а что с ней было? с system volume information. была удалена?

[IMG WIDTH=480 HEIGHT=359]http://s019.radikal.ru/i613/1504/98/2a135d5a843b.jpg[/IMG]

Если вам необходимо восстановить документы зашифрованные VAULT, выполните следующие действия:

1. [URL=http://www.outsidethebox.ms/9960/#versions][B]проверьте наличие теневых копий на дисках[/B][/URL], если есть чистые теневые копии, восстановить документы можно без расшифровки.
Используйте для работы с теневыми копиями [URL=http://www.shadowexplorer.com/downloads.html][B]ShadowExplorer[/B][/URL]

если теневые копии отсутствуют, возможно были отключены шифратором, восстановите (на будущее) через настройки защиты дисков резервирование
пространства в 5-10% под теневые копии.

2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов.
для этого необходимо найти файл [B]secring.gpg[/B].
secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а созданный на вашей машине (как правило в %TEMP%
юзера) в момент запуска процесса шифрования. Хотя вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает
данный ключ с помощью утилиты [URL=https://technet.microsoft.com/ru-ru/sysinternals/bb897443.aspx][B]sdelete.exe[/B][/URL].

[QUOTE]"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list"
[/QUOTE]
Повторный запуск шифратора с целью получения этого ключа не поможет. ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов
не подойдет. пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера. ~1Кб.

[B]что делает шифратор с исходными файлами:[/B]
[CODE]dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
echo %%i>> "%temp%\conf.list"
)

[/CODE]после шифрования к примеру файла 1.doc рядом с ним создается зашифрованный файл 1.doc.gpg, затем зашифрованный 1.doc.gpg перемещается на место исходного_чистого с новым именем 1.doc,
и только затем переименовывается в 1.doc.vault.
[B]т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления.
[/B]-------
Добавим,  что злоумышленники после завершения шифрования оставляют на диске файлы  VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg,
но зашифрованный с помощью pub key злоумышленников, поэтому  расшифровать его на нашей стороне невозможно.
В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой" воли
с  целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру.
--------
если sec key найден, вы можете установить [B]GnuPG и GPGShell[/B] и проверить возможность расшифровки.

скачайте отсюда и установите [URL=ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.19.exe][B]GnuPG[/B][/URL]
+
отсюда можно скачать [URL=http://www.jumaros.de/rsoft/index.html][B]GPGShell[/B][/URL]

В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
+
После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
-----------

[B]как можно избежать встречи с VAULT?[/B]
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы [B]*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat[/B], то такой документ никак не может быть офисным документом.
Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например:
[QUOTE]%userprofile%\Local Settings\Temp\_tc\*.js
%userprofile%\Appdata\Local\Temp\_tc\*.js
[/QUOTE]
3. Пробуйте с помощью HIPS запретить запись в файл [B]%TEMP%\pubring.gpg[/B].
в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую
пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае
шифрование состоится, но известным ключом. Или не состоится.

[B](с), chklst.ru[/B]

здесь можно поделиться опытом.

[IMG WIDTH=480 HEIGHT=360]http://i004.radikal.ru/1501/7e/e7198c95e3fa.png[/IMG]

1. Откочевал недавно (с мая и до осени 2014г) и отплясал  по нервам пользователей и ИТ сотрудников [B][URL=http://chklst.ru/forum/discussion/532/bat-encoder#Item_1]bat.encoder[/URL][/B].
Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и  письмах. К печатному слову особенное доверие. " К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам  социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС,  судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.
[B]
В основе такого поведения, конечно же, незнание того факта что исполняемые файлы [CODE]*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.wsf, *.lnk, *.hta[/CODE] никак не могут быть офисным документом.[/B] Цена открытия подобных документов все более возрастает. для [B]bat.encoder[/B] стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.

Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.

На дворе стоит уже февраль 2015г, и новый, не менее(а может быть и более) технологичный шифратор, [B]ctb-locker[/B], он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000руб!

