Вопросы и обсуждение различных средств удаления вирусов

safety · May 2016

в AdwCleaner-е (v 5.115) все больше становится рабочих и полезных твиков. Размер исполняемого файла заметно увеличился. (до 3мб). Видимо добавлена локальная база для детектирования.

ESET выпустил бетку ESET Internet Security 10, судя по настройкам, добавлена какая то работа с ransomware, надо потестировать на реальных шифраторах.

safety · May 2016

вышла новая бетка uVS:

---------------------------------------------------------
3.87.3
---------------------------------------------------------
o Улучшен разбор командной строки cmd.exe

o Новая скриптовая команда: BP
Заблокировать запуск указанного в параметре файла по пути или маске.
Допустимо использовать переменные окружения Windows и символы ? и *.
Примеры:
%APPDATA%\*.exe
trojan*.*
c:\auto*.???

o Новый параметр fHeight
[Settings]
; Размер шрифта в редакторе скриптов
fHeight (по умолчанию 9)

o Новый параметр fWeight
[Settings]
; Вес (жирность) шрифта
fWeight (по умолчанию 300)

o Новый параметр fFaceName
[Settings]
; Имя шрифта
fFaceName (по умолчанию Tahoma)

safety · June 2016

Актуальная версия uVS:

3.87.4
o Добавлена функция обработки заданий BITS.
Файлы помещаются в категорию "Задачи"
(!) Только для активных и удаленных систем.
(!) Вы не сможете удалить задания которыми владеет NT\SYSTEM, даже если вы запустите uVS под LocalSystem.
(!) Это особенность (баг?) BITS при которой пользователь обязан выполнить вход в сеть, что для LocalSystem не выполнимо.

o В контекстное меню файла добавлена команда "Запретить запуск файла".
(скриптовая команда BP)

o Обновлена функция определения версии MSIE для новых систем.

o Исправлена проблема реинициализации в серверной части для режима bReUseRemote=1
(для удаленных систем)

safety · August 2016

по бетке AdwCleaner 6 (спасибо Vvvyg за ссылку), каких то заметных изменений, кроме интерфейсной части (оптимизированы настройки, добавлены менеджер карантина, логов) пока не вижу.

update:
Adwcleaner 6 уже в релизе:

//////// v6.000 - 08/08/16 ////////

[ADD] - New codebase
[ADD] - New translation system
[ADD] - Support for IceDragon browser
[ADD] - Initial support for Vivaldi
[ADD] - Support for Firefox fake profiles detection
[ADD] - Generic.Shell detection
[ADD] - Log Manager
[ADD] - Options interface
[ADD] - New graphisms and refreshed interface
[ADD] - Basic metrics system
[ADD] - New debug module
[ADD] - Enforced optimizations during compilation
[ADD] - RAM usage optimization

[BUG] - Various security fixes
[BUG] - Fix Network connectivity checks
[BUG] - Element deleted on reboot now quarantined

safety · August 2016

тестировал Comodo Cloud Antivirus.
Для изучения работы шифраторов будет крайне полезен. Если раньше использовал снэпшоты виртуальной машины, то теперь, в некоторых случаях можно просто запускать шифратор в Sandbox. (Минус в том, что uVS не проанализирует автозапуск.) И кстати, ни один из запускаемых шифраторов не был пропущен. Часть из них, автоматически открывается в Sandbox, как недоверенное приложение.

safety · September 2016

uVS:

3.87.5
o Обновлен механизм обмена данными с удаленной системой для устранения задержек при работе и подвисаний при подключении, вызванных проблемами с кривым кэшем SMB 2/3 в Windows.
В случае если у вас останутся проблемы и на этой версии uVS то необходимо установить два ключа в ветке реестра.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanworkstation\Parameters
o FileNotFoundCacheLifetime : DWORD 0
o DirectoryCacheLifetime : DWORD 0
После чего перезапустить службу Lanmanworkstation.
Это отключит кэширование запросов и решит все проблемы с задержками и подвисаниями возникающими из-за нерабочего сетевого кэша.

o Добавлен 37-й твик "Исправить \\ в пути к файлам".
Поддерживается исправление значений в реестре только для типов данных REG_SZ и REG_SZ_EXPAND.

o Добавлено удаление из реестра ключей кэша задач при удалении задачи.

o Исправлена ошибка при первоначальном подключении к удаленной системе с установкой службы.
Флаг bFixedName игнорировался для клиентской части.

