В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

Вопросы и обсуждение различных средств удаления вирусов

отредактировано December 2016 Раздел: Форум лечения заражений
в AdwCleaner-е (v 5.115) все больше становится рабочих и полезных твиков. Размер исполняемого файла заметно увеличился. (до 3мб). Видимо добавлена локальная база для детектирования.




ESET выпустил бетку ESET Internet Security 10, судя по настройкам, добавлена какая то работа с ransomware, надо потестировать на реальных шифраторах.








Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
adw.jpg 58.3K
«13

Комментарии

  • вышла новая бетка uVS:
    ---------------------------------------------------------
    3.87.3
    ---------------------------------------------------------
    o Улучшен разбор командной строки cmd.exe

    o Новая скриптовая команда: BP
    Заблокировать запуск указанного в параметре файла по пути или маске.
    Допустимо использовать переменные окружения Windows и символы ? и *.
    Примеры:
    %APPDATA%\*.exe
    trojan*.*
    c:\auto*.???

    o Новый параметр fHeight
    [Settings]
    ; Размер шрифта в редакторе скриптов
    fHeight (по умолчанию 9)

    o Новый параметр fWeight
    [Settings]
    ; Вес (жирность) шрифта
    fWeight (по умолчанию 300)

    o Новый параметр fFaceName
    [Settings]
    ; Имя шрифта
    fFaceName (по умолчанию Tahoma)
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Актуальная версия uVS:

    3.87.4
    o Добавлена функция обработки заданий BITS.
    Файлы помещаются в категорию "Задачи"
    (!) Только для активных и удаленных систем.
    (!) Вы не сможете удалить задания которыми владеет NT\SYSTEM, даже если вы запустите uVS под LocalSystem.
    (!) Это особенность (баг?) BITS при которой пользователь обязан выполнить вход в сеть, что для LocalSystem не выполнимо.

    o В контекстное меню файла добавлена команда "Запретить запуск файла".
    (скриптовая команда BP)

    o Обновлена функция определения версии MSIE для новых систем.

    o Исправлена проблема реинициализации в серверной части для режима bReUseRemote=1
    (для удаленных систем)
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2016 PM
    по бетке AdwCleaner 6 (спасибо Vvvyg за ссылку), каких то заметных изменений, кроме интерфейсной части (оптимизированы настройки, добавлены менеджер карантина, логов) пока не вижу.

    483qb710tqr7.jpg

    update:
    Adwcleaner 6 уже в релизе:
    //////// v6.000 - 08/08/16 ////////

    [ADD] - New codebase
    [ADD] - New translation system
    [ADD] - Support for IceDragon browser
    [ADD] - Initial support for Vivaldi
    [ADD] - Support for Firefox fake profiles detection
    [ADD] - Generic.Shell detection
    [ADD] - Log Manager
    [ADD] - Options interface
    [ADD] - New graphisms and refreshed interface
    [ADD] - Basic metrics system
    [ADD] - New debug module
    [ADD] - Enforced optimizations during compilation
    [ADD] - RAM usage optimization

    [BUG] - Various security fixes
    [BUG] - Fix Network connectivity checks
    [BUG] - Element deleted on reboot now quarantined
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2016 PM
    тестировал Comodo Cloud Antivirus.
    Для изучения работы шифраторов будет крайне полезен. Если раньше использовал снэпшоты виртуальной машины, то теперь, в некоторых случаях можно просто запускать шифратор в Sandbox. (Минус в том, что uVS не проанализирует автозапуск.) И кстати, ни один из запускаемых шифраторов не был пропущен. Часть из них, автоматически открывается в Sandbox, как недоверенное приложение.

    j5nszhkssa84.jpg

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано September 2016 PM
    uVS:

    3.87.5
    o Обновлен механизм обмена данными с удаленной системой для устранения задержек при работе и подвисаний при подключении, вызванных проблемами с кривым кэшем SMB 2/3 в Windows.
    В случае если у вас останутся проблемы и на этой версии uVS то необходимо установить два ключа в ветке реестра.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanworkstation\Parameters
    o FileNotFoundCacheLifetime : DWORD 0
    o DirectoryCacheLifetime : DWORD 0
    После чего перезапустить службу Lanmanworkstation.
    Это отключит кэширование запросов и решит все проблемы с задержками и подвисаниями возникающими из-за нерабочего сетевого кэша.

    o Добавлен 37-й твик "Исправить \\ в пути к файлам".
    Поддерживается исправление значений в реестре только для типов данных REG_SZ и REG_SZ_EXPAND.

    o Добавлено удаление из реестра ключей кэша задач при удалении задачи.

    o Исправлена ошибка при первоначальном подключении к удаленной системе с установкой службы.
    Флаг bFixedName игнорировался для клиентской части.