Принцип работы злоумышленников прост. Письмо, помимо цепляющего текста, содержит вложенный документ (или ссылку на загрузку документа (как правило в архиве) из сети), который обычно является (в последнее время все чаще -закодированным скриптом) загрузчиком шифратора из сети. Расчет на человека, который невнимателен при появлении в почте сообщений от невидимых (и неведомых) адресатов. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.

1. [B]bat.encoder[/B]/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла:  Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера) мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: [URL=mailto:[email protected]][email protected][/URL] или [URL=mailto:[email protected]][email protected][/URL]

2. [B]filecoder.CQ /encoder.567 [/B]/ Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma                    C:\Program Files\temp\WINRAR.EXE                                                    
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}[URL=mailto:[email protected]][email protected][/URL]
электронная почта злодеев: [URL=mailto:[email protected]][email protected][/URL]

3. [B]*[URL=mailto:[email protected]][email protected][/URL][/B]
[B]Win32/Filecoder.DG (ESET) / encoder.741 (DrWeb)[/B]/
пример файла шифратора: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено [URL=mailto:[email protected]][email protected][/URL]
стоимость расшифровки: 200$

4.[B]*[URL=mailto:[email protected]][email protected][/URL] [/B]
[B]Win32/Filecoder.NAM (ESET)/ Encoder.741 (DrWeb)[/B] /
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: [URL=mailto:[email protected]][email protected][/URL]

5. [B]*.xtbl/Win32/Filecoder.ED [/B]
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORm­At73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client
Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: [URL=mailto:[email protected]][email protected][/URL] или [URL=mailto:[email protected]][email protected][/URL] .

6. СTB-locker (Curve-Тор-Bitcoin Locker)
Filecoder.DA /Critroni / [B]Encoder.686 (DrWeb)[/B]/Ransom.Win32.Onion.y/
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы прописывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
---------------------------------
3. что делать?

готовим сани к зиме летом, а систему безопасности укрепляем круглый год.

[IMG WIDTH=100 HEIGHT=302]http://royallib.com/data/images/187/cover_187862.jpg[/IMG]
1. для укрепления рубежа brain [URL=http://lib.aldebaran.ru/author/saimon_vilyam/saimon_vilyam_iskusstvo_obmana/saimon_vilyam_iskusstvo_obmana.rtf.zip]читаем классическую работу Кевина Митника The Art of Deception[/URL]-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.


2. настраиваем в локальных политиках безопасности [B][URL=http://www.it-lines.ru/blogs/security/srp-luchshaya-besplatnaya-zashhita-ot-virusov]правила ограниченного использования программ[/URL][/B][URL=http://www.it-lines.ru/blogs/security/srp-luchshaya-besplatnaya-zashhita-ot-virusov].[/URL]
С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути [B]%UserProfile%\Local Settings\*.exe[/B]

для автоматизации создания [B]правил ограниченного использования программ [/B]можно использовать [B][URL=http://www.foolishit.com/vb6-projects/cryptoprevent/]CryptoPrevent[/URL][/B][URL=http://www.foolishit.com/vb6-projects/cryptoprevent/].[/URL]

-----------------
4. если ваши файлы уже зашифрованы..

Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из [B]последней резервной копии[/B].

Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например [B]R-Studio или Photorec[/B] чтобы восстановить некоторые из ваших исходных файлов.

Метод 3: Shadow Volume Copies
[URL=http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information#shadow]Пробуйте восстановить файлы с помощью теневого тома копий[/URL]. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
[B]©, chklst.ru, forum.esetnod32.ru[/B]

В полку вредоносных программ, шифрующих данные и документы пользователя прибыло. Вариант, использующий [url=https://www.pgpru.com/forum/rabotasgnupg]легальную программу GnuPG с криптографией PGP/OpenPGP[/url] называют по классификации DrWeb BAT.encoder (ESET: BAT/Filecoder.J). Существуют несколько вариантов BAT.encoder, но все они используют один и тот же механизм шифрования. На стороне пользователя создается ключевая пара: pub/sec key. В дальнейшем, sec key /secring.gpg/ сразу же шифруется открытым ключом злоумышленников. Оригинал ключа удаляется спец. утилитой с целью защиты от восстановления ключа. Шифрование данных и документов пользователя на всех найденных локальных, съемных и сетевых дисках выполняется публичным ключом /pubring.gpg/ из созданной ключевой пары. /естественно, воспроизвести создание одинаковой ключевой пары невозможно, всякий раз будет создана новая ключевая пара с уникальным отпечатком./

