Размещено 01.02.2016 23:39:44
[URL=http://forum.esetnod32.ru/user/24755/]Дмитрий Попов[/URL] можете подробней отписаться мне на почту mike<at>virusinfo.info (замените <at> на @)?
+ Несколько файлов зашифрованных пришлите.
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
файлы зашифрованы с расширением f*****, Filecoder.AO/ на рабочем столе Онлайн консультант
файлы зашифрованы с расширением f*****, Filecoder.AO/ на рабочем столе Онлайн консультант
зашифровано с расширением id-*[email protected]*, возможно, Filecoder.DG
зашифровано с расширением id-*[email protected]*, возможно, Filecoder.DG
Размещено 07.01.2016 11:23:18
[QUOTE]Евгений Афанасьев написал:
Так же обнаружил пару файлов удаленных в папке system32 - [URL=https://yadi.sk/d/V1S5Ue1cmiPc8]ссылка[/URL] возможно помогут для анализа[/QUOTE]
Вам нужно пытаться восстановить этот файл.
[QUOTE][QUOTE]Полное имя C:\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE[/QUOTE]
[QUOTE]Имя файла {75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE[/QUOTE]
[QUOTE]Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [/QUOTE]
[QUOTE] [/QUOTE]
[QUOTE]Удовлетворяет критериям [/QUOTE]
[QUOTE]CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)][/QUOTE]
[QUOTE] [/QUOTE]
[QUOTE]Сохраненная информация на момент создания образа[/QUOTE]
[QUOTE]Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске [/QUOTE]
[QUOTE]Инф. о файле Не удается найти указанный файл. [/QUOTE]
[QUOTE]Цифр. подпись проверка не производилась[/QUOTE]
[QUOTE] [/QUOTE]
[QUOTE]Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ[/QUOTE]
[QUOTE]Путь до файла Типичен для вирусов и троянов[/QUOTE]
[QUOTE] [/QUOTE]
[QUOTE]Ссылки на объект [/QUOTE]
[QUOTE]Ссылка HKEY_USERS\S-1-5-21-4169356517-2588050924-2036696651-1139\Software\Microsoft\Windows\CurrentVersion\Run\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}[/QUOTE]
[QUOTE]{75B6FD42-3SKE-818D-9865-3YTA2892536Y}C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.exe[/QUOTE]
[/QUOTE]
Так же обнаружил пару файлов удаленных в папке system32 - [URL=https://yadi.sk/d/V1S5Ue1cmiPc8]ссылка[/URL] возможно помогут для анализа[/QUOTE]
Вам нужно пытаться восстановить этот файл.
[QUOTE][QUOTE]Полное имя C:\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE[/QUOTE]
[QUOTE]Имя файла {75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE[/QUOTE]
[QUOTE]Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [/QUOTE]
[QUOTE] [/QUOTE]
[QUOTE]Удовлетворяет критериям [/QUOTE]
[QUOTE]CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)][/QUOTE]
[QUOTE] [/QUOTE]
[QUOTE]Сохраненная информация на момент создания образа[/QUOTE]
[QUOTE]Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске [/QUOTE]
[QUOTE]Инф. о файле Не удается найти указанный файл. [/QUOTE]
[QUOTE]Цифр. подпись проверка не производилась[/QUOTE]
[QUOTE] [/QUOTE]
[QUOTE]Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ[/QUOTE]
[QUOTE]Путь до файла Типичен для вирусов и троянов[/QUOTE]
[QUOTE] [/QUOTE]
[QUOTE]Ссылки на объект [/QUOTE]
[QUOTE]Ссылка HKEY_USERS\S-1-5-21-4169356517-2588050924-2036696651-1139\Software\Microsoft\Windows\CurrentVersion\Run\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}[/QUOTE]
[QUOTE]{75B6FD42-3SKE-818D-9865-3YTA2892536Y}C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.exe[/QUOTE]
[/QUOTE]
зашифровано с расширением id-*[email protected]*, возможно, Filecoder.DG
Шифровирусы шумной толпою
Размещено 30.12.2015 18:09:56
[QUOTE]вложенный файл чем то напоминает архив и имеет расширение .gz и теперь все файлы зашифрованы с расширением .breaking_bad[/QUOTE]
Не верю :) А какой файл находится внутри архива? :) Вот после запуска файла с расширением scr и начались проблемы. gz - это архив, а он при открытии по определению не является исполняемым файлом. Вывод: чьи-то ручки запустили файл из архива :)
[IMG WIDTH=546 HEIGHT=90]http://i.imgur.com/MaOt9lr.png[/IMG]
Не верю :) А какой файл находится внутри архива? :) Вот после запуска файла с расширением scr и начались проблемы. gz - это архив, а он при открытии по определению не является исполняемым файлом. Вывод: чьи-то ручки запустили файл из архива :)
[IMG WIDTH=546 HEIGHT=90]http://i.imgur.com/MaOt9lr.png[/IMG]
файлы зашифрованы с расширением *.ecc; *.exx; *.vvv, Teslacrypt / Filecoder.EM /support: .ecc,.ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc, .vvv, .xxx, .ttt., .micro
файлы зашифрованы с расширением .RDM; *.RKK; *.RAD, Radamant
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
Размещено 12.12.2015 14:51:20
Владимир Романов, несколько зашифрованных файлов в архиве.