    +

    3.87.6
    o Исправлен обработчик кнопки "Добавить в базу".
    (для случая когда выбран только 1 файл)

    o Добавлена возможность поиска по катологу в разделе известных файлов.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано September 2016 PM
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2016 PM
    В этот раз Malwarebytes AntiRansomware заблокировал запуск шифратора da_vinci_code. Прежние версии утилитки постоянно его пропускали.

    noxzujjxr2z8.jpg

    скачать можно отсюда
    https://forums.malwarebytes.org/topic/177751-introducing-malwarebytes-anti-ransomware-beta/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2016 PM
    update uVS:

    3.87.7
    o Обновлена функция чтения TaskCache, добавлена поддержка CLASSID.

    o Добавлен парсер NON-ASCII имен расширений для старых версий Chrome.

    o Флаг bWebVT по умолчанию теперь равен нулю.

    o Обновлены функции разбора расширений Firefox и Chrome.
    Некоторые программы с проактивной защитой могли блокировать сбор данных о расширениях.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано November 2016 PM
    Malwarebytes похоже приобрела проект AdwCleaner.
    Welcome, AdwCleaner fans

    We at Malwarebytes are big fans too. That’s why we’ve asked Jérôme Boursier, Corentin Chepeau, and the rest of the AdwCleaner team to join us. We’re now working together to make a malware-free existence a reality for everyone.

    Don’t worry—we will maintain, support, and keep AdwCleaner free for everyone. We believe in its mission, and will be integrating its technology into Malwarebytes products in the future. Learn more about the acquisition.

    https://www.malwarebytes.com/adwcleaner_welcome/

    j66wapqydl3m.jpg


    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано December 2016 PM
    Cisco Talos has released a Windows disk filter driver called MBRFilter that listens for programs trying to modify the Master Boot Record and blocks them. This effectively blocks these types of ransomware from being installed and encrypting the MBR.
    MBR Filter

    MBR Filter is a simple disk filter designed by Cisco Talos to block write access to the Master Boot Record (MBR). The MBR is used to store information related to how the storage device is partitioned, as well as details regarding the filesystem configuration on the device. MBR Filter prevents rootkits, bootkits, and ransomware, such as Petya Ransomware, from overriding the operating system’s (OS) boot loader. Ransomware, like Petya, overwrite and encrypt the victim’s Master File Table (MTF) to coerce them into paying for an encryption key.

    MBR Filter, once installed, requires the system to boot in Safe Mode to enable write access to make changes to the device. This prevents malicious software from writing to or modifying the contents of this section of the machine or any disks connected to the system. MBR Filter enables users to effectively protect their systems from various malware families and disrupts the operations of cyber criminals, making their malware ineffective. Talos offers the MBR Filter in two formats usable on Windows based systems: open source which can be used and modified by anyone and a precompiled, signed driver executable that can be installed.

    MBRFilter has been intentionally made difficult to remove to prevent malware from simply disabling or removing this protection during the infection process. Test thoroughly before deploying within production environments.
    http://www.talosintelligence.com/mbrfilter/

    http://www.bleepingcomputer.com/news/security/testing-mbrfilter-against-ransomware-that-modify-the-master-boot-record/#cid3609

    v5npoepijygp.jpg


    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • update uVS:

    3.87.8
    o Добавлен новый пункт меню Реестр->Создать доступную копию реестра из каталога RegBack и выбрать ее
    Создается каталог \System32\config\uVSRegBack в него копируется заблокированное содержимое каталога \System32\config\RegBack
    Затем UvsRegBack выбирается в качестве дефолтного каталога с бэкапом реестра, что позволяет использовать копию реестра для операций
    с восстановлением реестра или его отдельных ключей в активной системе.
    Функция доступна для Windows Vista и старше
    (!) Использовать эту функцию НЕ рекомендуется при наличии доступного бэкапа реестра.
    (!) Доступно только для активной системы.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано December 2016 PM
    Malwarebytes 3.0.4.1269

    Performance / Protective Capability:
    • Added signature-less anti-exploit and anti-ransomware protection (Premium only)
    • Up to 4x faster scan speeds, including even quicker Hyper Scans
    • Removed non-essential reboots after certain malware removal events
    • Advanced Heuristic Engine (Shuriken) now enabled by default
    • Self-Protection now enabled by default (Premium only)

    Usability:
    • Redesigned user interface for improved usability
    • Now configurable to integrate with Windows Action Center / Windows Security Center (Premium only)
    • Update checks are done automatically so they do not need to be scheduled
    • Improved support for keyboard navigation and screen readers

    Stability / Issues Fixed:
    • Added ability to lock down My Account screen via User Access Policy
    • Added ability to collect enhanced logs when directed to do so by Support
    • Fixed issue where Scheduler did not adjust for Daylight Saving Time changes
    • Fixed issue where Scheduler defaulted to hourly Threat Scan instead of Daily
    • Fixed issue where Chameleon reported error messages numerous times to Windows Event Viewer
    • Changed 'Recover if missed by' setting in Scheduler to Off by default
    • Prevented rootkit scanning in Custom Scans if full system drive is not selected
    • Updated to latest version of 7-Zip DLL
    • Addressed many other miscellaneous defects

    jlxzpqj9hbw0.jpg
    How do I upgrade my Malwarebytes Anti-Malware to Malwarebytes 3.0?
    Simply download and run the installer from here. Malwarebytes 3.0 will automatically upgrade Malwarebytes Anti-Malware 2.x to Malwarebytes 3.0 and apply its license key accordingly.

    How do I upgrade to Malwarebytes 3.0 if I also have Anti-Exploit or Anti-Ransomware installed?
    Simply download and run the installer from here. Malwarebytes 3.0 will automatically remove the old Anti-Malware, Anti-Exploit and Anti-Ransomware and upgrade them all to Malwarebytes 3.0.

    https://downloads.malwarebytes.org/file/mbam_current/

    если вы скачиваете Free версию, по умолчанию устанавливается Premium версия в ознакомительном режиме. (функции защиты работают 14 дней). Для полной или выборочной проверки системы сканированием (с очисткой) достаточно Free версии. Можно зайти в Параметры- личный кабинет и деактивировать Premium версию.

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано January 2017 PM
    Еще одну полезную программу добавил в список своих разработок Michael Gillespie
    Программа называется CryptoSearch. Ее можно использовать для поиска зашифрованных файлов на локальных и сетевых дисках после атаки шифратора. С тем, чтобы оценить ущерб от шифрования. Программа получает файл определений cryptosearch-definitions.bin из сети. Данный файл очевидно формируется с помощью сервиса ID Ransomware, опять же разработанного Майклом Гиллеспи.

    Функции утилиты позволяют так же экспортировать список найденных файлов в файл-лист, а так же добавить или переместить найденные файлы в архив.

    Программу можно скачать с сайта bleepingcomputer.com

    dthcw5r6xqz5.jpg
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано January 2017 PM
    uVS обновился до 3.87.9

    3.87.9
    o Добавлена поддержка Яндекс браузера.
    Категория Google Chrome переименована в Chrome/Yandex.

    o Добавлена поддержка стартовых страниц новых версий Chrome.
    (удаление отдельных страниц не поддерживается, удаляются все сразу)

    o Исправлена ошибка - некоторые ранее проверенные объекты (не файлы) могли терять статус проверенного при обновлении списка.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано March 2017 PM
    uVS обновился до 3.87.10

    3.87.10
    o Добавлена поддержка .hta файлов.

    o Добавлена функция анализа параметров запуска основных браузеров.