пример pub key:
[QUOTE]отпечаток: 8637 E30A 6EC3 3205 F0C6 A1E5 5B0D 504C 12B9 516A
ID 12B9516A
ID длин. 5B0D504C12B9516A[/QUOTE]
[QUOTE]-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1 - GPGshell v3.78

mI0EU/6w/QEEALe9xEmdsFgpYjjDi8MJYQd4kwapQs1BVFXpHLp+MoUYJhLE­bfvD
eB9zy3ytgO0zlJclkLOrhcNKMZLASefh8izzzuf9kTDr3KHA/wr95F9vxJVG­or4Q
UzJ5JqIPgaxVeCvrAQjGkGUPG0dMl+g2mPKNWNCoWb61qnXT1SURA57jABEB­AAG0
JGdlbmVzaXMgKGdlbmVzaXMpIDxrZXlidGNAZ21haWwuY29tPoi4BBMBAgAi­BQJT
/rD9AhsvBgsJCAcDAgYVCAIJCgsEFgIDAQIeAQIXgAAKCRBbDVBMErlRakU2­A/9D
WH1QhB+0z9IywdT0lfO8/Y8MeO16kCBhBXTvLVohfcNY9icZf+54Wi7OCKyB­Kyh2
HhAgo0ezzg61uKs5ktiihIDfcWKpcy42niZfZlkz2/QGydvRVLnGP7YtnCqi­6bZP
XXKbc0R+izq5xX1F8fiuzxiRSDURDxj43V2dhzVR0w==
=p6nf
-----END PGP PUBLIC KEY BLOCK-----
[/QUOTE]
gpg: зашифровано 1024-битным ключом RSA, с ID 12B9516A, созданным 28.08.2014
"genesis (genesis) "

восстановить полностью ключевую пару невозможно без наличия секретной части ключа, который злоумышленники используют в энкодере.

В теле bat файла хранится всего лишь публичная часть ключа злоумышленников, которым шифруется sec key из ключевой пары юзера.

(в данном случае используется ключ/подключ.... шифрование выполнено подключом, в целях возможной замены подключа, при его компроментации.)
[QUOTE]-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1 - GPGshell v3.78

