mike 1 (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Защита от шифровальщиков

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 11.07.2016 15:58:05

[QUOTE]скажем, запрет на запуск из архивов *.exe приводит к тому, что такие программы как Firefox, Thunderbird (и другие, которые в темп распаковывают свои модули в архивах) не будут установлены, а будут заблокированы.[/QUOTE]
Сами *.exe не блокируются. Для них реализована ограниченная поддержка в том плане, что защита будет работать, если запускать файл будут через ПКМ => Открыть, но вместо "Открыть" будет "Сохранить".

Изменено: mike 1 - 11.07.2016 15:58:34

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 30.06.2016 23:18:07

Между тем появилась новая модификация этого шифровальщика. Ставит расширение Windows 10.

Перейти

зашифровано с расширением id-*_bitcoin@huobi.in, возможно, Filecoder.DG

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 16.06.2016 16:42:12

[QUOTE]Cавва Степанов написал:
[URL=mailto:.pptx.id-5949466320_bitcoin@huobi.in]pptx.id-5949466320_bitcoin@huobi.in[/URL]
по такому занимаетесь?[/QUOTE]
Пришлите несколько doc файлов (именно doc, а не docx!) и одну картинку в архиве.

Перейти

Шифровирусы шумной толпою

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 24.05.2016 21:39:25

В версии 1.3 длина ключей возросла до 4096 бит. Если я правильно все посчитал, то публичные ключи для одной из почт такие:

RSA1:[CODE]028346128570283714560086081426896101806134917561293558126441843969550589333668536593893339171143254312620592211618687450761242679270490868265630234431305111971416093085131532403128776059515053351045391318678093580696771311620268697418058534294185025219553911235785842494958958823404798369912938767240480642858049653953186849837195968243400616719928886872719995197301478432482211357696338197443180587517183220810858297247882727529283455711207776938274588981644923796003572877784826720519022612698383782958693473615773045912722331599462368286435853654029065001315823515544618015577196119796705939816659183402156586206090989894861881181645639259014053970201312471597155090999544922007780919134990099030678426331584346165594128635513232549069360570844041754463851613251518180399755503825960412325259590101890875198837380626658193502782463556201172001469621709141307079471558093655158268626604995122784699935214707751403404964840378477167742171882197516301150765068539141050461377635243420060985774811713427875249452481117207148156222646038130190766995050875363177733090686905815465715193796814501775438291838806287675118299327987470555927168503851078650553710222571610805252810695282726374470918270921206253350547728401512507804388534191
[/CODE]
RSA2:
[CODE]29317783351028520569685663551235426439611601501726830592797647776192095594219106898304055515707233797254920454133839427102407090348874397949069637972205792028473598411665384157588065176596437505275164305112561818747647395529530533883746705791507433523282934986256445195795082293635429828819824614389251950140549427728533604188071697689981304329474206584812481018782856913854739293448311431729056897123113515141365638487284859012736291199498434318582407346682927238713641958638907398437632561285472805282666876796558511316730048448369653751418877436795434094293891796591102111378824055134141457644566932575109951961318332818654192751432738481655260785672944411421474209151105597140000218048057444598029036981042564608970421075392275231009297216459365951879065228461703821704349559234791153095029346514364438288369597459769924414196327426448225063152658965377639928866589718229471955087841533445909418143635692619223719292198134978259883549256435562504888447116260014772904760857643935122629243449839644021894650347252027821175601946254832619345060780126424146190132799477666143611495018818612128300976071039041786391728481190172035334843983622755413773277654234559664331340192909244890727848202911962346278729283518657071972410685101
[/CODE]
RSA3:
[CODE]494358821139781533953341054592278251697017421234518621280183525169899171796533468785669312103362780970694793362099718673040320468564893845906986141613324196529344100402809051500278279032794994722185035794771491305347758164197864943118184004675673513554636133633951476247589323840659585663701982454160482271985908521840193860215120715894370756195175835923239981796802970376545928489858472689714849638564386658373815391930405303278715975586196788765927087713139122689068654687575327807188249836710768065527302481168711163587625660504968635724991235529569587916712812877019841910790452092645879506422283702332323308684384336381993929244254113848831163161886105432332891055915529037065024898065880771034525891499803107331160517056611780544713006862883439911524068665269839981697792383861097727137227348918155909287223270743961635167304047286384724204874827993298928944074401106022706739038508240828645170310236251402730311394184232970479773077551971804803619637168511427346946046304634803740744402084164896072501707250338037207915777072276911245575998235526140007384567293331145552240351467221388302745175473011541329596217563638713538937033566679165420192422908840352747236327338289425412708485210927435734896064296298642096478528054019
[/CODE]

Перейти

Шифровирусы шумной толпою

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 24.05.2016 14:43:35

Новая версия Cryakl появилась. + Может воровать пароли теперь.

[URL=http://virusinfo.info/showthread.php?t=200738]http://virusinfo.info/showthread.php?t=200738[/URL]

[URL=https://www.virustotal.com/ru/file/eaa8b3f44b527ab7c61d410623afdfd4f6a27c3f76456e5416d9335fa35ded5b/analysis/1464087841/]https://www.virustotal.com/ru/file/eaa8b3f44b527ab7c61d410623afdfd4f6a27c3f76456e5416d9335fa35ded5b/...[/URL]

Изменено: mike 1 - 24.05.2016 14:44:45

Перейти

[ Закрыто] Бета версии 10 -ого поколения продуктов ESET

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 05.05.2016 02:10:28

[QUOTE]santy написал:
если это опция HIPS, то экспериментировать с тестами, думаю можно при отключенной защите файловой системы, главное, чтобы HIPS был включен.[/QUOTE]
Потестил. К сожалению, пока все не очень хорошо.

[URL=https://www.youtube.com/watch?v=grNo6unOzhU]https://www.youtube.com/watch?v=grNo6unOzhU[/URL]

Перейти

[ Закрыто] Бета версии 10 -ого поколения продуктов ESET

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 04.05.2016 12:51:03

[QUOTE]В настройки HIPS добавили опцию: ransomware protecrion. Так что можно проверить как защищает EIS 10beta на реальных шифраторах....[/QUOTE]
Я так понимаю эту технологию можно тестировать с устаревшими базами?

Перейти

Шифровирусы шумной толпою

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 30.04.2016 22:07:14

Сайт [URL=https://id-ransomware.malwarehunterteam.com/index.php?lang=ru_RU]https://id-ransomware.malwarehunterteam.com/index.php?lang=ru_RU[/URL] обзавелся русским языком.

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 28.04.2016 12:25:08

[QUOTE]Максим Бовкун написал:
На данном ПК стоит лицензия которая приобреталась на организацию.
Стороннее ПО удалил.[/QUOTE]
А что же тогда пиратите?

Перейти

Шифровирусы шумной толпою

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 20.04.2016 18:52:08

Сегодня попался забавный скрипт ([URL=https://www.virustotal.com/ru/file/5fac64a48a75f832123ee8831165251836ab340d7e585a7906cf53a09b13a034/analysis/]https://www.virustotal.com/ru/file/5fac64a48a75f832123ee8831165251836ab340d7e585a7906cf53a09b13a034/...[/URL]) от авторов шифровальщика Shade. При запуске скрипта загружает с сервера текстовой файл со следующим содержимым: :)
[CODE]MAKE LOVE NOT MALWARE
.:::. .:::.
:::::::.:::::::
:::::::::::::::
':::::::::::::'
':::::::::'
':::::'
':'
.:::. .:::.
:::::::.:::::::
:::::::::::::::
':::::::::::::'
':::::::::'
':::::'
':'
[/CODE]

Перейти