    o Исправлена критическая ошибка возникающая при разборе поврежденных значений реестра.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Michael Gillespie обновил утилиту CryptoSearch до версии v0.9.5.0
    I've released v0.9.5.0 that can identify files encrypted by Spora

    C7zsywUXkAAwrHJ.jpg

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано March 2017 PM
    похоже, demkd сделал концептуальное обновление для uVS, в итоге выпущен 4.00b1

    4.00 Beta 1
    o Добавлена очередь команд, вы можете отдавать команды без ожидания исполнения каждой команды в отдельности,
    что может очень существенно уменьшить общее время исполнения команд.

    o Теперь функции, а так же все соответствующие им скриптовые команды:
    o Удаление ссылки на объект (delref)
    o Удаление объекта вместе со всеми ссылками на него (delall)
    o Выгрузка из памяти (unload)
    o Удаление ссылок на отсутствующие файлы (delnfr)
    НЕ исполняются немедленно, а помещаются в очередь команд, очередь не имеет ограничений на количество элементов.

    o Для исполнения команд и применения изменений необходимо нажать новую кнопку "Принять изменения".
    (!) Это верно для _всех_ режимов работы uVS.
    (!) Порядок исполнения команд не определен и зависит от id процессов и порядка расположения соотв. записей в реестре,
    (!) т.е. никак не зависит от очередности отдачи команд, однако соблюдается общий порядок: сперва выгрузка процессов,
    (!) затем удаление ссылок и лишь потом удаление файлов.
    (!) Функция убить все найденные вирусы (delvir) кроме основной функции применяет все ранее сделанные изменения и очищает очередь.
    (!) Начало выполнения скрипта очищает очередь БЕЗ применения изменений.
    (!) В скрипте необязательно указывать команду "apply" она будет применена автоматически или в конце исполнения скрипта,
    (!) однако если процесс требует блоков последовательных действий или вы используете виртуализацию, вам необходимо убедиться,
    (!) что команда "apply" присутствует в конце блоков команд и перед командой актуализации реестра.

    o Удалить отдельные команды вы можете в новом разделе "Очередь команд".

    o Новая скриптовая команда "apply" применяет все сделанные изменения и очищает очередь.

    o Улучшен фильтр для обработки параметров запуска браузеров.

    o Улучшена эмуляция исполнения команд при работе с образом.

    o Флаг ImgDelnfrUnwind устарел и более не используется.

    o Устаревшая скриптовая команда delnfr теперь может быть добавлена в скрипт лишь вручную.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано April 2017 PM
    Майк Гилеспи обновил сервис IDR. Теперь идентификация Ransomware возможна дополнительно по e-mail и btc address.
    New ID Ransomware feature! Only got an email/BTC/URL from the #ransomware screen, no note? No problem! Just enter for identification!

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Michael Gillespie updated CryptoSearch to version v0.9.7.0 in order to find files encrypted by Amnesia, Amnesia2, Cry9, Cry128, and Cry36 using filemarkers.

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано July 2017 PM
    Исследователь безопасности Elad Erez создал инструмент Eternal Blues, который системные администраторы могут использовать для проверки того, уязвимы ли компьютеры в их сети к эксплуатации с помощью эксплойта ETERNALBLUE от NSA.
    Security researcher Elad Erez has created a tool named Eternal Blues that system administrators can use to test if computers on their network are vulnerable to exploitation via NSA's ETERNALBLUE exploit.

    Erez released his tool on Wednesday, a day after the NotPetya ransomware caused damages to thousands of computers across the globe.

    Just like WannaCry did in last month's outbreak, NotPetya also used ETERNALBLUE as a means to spread from one computer to the next.

    In hacking and cyber-security circles, ETERNALBLUE is considered one of the most potent exploits ever seen. A testament to its efficiency and ability to create virulent threats stand the two ransomware outbreaks that took place just two months after its release.

    Under the hood, ETERNALBLUE leverages a vulnerability (CVE-2017-0144) in the SMBv1 file sharing protocol. Windows computers — where SMBv1 comes enabled by default — mishandles specially crafted SMB packets and allows an attacker to execute arbitrary code on the user's computer.

    https://www.bleepingcomputer.com/news/software/-eternal-blues-tool-tests-computers-against-nsas-eternalblue-exploit/

    http://omerez.com/repository/EternalBlues.exe
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано July 2017 PM
    avast-software-dark.pngAvast, крупнейший в настоящее время поставщик программного обеспечения для обеспечения безопасности, приобрел Piriform, британскую компанию, которая стоит за многими успешными настольными и мобильными приложениями, такими как CCleaner, Recuva, Speccy и Defraggler.