mQENBFPgfZQBCACwmI/ra8/PJnw1YAvQZ8mszyEtIfJ4GA2jTM3ih9qCWMRb­3cCI
heeVFaBTyAp33AP0EGjRDcg7E4VihowO2zCqJa7QkEfxVLwYKbEiEEnns4VD­Nnut
eOsyHF/ZyiNshYUN3Fj+YiFMtOzEUcJEE0QuUfl2o0Ajl9BRz3cQPPSnUhKS­/vmc
Fut1Y5GcJVWhjl4f51Grp1Q5lB9ndqCVGpG7PZ7tqQgA6934DOjGQQF3BK9Z­uSJq
v4bMKs12cOndOIFuoim/KV5NL4wXlUes7GIlTp4P3izlobNlVfYKXgS4Vc/H­/FiA
YVOaB7L4rVXwc7oixYSI1a4TwqXfifDhJNSRABEBAAG0ImtleWJ0YyAoa2V5­YnRj
KSA8a2V5YnRjQGdtYWlsLmNvbT6JATgEEwECACIFAlPgfZQCGwMGCwkIBwMC­BhUI
AgkKCwQWAgMBAh4BAheAAAoJEIUsFvyqtih1ly4IAJlYEiJX2VeXV77c8M/0­PRtN
XAGmgFjt9WNvnMGlvAY88/QUMwMU9XV2gXTc+KiLacuagofhGpHOuZf3suSB­YMDS
oi135YTGs1sAWOx2kBwmyW8rrNLZ84V4wa97I9nEbzIYB0thzr3euu0QTz78­hj2v
Gai2uA82F45XFcjXhPKINbSgMCYIpbhfjUCMbSVy8+3rF9fUDWICVwzAof46­7GOI
b4SKcDkX5IOzDugDnKXvKwDNr9fcomZhhVUz5djF1TTORc0qXQye2GiFa6Zt­E4aH
WFw6hKfBIgaJGFIqnr7be0Di1duWisnCYS2n9/VDcZpeOpv7uqc78KDJ+Ogm­27W5
AQ0EU+B9lAEIAMcXK4tuglxptwQKg4aODX8OnSbAyAQW5QHTK9d4GG40vry8­IJVx
pUYe7fgax7OIkKLnYjo0uNXnBD70e3Z80WhDK1/2eIC4MxqVAD4cKP2yKZOF­LKi2
BJ7BdYk+y4d2MgqGuGIt84Wp0Zrcs1O32pS2lXfaBxjREaAUuqzy4MU0AJ5+­5tK0
qeD1OTxJhYivIky/qrmDtMf0G/WzxULV1iy0pkDP/s44KmsQxept3MzmCMgd­AXmg
2ANdP5r+UOglQeLKBmyLhCAcNqvHPU5I2X5qWmAbU0Z8IT/M1m/SE0/r9VF6­3C+Y
g3HQQDVZYOFWqi2uHOoU/LZ157kgF5gYqNUAEQEAAYkBHwQYAQIACQUCU+B9­lAIb
DAAKCRCFLBb8qrYodQp3B/0SeVJOLU+3gmq+R7VLqNbeS6NZ9KnZQvda3vyE­0/+t
FGx3Xo6Gf4chi+hTY33Ph+/4xA0cFg3i2YDSZRunDKG3OavrRDIpF6SNIH/X­/sPU
IQxATi1Sq/EmNzJdAqqqYNQT7YlWyVjI2pLcbberET+9LHIMcatnQ08GZQDV­iiSI
o7fW4sVYMgnRS5OXOwzMqW7wLuLbIGuTZQXTIOAoOhuZtfmy5woCRwF9sygY­u5yw
iwQkX2P/Ffzwrpu92J8uqoVeUXdBV8bgnK92KKKi/F4czak/DLa453cLlwoz­PxSv
6/RKzQXVaopzuOdvdRTwKSb+mFr+gsMlQ1t7xNcMdW84
=yxjK
-----END PGP PUBLIC KEY BLOCK-----[/QUOTE]
gpg: зашифровано 2048-битным ключом RSA, с ID A3CE7DBE, созданным 05.08.2014
"keybtc (keybtc) "
gpg: сбой расшифрования: секретный ключ не найден.

File: W:\bat.encoder\[email protected]\12B9516A_A3CE7DBE\KEY.PRIVATE
Time: 06.09.2014 17:26:44 (06.09.2014 10:26:44 UTC)
[B]Как защититься от бат.енкодера:[/B]

1. прежде всего, установить антивирусную защиту и регулярно обновлять базы, есть вероятность, что антивирус перехватит запуск bat энкодера, или заблокирует процесс загрузки компонентов вредоносной программы из внешней сети, с определенных URL-адресов.

2. регулярно создавать и обновлять копии ваших документов, плюс обратите внимание, что архивы rar, zip могут быть так же зашифрованы, если окажутся на вашем диске в момент работы шифратора.

[QUOTE]*.xls *.xlsx *.doc *.docx *.xlsm *.cdr *.slddrw *.dwg *.ai *.svg *.mdb *.1cd *.pdf
*.accdb *.zip *.rar *.max *.cd *[/QUOTE]
3. от повторного заражения может защитить наличие в каталоге %temp% некоторых файлов: файлов keybtccheck.bin, crypta.bin, crypti.bin, paycrpt.bin, alligation.bit и skipcrypo.bit ([B]список видимо будет пополняться со временем[/B]), если в теле энкодера присутствует следующая строка: if exist "%temp%\keybtccheck.bin" goto replyauto , завершающая процесс работы энкодера. ©, В.Мартьянов, DrWeb

4. процесс шифрования, если уже начался, будет остановлен и завершен после перезагрузки системы или аварийного завершения работы.

