Размещено 08.04.2016 08:27:19
[QUOTE]santy написал:
работает или нет данный шифратор вы можете увидеть по наличию зашифрованных файлов на дисках
по наличию в памяти вот такого процесса csrss.exe, запущенного от имени учетной записи пользователя.
по наличию в автозапуске такой записи:
HKEY_USERS\S-1-5-21-1993962763-1390067357-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
%SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
"C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe"
но алгоритм может быть такой.
запуститься и шифровать может файл с любым именем, и висеть в памяти, но свою копию он создает в виде CSRSS.EXE
и прописывает ее в автозапуск, на тот случай если будет перезагрузка, и шифрование еще не завершилось.
тело шифратора запускаться может либо из внедренного в офисный документ объекта,
либо скачиваться из сети после запуска js. js как правило прилетает из почты в архивном вложении.
----------
если нужно проверить компы, зайдите в тему обнаружение вредоносного кода
[URL=https://forum.esetnod32.ru/forum6/]https://forum.esetnod32.ru/forum6/[/URL] [/QUOTE]
Спасибо. Буду иметь ввиду. А как нибудь можно расшифровать данные с другого компа где не был установлен антивирус?:( Техпод не отвечает что то. Компьютер тот изолировал. Жду решения.
работает или нет данный шифратор вы можете увидеть по наличию зашифрованных файлов на дисках
по наличию в памяти вот такого процесса csrss.exe, запущенного от имени учетной записи пользователя.
по наличию в автозапуске такой записи:
HKEY_USERS\S-1-5-21-1993962763-1390067357-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
%SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
"C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe"
но алгоритм может быть такой.
запуститься и шифровать может файл с любым именем, и висеть в памяти, но свою копию он создает в виде CSRSS.EXE
и прописывает ее в автозапуск, на тот случай если будет перезагрузка, и шифрование еще не завершилось.
тело шифратора запускаться может либо из внедренного в офисный документ объекта,
либо скачиваться из сети после запуска js. js как правило прилетает из почты в архивном вложении.
----------
если нужно проверить компы, зайдите в тему обнаружение вредоносного кода
[URL=https://forum.esetnod32.ru/forum6/]https://forum.esetnod32.ru/forum6/[/URL] [/QUOTE]
Спасибо. Буду иметь ввиду. А как нибудь можно расшифровать данные с другого компа где не был установлен антивирус?:( Техпод не отвечает что то. Компьютер тот изолировал. Жду решения.