    Приобретение было объявлено сегодня в пресс-релизе и в блогах обеих компаний, но в настоящее время финансовых данных нет.

    Piriform - частная компания, основанная в Лондоне, Великобритания, основанная еще в 2004 году. Известность компании принесло приложение CCleaner, очень популярная утилита оптимизации ОС с версиями для Windows, Mac и Android.

    По словам Piriform, CCleaner имеет более 130 миллионов пользователей на настольных компьютерах и более 15 миллионов пользователей на мобильных устройствах. В ноябре 2016 года Piriform объявила о том, что CCleaner превзошла два миллиарда загрузок, что делает его одним из самых популярных программ по всему миру, причем ежемесячно загружается более 23 миллионов загрузок.

    https://www.bleepingcomputer.com/news/business/avast-buys-piriform-the-company-behind-ccleaner-and-recuva/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано July 2017 PM
    IvJlfEl4.png
    AdwCleaner обновился до версии 7.0.0.0
    Signatures/Checksums

    MD5 · c651234ae25e4843105cbc50fe2ba124
    SHA1 · 731449cf4bf201f6fc15d5b77e3ce8105923a4b0
    SHA256 · e04a33280109d97c0fb999175c590a8db87f554359c60bedc98faa0ebb56758f

    https://toolslib.net/downloads/viewdownload/1-adwcleaner/

    история изменений:
    /////// v7.0.0.0 - 17/07/17 ////////

    This release is a complete rewrite.

    [ADD] New graphical interface (responsive and easier to use)

    [ADD] New database format, with concept of family

    [ADD] Additional actions per family

    [ADD] Most of JRT technology now included

    [ADD] New database management system

    [ADD] Use of a CDN to provide database downloads

    [ADD] No longer dependant on 3rd parties dll

    [ADD] In-App updater

    [ADD] "Submit samples" menu entry

    [UPD] Database 2017-07-17.1

    [UPD] Updated Generic detections

    [UPD] All cleaning modules are more powerful against various system and permissions issues

    [UPD] Remediation for browsers faster and no longer corrupt preferences.

    ct11hyvc195g.jpg
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2017 PM
    ID Ransomware от BitDefender для определения типа шифратора по записке о выкупе и папке с зашифрованными документами.
    A tool to help ransomware victims find which family and sub-version of ransomware has encrypted their data and then get the appropriate decryption tool, if it exists.

    This tool analyzes both the ransom note and the encrypted file samples to identify the strain of ransomware and suggest a decryption tool for the identified family, if such a tool is available.
    Инструмент, помогающий жертвам шифратора найти, какое семейство и под-версия ransomware зашифровали данные, а затем получить соответствующий инструмент дешифрования, если он существует.

    https://labs.bitdefender.com/2017/09/bitdefender-ransomware-recognition-tool/

    zaa0yxshqgmu.jpg

    Видимо, у Bitdefender кроме указанных в таблице дешифраторов нет больше других. :)
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2017 PM
    добавлю, что у Bitdefender нашелся таки дешифратор для CrySiS, который они почему то называют Troldesh/CrySiS, хотя Troldesh - это название привнесено для обозначения Ransom.Shade.
    Если на Рабочем столе компьютера появилось сообщение о том, что ваши данные зашифрованы, а у файлов изменилось расширение на .xtbl, .ytbl, .breaking_bad или .heisenberg, то, скорее всего, вы стали жертвой программы-шифровальщика Trojan-Ransom.Win32.Shade (другими антивирусными компаниями детектируется как Trojan.Encoder.858, Ransom:Win32/Troldesh.A,
    Но, неважно. Важно, что дешифратор таки существует в природе, в коллекции с теми, что выпущены ESET, LK, Avast

    utn53v9vprrt.jpg
    Decryptor Started

    Searching for encrypted files: [11] encrypted files found
    Testing decryption for 5 random encrypted files:
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\ [ID:MLDN80] [OK]
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\ [ID:MLDN80] [OK]
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\readme.txt.id-F5A4D1.{[email protected]}.xtbl]: [ID:MLDN80] [OK]
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\inf.txt.id-F5A4D1.{[email protected]}.xtbl]: [ID:MLDN80] [OK]
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\ [ID:MLDN80] [OK]
    Probing Finished [SUCCESS]


