104 ответов в этой теме

[v.martyanov]

С Trojan.Encoder.1418 ловить нечего?

В огороде бузина, в Киеве - дядька. Внимательно читайте тему в которую вы пишете.

[Closer]

У нас ситуация один в один как в первом посте, т.е. вирус прилетел 2 ноября и вывел по итогу картинку как на скриншоте первого поста.

 

Вот только как узнать, та ли эта версия вируса, если антивирусы (пробовал касперского и вэба) его не видят?

т.е. есть во прям архив с этим шифровальщиком, но запуск его на машине (специально под это дело выделили отдельный комп) под "защитой" веба с самыми последними базами приводит к шифрованию файлов при полной молчанке вэба.

То же самое с касперским.

[santy]

Closer,

проверьте возможность расшифровки зашифрованного файла с помощью gnupg.

если выдаст что "не найден формат openPGP", значит файлы зашифрованы новым вариантом ВАУЛТа, тем что в ходу со 2 ноября.

 

а вообще, последнее упоминание об активности прежнего бат-энкодера (vault) датируется 30октября.

после 30октября этот вариант (с шифрованием gnupg) ушел в тень/отпуск/заслуженный отдых и .т.п.

Сообщение было изменено santy: 11 Ноябрь 2015 - 06:47

[VVS]

У нас ситуация один в один как в первом посте, т.е. вирус прилетел 2 ноября и вывел по итогу картинку как на скриншоте первого поста.

 

Вот только как узнать, та ли эта версия вируса, если антивирусы (пробовал касперского и вэба) его не видят?

т.е. есть во прям архив с этим шифровальщиком, но запуск его на машине (специально под это дело выделили отдельный комп) под "защитой" веба с самыми последними базами приводит к шифрованию файлов при полной молчанке вэба.

То же самое с касперским.

А версия DrWeb какая?

[v.martyanov]

Саппорт пишет про единичные случаи старого vault и после 2.11, но это даты подачи заявок. Еще у нового Vault нет характерного GPG-заголовка, и на doc-файлах очень хорошо видно версию. Но это сложно объяснить, надо руку набить.

[Closer]

А версия DrWeb какая?

 

 

Свежий cureit, плюс запуск вируса на чистой машине с установленным, активированным (пробный период), и обновлённым вэбом.

 

При этом отправленный образец (через форму на этот сайте) отвергли, мол в базе уже есть.

 

Справедливости ради, касперский тоже его игнорирует.

 

 

Саппорт пишет про единичные случаи старого vault и после 2.11, но это даты подачи заявок.

 

 

Может по скрину можно понять версию:

 

 Безымянный.jpg   279,3К   0 Скачано раз

[v.martyanov]

Новая версия, судя по всему.

[1eonov]

Closer, v.martyanov, это точно реакция на вирус, а не на hta-файл с инструкцией? У меня, например, антивирус не отреагировал на hta, а вирус из письма распознал.

[v.martyanov]

hta детектить не будем, пусть этим "мусорщики" занимаются :-) Если детекта нет - SHA1 в студию или номер тикета.

[Closer]

hta детектить не будем, пусть этим "мусорщики" занимаются :-)

 

 

Я посылал не файл картинки, а архив с скриптом.

 

 2015-11-11_162751.png   37,89К   0 Скачано раз

 

SHA1 в студию или номер тикета.

 

6394505

Сообщение было изменено Closer: 11 Ноябрь 2015 - 12:25

[VVS]

А версия DrWeb какая?

Свежий cureit, плюс запуск вируса на чистой машине с установленным, активированным (пробный период), и обновлённым вэбом.

А версия DrWeb какая?

[Closer]

А версия DrWeb какая?

как будто есть выбор - "drweb-11.0-ss-win.exe" единственное, что можно скачать с сайта.

Сейчас пошли на второй круг - новая система и новый вэб, т.к. может после установки-удаления касперского чего осталось, что блокирует по тихому работу вэба....

[v.martyanov]

Соответствующая запись была добавлена на прошлой неделе.

[RomaNNN]

Что 10, что 11 версии должны блокировать работу энкодера, если не была отключена защита целостности программ (защита от инжектов).

 

Интересно бы посмотреть логи сервиса с зараженной машины. Можете выложить отчет Dr.Web с той машины?

 

И скрипт, который Вы в вирлаб отправляли, тоже в личку можно? Проверю.

[VVS]

 

А версия DrWeb какая?

как будто есть выбор - "drweb-11.0-ss-win.exe" единственное, что можно скачать с сайта.

 

Ну дык, откуда у меня уверенность, что Вы именно с сайта скачивали?
Народ иногда такие раритеты устанавливает...

[v.martyanov]

Все, прикрыли лавочку с vault. Те кому "повезло" подхватить трояна с 2.11 по 10.11 имеют шансы на расшифровку. После - не уверен...

[j0cker]

Все, прикрыли лавочку с vault. Те кому "повезло" подхватить трояна с 2.11 по 10.11 имеют шансы на расшифровку. После - не уверен...

то есть, имеем шансы?
подцепили 10 ноября, сразу обратились в саппорт. Тикет XXXX-XXXX. Но уже более суток молчания, то ли не дошел ход, то ли в процессе. Посмотрите, плз?

Сообщение было изменено RomaNNN: 11 Ноябрь 2015 - 15:55
Номера тикетов из саппорта нельзя публиковать

[v.martyanov]

Номера тикетов из саппорта нельзя публиковать...

[j0cker]

сорри, а как тогда?

о, пошел процесс вроде (с перепиской, имею в виду).

Сообщение было изменено j0cker: 11 Ноябрь 2015 - 16:01

[v.martyanov]

Личка же есть, если просят. Я спросил у сотрудника саппорта что там, сам, увы, не могу видеть результаты. Их тоже не надо публиковать :-)