+

3.87.6
o Исправлен обработчик кнопки "Добавить в базу".
(для случая когда выбран только 1 файл)

o Добавлена возможность поиска по катологу в разделе известных файлов.

safety · September 2016

ESET Online Scanner v 2.0

http://download.eset.com/special/eos/ESETOnlineScanner_RUS.exe

safety · September 2016

В этот раз Malwarebytes AntiRansomware заблокировал запуск шифратора da_vinci_code. Прежние версии утилитки постоянно его пропускали.

скачать можно отсюда
https://forums.malwarebytes.org/topic/177751-introducing-malwarebytes-anti-ransomware-beta/

safety · October 2016

update uVS:

3.87.7
o Обновлена функция чтения TaskCache, добавлена поддержка CLASSID.

o Добавлен парсер NON-ASCII имен расширений для старых версий Chrome.

o Флаг bWebVT по умолчанию теперь равен нулю.

o Обновлены функции разбора расширений Firefox и Chrome.
Некоторые программы с проактивной защитой могли блокировать сбор данных о расширениях.

safety · October 2016

Malwarebytes похоже приобрела проект AdwCleaner.

Welcome, AdwCleaner fans

We at Malwarebytes are big fans too. That’s why we’ve asked Jérôme Boursier, Corentin Chepeau, and the rest of the AdwCleaner team to join us. We’re now working together to make a malware-free existence a reality for everyone.

Don’t worry—we will maintain, support, and keep AdwCleaner free for everyone. We believe in its mission, and will be integrating its technology into Malwarebytes products in the future. Learn more about the acquisition.

https://www.malwarebytes.com/adwcleaner_welcome/

safety · October 2016

Cisco Talos has released a Windows disk filter driver called MBRFilter that listens for programs trying to modify the Master Boot Record and blocks them. This effectively blocks these types of ransomware from being installed and encrypting the MBR.

MBR Filter

MBR Filter is a simple disk filter designed by Cisco Talos to block write access to the Master Boot Record (MBR). The MBR is used to store information related to how the storage device is partitioned, as well as details regarding the filesystem configuration on the device. MBR Filter prevents rootkits, bootkits, and ransomware, such as Petya Ransomware, from overriding the operating system’s (OS) boot loader. Ransomware, like Petya, overwrite and encrypt the victim’s Master File Table (MTF) to coerce them into paying for an encryption key.

MBR Filter, once installed, requires the system to boot in Safe Mode to enable write access to make changes to the device. This prevents malicious software from writing to or modifying the contents of this section of the machine or any disks connected to the system. MBR Filter enables users to effectively protect their systems from various malware families and disrupts the operations of cyber criminals, making their malware ineffective. Talos offers the MBR Filter in two formats usable on Windows based systems: open source which can be used and modified by anyone and a precompiled, signed driver executable that can be installed.

MBRFilter has been intentionally made difficult to remove to prevent malware from simply disabling or removing this protection during the infection process. Test thoroughly before deploying within production environments.

http://www.talosintelligence.com/mbrfilter/

http://www.bleepingcomputer.com/news/security/testing-mbrfilter-against-ransomware-that-modify-the-master-boot-record/#cid3609

safety · November 2016

update uVS:

3.87.8
o Добавлен новый пункт меню Реестр->Создать доступную копию реестра из каталога RegBack и выбрать ее
Создается каталог \System32\config\uVSRegBack в него копируется заблокированное содержимое каталога \System32\config\RegBack
Затем UvsRegBack выбирается в качестве дефолтного каталога с бэкапом реестра, что позволяет использовать копию реестра для операций
с восстановлением реестра или его отдельных ключей в активной системе.
Функция доступна для Windows Vista и старше
(!) Использовать эту функцию НЕ рекомендуется при наличии доступного бэкапа реестра.
(!) Доступно только для активной системы.