    Decrypt Files:
    Decrypt [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\15092014 16_55_03.xls.id-F5A4D1.{[email protected]}.xtbl]: [ID:MLDN80] [SUCCESS]
    Decrypt [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\inf.txt.id-F5A4D1.{[email protected]}.xtbl]: [ID:MLDN80] [SUCCESS]
    Decrypt [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\keygpg.rar.id-F5A4D1.{[email protected]}.xtbl]: [ID:MLDN80] [SUCCESS]
    Decrypt [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\readme.txt.id-F5A4D1.{[email protected]}.xtbl]: [ID:MLDN80] [SUCCESS]
    .....
    Total decrypted files: [11]

    Scan finished!

    судя по тому, что расшифрованы .wallet
    Decryptor Started

    Searching for encrypted files: [11] encrypted files found
    Testing decryption for 5 random encrypted files:
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\ [ID:127AMA] [OK]
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\ [ID:127AMA] [OK]
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\inf.txt.id-6827263D.[[email protected]].wallet]: [ID:127AMA] [OK]
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\ [ID:127AMA] [OK]
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\readme.txt.id-6827263D.[[email protected]].wallet]: [ID:127AMA] [OK]
    Probing Finished [SUCCESS]


    Decrypt Files:
    Decrypt [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\15092014 16_55_03.xls.id-6827263D.[[email protected]].wallet]: [ID:127AMA] [SUCCESS]
    Decrypt [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\inf.txt.id-6827263D.[[email protected]].wallet]: [ID:127AMA] [SUCCESS]
    Decrypt [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\keygpg.rar.id-6827263D.[[email protected]].wallet]: [ID:127AMA] [SUCCESS]
    Decrypt [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\readme.txt.id-6827263D.[[email protected]].wallet]: [ID:127AMA] [SUCCESS]
    .....
    Total decrypted files: [11]


    Scan finished!

    .dharma
    Decryptor Started

    Searching for encrypted files: [11] encrypted files found
    Testing decryption for 5 random encrypted files:
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\ [ID:WORM06] [OK]
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\ [ID:WORM06] [OK]
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\inf.txt.[[email protected]].dharma]: [ID:WORM06] [OK]
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\readme.txt.[[email protected]].dharma]: [ID:WORM06] [OK]
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\ [ID:WORM06] [OK]
    Probing Finished [SUCCESS]


    Decrypt Files:
    Decrypt [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\15092014 16_55_03.xls.[[email protected]].dharma]: [ID:WORM06] [SUCCESS]
    Decrypt [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\inf.txt.[[email protected]].dharma]: [ID:WORM06] [SUCCESS]
    Decrypt [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\keygpg.rar.[[email protected]].dharma]: [ID:WORM06] [SUCCESS]
    Decrypt [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\readme.txt.[[email protected]].dharma]: [ID:WORM06] [SUCCESS]
    .....
    Total decrypted files: [11]

    Scan finished!

    и .onion
    Decryptor Started

    Searching for encrypted files: [11] encrypted files found
    Testing decryption for 5 random encrypted files:
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\readme.txt.id-6827263D.[[email protected]].onion]: [ID:101KPR] [OK]
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\ [ID:101KPR] [OK]
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\ [ID:101KPR] [OK]
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\inf.txt.id-6827263D.[[email protected]].onion]: [ID:101KPR] [OK]
    Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\ [ID:101KPR] [OK]
    Probing Finished [SUCCESS]


    Decrypt Files:
    Decrypt [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\15092014 16_55_03.xls.id-6827263D.[[email protected]].onion]: [ID:101KPR] [SUCCESS]
    Decrypt [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\inf.txt.id-6827263D.[[email protected]].onion]: [ID:101KPR] [SUCCESS]
    Decrypt [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\keygpg.rar.id-6827263D.[[email protected]].onion]: [ID:101KPR] [SUCCESS]
    Decrypt [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\readme.txt.id-6827263D.[[email protected]].onion]: [ID:101KPR] [SUCCESS]
    .....
    Total decrypted files: [11]

    Scan finished!

