ESET CONNECT

[QUOTE][U][/U]Игорь Смирнов написал:
Здравствуйте коллеги!
Подскажите, как первично обезвредить сам вирус, что бы первично можно было пользоваться компьютером, а вирус не шифровал бы дальше все что есть и будет потом? Как вырвать эту заразу? Но что бы не повредить саму возможность последующей расшифровки![/QUOTE]
Идите на форум Virusinfo и создайте свою тему в разделе "Помогите".
[URL=http://virusinfo.info/forumdisplay.php?f=92]http://virusinfo.info/forumdisplay.php?f=92[/URL]

[B]santy
[/B]Я никаких правил этой ссылкой не нарушаю?

[QUOTE]santy написал:
да, не работают.
но это рекомендации больше домашнему пользователю относится.
+ бат-энкодер пока не актуален.[/QUOTE]
А для недомашних есть групповые политики.

Кстати, до меня недавно дошло, что через HIPS очень удобно папки с бэкапами защищать.
Одно правило запрещает для этой папки запись и удаление,
а второе разрешает это программе, которая делает бэкап.

[QUOTE]alex Alekseev написал:
ГДЕ ДЕШИФРАТОР? вы что пытаетесь мне доказать? я вам факт, а вы мне глупую лирику...я вам написал что ваши конкуренты не спят как вы,а сделали дешифратор...а вы в ответ: "админы и пользователи дураки"... вы вообще понимаете суть вопроса? суть вопроса что при включенном антивирусе НОД32 зашифровался компьютер...зачем тогда нужны вы если у вас антивирус дырявый...ваша проблема - исправляйте![/QUOTE]
Тут недавно на форуме DrWeb-а один пользователь так же патетически вопрошал, почему у них до сих пор нет дешифратора на .xtbl в то время как у других он уже есть.
Видимо теперь будет на Касперского переходить  :)
А насчет дырявых антивирусов - неужели непонятно, что прежде чем рассылать новый шифровальщик, его авторы добиваются чтобы его никто не детектировал.

[QUOTE]alex Alekseev написал:
Причем у нас есть лицензии нод и касперского и как на зло нет доктор веба...по факту оба имеющихся антивируса оказались бессильны в проблеме...делаю вывод нужно переходить туда где оперативнее помощь. следующие закупки антивирусов буду делать на доктор веба[/QUOTE]
Если пользователь не соблюдает элементарных мер безопасности, то никакой антивирус его не спасет.
А если в следующий раз подхватите что-то на что нет расшифровки у DrWeb-а, к кому побежите?  :)  

[QUOTE]santy написал:
да, надо смотреть что там не так в cmd-скрипте

[/QUOTE]
Тот который для ручной расшифровки (restore.exe), нормально работает
Там два файла - собствено дешифровщик VAULT-RESTORE.exe и командный файл revault.cmd


--------
@ECHO OFF
Setlocal Enabledelayedexpansion
chcp 866
cls
for %%i in (*.vault) do (
rename "%%~fi" "PROCESSING.file.vault" >nul
VAULT-RESTORE.exe -key_file: "sec.key" -decrypt_file: "PROCESSING.file.vault"
if exist "PROCESSING.file" (
rename "PROCESSING.file" "%%~ni" >nul
if exist "%%~ni" (
del /f /q "PROCESSING.file.vault" >nul
) else (
rename "PROCESSING.file.vault" "%%~ni.vault" >nul
)
echo  DECRYPTED: %%~ni
) else (
echo  ERROR: %%~ni
rename "PROCESSING.file.vault" "%%~ni.vault" >nul
)
)
ping 127.0.0.1 -n 3 >nul
echo.
echo  DECRYPTING DONE
ping 127.0.0.1 -n 5 >nul
del /f /q "VAULT-RESTORE.exe" >nul
del /f /q "sec.key" >nul
del /f /q "revault.cmd" >nul
del /f /q %0
-------

Что касается пакетного дешифровщика, там две ошибки:
1. В командном файле revault.cmd - chcp 866 - при этом он неправильно понимает кириллицу в путях к зашифрованным файлам. Надо использовать chcp 1251
2. В самом дешифровщике - он не воспринимает пробелов в путях к зашифрованным файлам и в пути к ключу sec.key
То есть собственно дешифровка в этом случае не происходит:
"%TEMP%\VAULT-RESTORE.exe" -key_file: "[B][U]%TEMP%\[/U][/B]sec.key" -decrypt_file: "[B][U]%1:%%~pi[/U][/B]PROCESSING.file.vault"