5. Пробуйте с помощью HIPS запретить запись в файлы pubring.gpg, secring.gpg в папке %temp% в любом случае, в данной модификации bat-encoder (если он использует GnuPG) после скачивая утилиты gpg.exe (которая может быть переименована как угодно) вначале будет пытаться создать ключевую пару в эти файлы. а затем будет шифровать ваши данные с помощью созданных ключей.
Если перехватить процесс на стадии создания ключей, то шифрование не состоится. или можете положить известные вам ключи pubring.gpg, secring.gpg
------
троян, если не сможет их перезаписать, возможно будет пытаться их использовать для шифрования.

[IMG]http://chklst.ru/docs/bat.encoder.jpg[/IMG]

вобщем, так и выходит: защищаем в HIPS добавленные в %temp% известную пару pub/sec ключей
в итоге, бат_энкодер, если пробился через черные списки и мониторинг, не сможет перезаписать, и удалить эту пару ключей, в итоге шифровать документы будет вашим pub key. соответственно, и secring.gpg из этой пары не будет удален и перезаписан.

результат:

файлы зашифрованы, но ключик то секретный у нас хранится на связке ключей. .
[B]Upd: достаточно положить и защитить pubring.gpg, а секретную часть ключа хранить в надежном месте.[/B]

Upd1: bat encoder слегка модифицировался (вариант от 26.09.2014), теперь используются два ключа на рандомный выбор (AAB62875/A3CE7DBE и 3ED78E85/F05CF9EE) для шифрования secring.gpg из ключевой пары, созданной на стороне юзера. вместо "taskmgr.exe" модуль gpg.exe (скачивается из сети) теперь называется "svchost.exe".
сцена по прежнему разворачивается в папке %temp% пользователя.
и по прежнему актуально блокирующее правило защиты от перезаписи и удаления для конечного файла %temp%\pubring.gpg
-----------
©, chklst.ru

[url=http://chklst.ru/docs/key/keygpg.rar][B]скачать известную ключевую пару[/B][/url]

1. [url=http://forum.esetnod32.ru/forum9/topic10701/][SIZE=13pt][B]Как создать лог файл программы SysInspector?[/B][/SIZE][/url]
2. [URL=https://forum.esetnod32.ru/forum9/topic10671/][SIZE=13pt][B]как создать лог ESETLogCollector[/B][/SIZE][/URL]
3. [URL=https://download.eset.com/com/eset/tools/online_scanner/latest/esetonlinescanner.exe][B] [SIZE=13pt]Скачать ESETOnlineScanner[/SIZE][/B][/URL]
4. [URL=https://forum.esetnod32.ru/forum6/topic994/][B][SIZE=13pt]форма для отправки подозрительных и вредоносных файлов[/SIZE][/B][/URL]
5. [URL=https://forum.esetnod32.ru/forum9/topic16689/][B][SIZE=13pt]Как собрать файлы и логи после атаки шифрования для отправки в антивирусную лабораторию[/SIZE][/B][/URL]
6. [URL=https://support.eset.com/ru/kb2289-eset-eset-uninstaller][B]Как удалить продукты ESET с помощью ESETUnistaller[/B][/URL]
7. [url=http://forum.esetnod32.ru/forum9/topic1408/]Как создать лог журнала обнаруженных угроз?[/url]

8. [url=http://forum.esetnod32.ru/forum9/topic2687/][SIZE=13pt][B]Как создать образ автозапуска в uVS (краткая инструкция)[/B][/SIZE][/url]
9. [url=http://forum.esetnod32.ru/forum9/topic683/]Как создать образ автозапуска в uVS (полная инстукция)[/url]
10. [URL=https://forum.esetnod32.ru/forum9/topic15300/]We work with the English version uVS[/URL]
11  [URL=https://forum.esetnod32.ru/forum27/topic2102/][B][SIZE=13pt]Как создать образ автозапуска из под Winpe&uVS[/SIZE][/B][/URL]
12. [url=http://forum.esetnod32.ru/forum9/topic2478/]Как выполнить скрипт в uVS в активной системе[/url]