    дешифратор можно считать хорошим дополнением к уже существующим:
    avast_decryptor_crysis.exe
    esetcrysisdecryptor.exe
    RakhniDecryptor.exe
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2017 PM
    Средство очистки Chrome - это программа, написанная компанией Google, которая сканирует компьютер для программ, которые вызывают проблемы в Google Chrome. Целевыми приложениями являются потенциально нежелательные программы, вредоносные программы, вредоносные программы и рекламные расширения, которые вызывают рекламу или другие действия, которые необходимо предпринять в Chrome.

    Использование средства очистки Chrome очень просто. Просто загрузите его, запустите, и пусть он сканирует ваш компьютер на нежелательные программы. Если он обнаруживает любые нежелательные программы, он будет предупреждать вас и ждать, пока вы их удалите. Как только программы будут удалены, он вернет Google свои настройки по умолчанию.

    Важно отметить, что после завершения работы программы очистки Chrome и закрытия программы она автоматически удалит себя. Поэтому не удивляйтесь, если вы запустите его один раз, но не сможете найти его снова, когда пытаетесь запустить его позднее.

    chrome_cleanup_tool.exe
    Системы: Windows 10 / 8.1 / 8 / 7 32|64-bit
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано November 2017 PM
    Malwarebytes прекращает поддержку популярной утилиты для удаления нежелательных программ JRT
    Malwarebytes announced last week that they have discontinued development for Junkware Removal Tool. For those who have never heard of Junkware Removal Tool, or JRT, it is a popular adware and junkware cleanup utility that is commonly used in support forums and tech shops.
    Malwarebytes объявила на прошлой неделе, что прекратила разработку утилиты для удаления Junkware. Для тех, кто никогда не слышал об утилите Junkware Removal Tool или JRT, это популярная утилита для очистки рекламного ПО и утилиты нежелательной почты, которая обычно используется в форумах поддержки и технических магазинах.

    jrt-screen.png

    Malwarebytes решила остановить разработку JRT и вместо нее продолжить дальнейшее развитие в AdwCleaner. Со стороны Malwarebytes это имеет смысл, поскольку нет необходимости продолжать разработку двух совершенно разных инструментов, предназначенных для борьбы с одним и тем же угрозой.

    p.s. было понятно, что для Malwarebytes после приобретения Adwcleaner, JRT через некоторое время станет избыточной утилитой.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • pestudio реализует широкий набор функций, специально предназначенных для извлечения каждой детали любого исполняемого файла. Результаты проверяются на соответствие спецификации Microsoft. Кроме того, содержимое анализируемого файла проверяется на наличие нескольких белых и черных списков и пороговых значений.

    04ig9u80w8zc.jpg

    https://www.winitor.com/features.html
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Майк Гиллеспи добавил в инструмент GryptoSeach функцию поиска маркеров (в hex формате), помещенных после шифрования в начало или конец файла.
    Updated CryptoSearch v0.9.9.0 to allow searching for filemarkers in files encrypted by #ransomware at end of the file too. Also minor bugfix. https://download.bleepingcomputer.com/demonslay335/CryptoSearch.zip

    с помощью данной функции можно выполнить например поиск файлов ключей по известному маркеру.

    ybv2ojomh6ii.jpg
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано March 2018 PM
    Had to apply some fixes to how ID #Ransomware handles byte signatures internally, should be more accurate now. As a result, had to update CryptoSearch; please be sure you update to v1.0.0.0. Previous versions won't be able to detect hex patterns now.

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано April 2018 PM
    Malwarebytes Adwcleaner обновился до версии 7.1.0.0.
    Изменен интерфейс программы, адаптирован под GUI Malwarebytes.
    тем, кто регулярно пользуется сканером Malwarebytes для очистки системы - понравится. :).

    twb9o68l6cdb.jpg


    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.