С Trojan.Encoder.1418 ловить нечего?
В огороде бузина, в Киеве - дядька. Внимательно читайте тему в которую вы пишете.
Отправлено 09 Ноябрь 2015 - 17:50
С Trojan.Encoder.1418 ловить нечего?
В огороде бузина, в Киеве - дядька. Внимательно читайте тему в которую вы пишете.
Личный сайт по Энкодерам - http://vmartyanov.ru/
Отправлено 11 Ноябрь 2015 - 05:57
У нас ситуация один в один как в первом посте, т.е. вирус прилетел 2 ноября и вывел по итогу картинку как на скриншоте первого поста.
Вот только как узнать, та ли эта версия вируса, если антивирусы (пробовал касперского и вэба) его не видят?
т.е. есть во прям архив с этим шифровальщиком, но запуск его на машине (специально под это дело выделили отдельный комп) под "защитой" веба с самыми последними базами приводит к шифрованию файлов при полной молчанке вэба.
То же самое с касперским.
Отправлено 11 Ноябрь 2015 - 06:47
Closer,
проверьте возможность расшифровки зашифрованного файла с помощью gnupg.
если выдаст что "не найден формат openPGP", значит файлы зашифрованы новым вариантом ВАУЛТа, тем что в ходу со 2 ноября.
а вообще, последнее упоминание об активности прежнего бат-энкодера (vault) датируется 30октября.
после 30октября этот вариант (с шифрованием gnupg) ушел в тень/отпуск/заслуженный отдых и .т.п.
Сообщение было изменено santy: 11 Ноябрь 2015 - 06:47
Отправлено 11 Ноябрь 2015 - 08:09
У нас ситуация один в один как в первом посте, т.е. вирус прилетел 2 ноября и вывел по итогу картинку как на скриншоте первого поста.
Вот только как узнать, та ли эта версия вируса, если антивирусы (пробовал касперского и вэба) его не видят?
т.е. есть во прям архив с этим шифровальщиком, но запуск его на машине (специально под это дело выделили отдельный комп) под "защитой" веба с самыми последними базами приводит к шифрованию файлов при полной молчанке вэба.
То же самое с касперским.
А версия DrWeb какая?
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 11 Ноябрь 2015 - 09:51
Саппорт пишет про единичные случаи старого vault и после 2.11, но это даты подачи заявок. Еще у нового Vault нет характерного GPG-заголовка, и на doc-файлах очень хорошо видно версию. Но это сложно объяснить, надо руку набить.
Личный сайт по Энкодерам - http://vmartyanov.ru/
Отправлено 11 Ноябрь 2015 - 12:14
А версия DrWeb какая?
Свежий cureit, плюс запуск вируса на чистой машине с установленным, активированным (пробный период), и обновлённым вэбом.
При этом отправленный образец (через форму на этот сайте) отвергли, мол в базе уже есть.
Справедливости ради, касперский тоже его игнорирует.
Саппорт пишет про единичные случаи старого vault и после 2.11, но это даты подачи заявок.
Может по скрину можно понять версию:
Безымянный.jpg 279,3К 0 Скачано раз
Отправлено 11 Ноябрь 2015 - 12:16
Новая версия, судя по всему.
Личный сайт по Энкодерам - http://vmartyanov.ru/
Отправлено 11 Ноябрь 2015 - 12:19
Closer, v.martyanov, это точно реакция на вирус, а не на hta-файл с инструкцией? У меня, например, антивирус не отреагировал на hta, а вирус из письма распознал.
Отправлено 11 Ноябрь 2015 - 12:20
hta детектить не будем, пусть этим "мусорщики" занимаются :-) Если детекта нет - SHA1 в студию или номер тикета.
Личный сайт по Энкодерам - http://vmartyanov.ru/
Отправлено 11 Ноябрь 2015 - 12:25
hta детектить не будем, пусть этим "мусорщики" занимаются :-)
Я посылал не файл картинки, а архив с скриптом.
2015-11-11_162751.png 37,89К 0 Скачано раз
SHA1 в студию или номер тикета.
6394505
Сообщение было изменено Closer: 11 Ноябрь 2015 - 12:25
Отправлено 11 Ноябрь 2015 - 12:25
А версия DrWeb какая?Свежий cureit, плюс запуск вируса на чистой машине с установленным, активированным (пробный период), и обновлённым вэбом.А версия DrWeb какая?
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 11 Ноябрь 2015 - 12:44
А версия DrWeb какая?как будто есть выбор - "drweb-11.0-ss-win.exe" единственное, что можно скачать с сайта.
Сейчас пошли на второй круг - новая система и новый вэб, т.к. может после установки-удаления касперского чего осталось, что блокирует по тихому работу вэба....
Отправлено 11 Ноябрь 2015 - 12:46
Соответствующая запись была добавлена на прошлой неделе.
Личный сайт по Энкодерам - http://vmartyanov.ru/
Отправлено 11 Ноябрь 2015 - 12:48
Что 10, что 11 версии должны блокировать работу энкодера, если не была отключена защита целостности программ (защита от инжектов).
Интересно бы посмотреть логи сервиса с зараженной машины. Можете выложить отчет Dr.Web с той машины?
И скрипт, который Вы в вирлаб отправляли, тоже в личку можно? Проверю.
Отправлено 11 Ноябрь 2015 - 12:54
как будто есть выбор - "drweb-11.0-ss-win.exe" единственное, что можно скачать с сайта.А версия DrWeb какая?
Ну дык, откуда у меня уверенность, что Вы именно с сайта скачивали?
Народ иногда такие раритеты устанавливает...
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 11 Ноябрь 2015 - 14:00
Все, прикрыли лавочку с vault. Те кому "повезло" подхватить трояна с 2.11 по 10.11 имеют шансы на расшифровку. После - не уверен...
Личный сайт по Энкодерам - http://vmartyanov.ru/
Отправлено 11 Ноябрь 2015 - 15:46
Все, прикрыли лавочку с vault. Те кому "повезло" подхватить трояна с 2.11 по 10.11 имеют шансы на расшифровку. После - не уверен...
то есть, имеем шансы?
подцепили 10 ноября, сразу обратились в саппорт. Тикет XXXX-XXXX. Но уже более суток молчания, то ли не дошел ход, то ли в процессе. Посмотрите, плз?
Сообщение было изменено RomaNNN: 11 Ноябрь 2015 - 15:55
Номера тикетов из саппорта нельзя публиковать
Отправлено 11 Ноябрь 2015 - 15:49
Номера тикетов из саппорта нельзя публиковать...
Личный сайт по Энкодерам - http://vmartyanov.ru/
Отправлено 11 Ноябрь 2015 - 15:59
Сообщение было изменено j0cker: 11 Ноябрь 2015 - 16:01
Отправлено 11 Ноябрь 2015 - 16:01
Личка же есть, если просят. Я спросил у сотрудника саппорта что там, сам, увы, не могу видеть результаты. Их тоже не надо публиковать :-)
Личный сайт по Энкодерам - http://vmartyanov.ru/
0 пользователей, 0 гостей, 0 скрытых