13. [url=http://forum.esetnod32.ru/forum9/topic10688/]Как создать лог программы Malwarebytes Anti-Malware[/url]
14. [url=http://forum.esetnod32.ru/forum9/topic7084/]Как создать лог программы AdwCleaner[/url]
15. [url=http://forum.esetnod32.ru/forum9/topic2798/]Как создать логи FRST[/url]




-------------
16. [url=https://forum.esetnod32.ru/forum9/topic13764//][B]Наши рекомендации по безопасной работе пользователям[/B][/url]

http://www.eset.com/int/beta/edition2015/

http://www.eset.com/int/download/beta-versions/
--------
документация:
http://download.eset.com/manuals/eset_eav_8_userguide_ENU.pdf

http://download.eset.com/manuals/eset_ess_8_userguide_ENU.pdf

ESET SysRescue Live

ESET SysRescue Live является самостоятельной утилитой, которая позволяет создать загрузочный Live CD / DVD или USB флэш-диск, с которого вы можете загрузить зараженный ПК: сканировать и чистить их. Возможно будет скачать обновления баз сигнатур вирусов, если подключение к сети доступно. Эта новая программа находилась в разработке в течение нескольких месяцев, и основывается на популярных программ компании ESET UNIX, ESET NOD32 Antivirus для Linux Desktops и ESET Cyber ​​Security для Mac OS X.


Main Page: ESET SysRescue Live
ESET Live USB/CD Creator (Windows): http://download.eset.com/special/sysrescue-creator/eset_sysrescue_live_creator_enu.exe
ESET SysRescue Live ISO: http://download.eset.com/special/sysrescue-iso/eset-sysrescue.1.0.9.0.enu.iso
ESET SysRescue Live Manual: http://download.eset.com/manuals/eset_sysrescue_userguide_enu.pdf

реально взломана страница, или ложное срабатывание?

[QUOTE]Подробности:
Веб-страница: http://update2.sbis.ru
Комментарий: Программа ESET Endpoint Security заблокировала доступ к веб-странице. Страница находится в списке веб-сайтов с потенциально опасным содержимым.[/QUOTE]

[B]ESET Log Collector[/B] это приложение, которое автоматически собирает информацию и журналы с компьютера, чтобы помочь вопросы разрешать быстрее. Если у вас есть проблемная тема, открытая для поддержки клиентов ESET, вас могут попросить предоставить логи с вашего компьютера. ESET.

Данная утилита служит для упрощения процедуры сбора файлов журналов антивируса ESET, файлов конфигурации ПО ESET, журналов системных ошибок, информации о запущенных на компьютере пользователя процессах. Утилита позволяет собрать всю необходимую информацию без каких - либо дополнительных манипуляций для дальнейшего анализа сотрудниками техподдержки ESET.



[B]актуальная версия:[/B]

[QUOTE]
Version 4.3.0.0
Fixed: Broken ZIP packer – Files containing a certain type of data might have been packed in a damaged state
Changed: Device enumeration: The new file deviceTree.json replaces two old files: setupClasses.txt and interfaceClasses.txt

Version 4.2.0.0
Added: Support for application statuses generated by new products.
Fixed: Log Collector freezes on SBS2008 without ESET product (or SysInspector).
Fixed: Wrong SysInspector version is downloaded on 64-bit OS.
Fixed: System & App Windows events logs in XML format are identical.
[/QUOTE]


скачать программу отсюда:
текущая версия - v4.8.1.0 (11.01.2023)
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­lector.exe

Сохраните программу на компьютер. Запустите ESET Log Collector от имени администратора (щелкните по программе правой клавишей мышки и в контекстном меню выберите "Запуск от имени администратора").  

В выпадающем меню "Режим сбора журналов ESET" выберите пункт "Фильтрованный двоичный код" и нажмите кнопку Собрать. Дождитесь окончания сбора необходимых сведений, по окончанию работы программы Вы увидите сообщение «Все файлы собраны и заархивированы» По умолчанию, архив с данными сохранится в папку, откуда Вы запускали утилиту и будет иметь название "ess_logs.zip". Путь сохранения архива можно изменить, нажав кнопку "...". Пришлите данный архив к нам на анализ.