы. а затем будет шифровать ваши данные с помощью созданных ключей.
Если перехватить процесс на стадии создания ключей, то шифрование не состоится. или можете положить известные вам ключи pubring.gpg, secring.gpg
------
троян, если не сможет их перезаписать, возможно будет пытаться их использовать для шифрования.

[IMG]http://chklst.ru/docs/bat.encoder.jpg[/IMG]

вобщем, так и выходит: защищаем в HIPS добавленные в %temp% известную пару pub/sec ключей
в итоге, бат_энкодер, если пробился через черные списки и мониторинг, не сможет перезаписать, и удалить эту пару ключей, в итоге шифровать документы будет вашим pub key. соответственно, и secring.gpg из этой пары не будет удален и перезаписан.

результат:

файлы зашифрованы, но ключик то секретный у нас хранится на связке ключей. .
[B]Upd: достаточно положить и защитить pubring.gpg, а секретную часть ключа хранить в надежном месте.[/B]

Upd1: bat encoder слегка модифицировался (вариант от 26.09.2014), теперь используются два ключа на рандомный выбор (AAB62875/A3CE7DBE и 3ED78E85/F05CF9EE) для шифрования secring.gpg из ключевой пары, созданной на стороне юзера. вместо "taskmgr.exe" модуль gpg.exe (скачивается из сети) теперь называется "svchost.exe".
сцена по прежнему разворачивается в папке %temp% пользователя.
и по прежнему актуально блокирующее правило защиты от перезаписи и удаления для конечного файла %temp%\pubring.gpg
-----------
©, chklst.ru

[url=http://chklst.ru/docs/key/keygpg.rar][B]скачать известную ключевую пару[/B][/url]
Изменено: santy - 13.12.2017 06:51:22
[ Закрыто] Инструкции по работе в разделе "Обнаружение вредоносного кода и ложные срабатывания"
1. [url=http://forum.esetnod32.ru/forum9/topic10701/][B]Как создать лог файл программы SysInspector?[/B][/url]

2. [url=http://forum.esetnod32.ru/forum9/topic2687/][B]Как создать образ автозапуска в uVS (краткая инструкция)[/B][/url]
3. [URL=https://forum.esetnod32.ru/forum9/topic15300/]We work with the English version uVS[/URL]
4. [url=http://forum.esetnod32.ru/forum9/topic10688/]Как создать лог программы Malwarebytes Anti-Malware[/url]
5. [url=http://forum.esetnod32.ru/forum9/topic7084/]Как создать лог программы AdwCleaner[/url]
6. [url=http://forum.esetnod32.ru/forum9/topic2798/]Как создать логи FRST[/url]
7. [url=http://forum.esetnod32.ru/forum9/topic53/]Как создать лог файл hijackthis?[/url]
8. [url=http://forum.esetnod32.ru/forum9/topic10570/]Как добавить список расширений браузеров с помощью ccleaner[/url]
9. [url=http://forum.esetnod32.ru/forum9/topic2478/]Как выполнить скрипт в uVS в активной системе[/url]
10. [url=http://forum.esetnod32.ru/forum9/topic683/]Как создать образ автозапуска в uVS (полная инстукция)[/url]
11. [url=http://forum.esetnod32.ru/forum9/topic1408/]Как создать лог журнала обнаруженных угроз?[/url]
12. [URL=http://forum.esetnod32.ru/forum9/topic735/]как создать лог ComboFix?[/URL]
13. [url=http://forum.esetnod32.ru/forum9/topic733/]Как создать лог gmer?[/url]

14. [url=https://forum.esetnod32.ru/forum9/topic13764//][B]Наши рекомендации по безопасной работе пользователям[/B][/url]
Изменено: santy - 04.05.2019 06:08:28
[ Закрыто] Бета версии 8 -ого поколения продуктов ESET
http://www.eset.com/int/beta/edition2015/

http://www.eset.com/int/download/beta-versions/
--------
документация:
http://download.eset.com/manuals/eset_eav_8_userguide_ENU.pdf

http://download.eset.com/manuals/eset_ess_8_userguide_ENU.pdf
Изменено: santy - 06.08.2014 09:46:24