safety · December 2016

Malwarebytes 3.0.4.1269

Performance / Protective Capability:
• Added signature-less anti-exploit and anti-ransomware protection (Premium only)
• Up to 4x faster scan speeds, including even quicker Hyper Scans
• Removed non-essential reboots after certain malware removal events
• Advanced Heuristic Engine (Shuriken) now enabled by default
• Self-Protection now enabled by default (Premium only)

Usability:
• Redesigned user interface for improved usability
• Now configurable to integrate with Windows Action Center / Windows Security Center (Premium only)
• Update checks are done automatically so they do not need to be scheduled
• Improved support for keyboard navigation and screen readers

Stability / Issues Fixed:
• Added ability to lock down My Account screen via User Access Policy
• Added ability to collect enhanced logs when directed to do so by Support
• Fixed issue where Scheduler did not adjust for Daylight Saving Time changes
• Fixed issue where Scheduler defaulted to hourly Threat Scan instead of Daily
• Fixed issue where Chameleon reported error messages numerous times to Windows Event Viewer
• Changed 'Recover if missed by' setting in Scheduler to Off by default
• Prevented rootkit scanning in Custom Scans if full system drive is not selected
• Updated to latest version of 7-Zip DLL
• Addressed many other miscellaneous defects

How do I upgrade my Malwarebytes Anti-Malware to Malwarebytes 3.0?
Simply download and run the installer from here. Malwarebytes 3.0 will automatically upgrade Malwarebytes Anti-Malware 2.x to Malwarebytes 3.0 and apply its license key accordingly.

How do I upgrade to Malwarebytes 3.0 if I also have Anti-Exploit or Anti-Ransomware installed?
Simply download and run the installer from here. Malwarebytes 3.0 will automatically remove the old Anti-Malware, Anti-Exploit and Anti-Ransomware and upgrade them all to Malwarebytes 3.0.

https://downloads.malwarebytes.org/file/mbam_current/

если вы скачиваете Free версию, по умолчанию устанавливается Premium версия в ознакомительном режиме. (функции защиты работают 14 дней). Для полной или выборочной проверки системы сканированием (с очисткой) достаточно Free версии. Можно зайти в Параметры- личный кабинет и деактивировать Premium версию.

safety · January 2017

Еще одну полезную программу добавил в список своих разработок Michael Gillespie
Программа называется CryptoSearch. Ее можно использовать для поиска зашифрованных файлов на локальных и сетевых дисках после атаки шифратора. С тем, чтобы оценить ущерб от шифрования. Программа получает файл определений cryptosearch-definitions.bin из сети. Данный файл очевидно формируется с помощью сервиса ID Ransomware, опять же разработанного Майклом Гиллеспи.

Функции утилиты позволяют так же экспортировать список найденных файлов в файл-лист, а так же добавить или переместить найденные файлы в архив.

Программу можно скачать с сайта bleepingcomputer.com

safety · January 2017

uVS обновился до 3.87.9

3.87.9
o Добавлена поддержка Яндекс браузера.
Категория Google Chrome переименована в Chrome/Yandex.

o Добавлена поддержка стартовых страниц новых версий Chrome.
(удаление отдельных страниц не поддерживается, удаляются все сразу)

o Исправлена ошибка - некоторые ранее проверенные объекты (не файлы) могли терять статус проверенного при обновлении списка.

safety · March 2017

uVS обновился до 3.87.10

3.87.10
o Добавлена поддержка .hta файлов.

o Добавлена функция анализа параметров запуска основных браузеров.

o Исправлена критическая ошибка возникающая при разборе поврежденных значений реестра.

safety · March 2017

Michael Gillespie обновил утилиту CryptoSearch до версии v0.9.5.0

I've released v0.9.5.0 that can identify files encrypted by Spora

safety · March 2017

похоже, demkd сделал концептуальное обновление для uVS, в итоге выпущен 4.00b1

4.00 Beta 1
o Добавлена очередь команд, вы можете отдавать команды без ожидания исполнения каждой команды в отдельности,
что может очень существенно уменьшить общее время исполнения команд.

o Теперь функции, а так же все соответствующие им скриптовые команды:
o Удаление ссылки на объект (delref)
o Удаление объекта вместе со всеми ссылками на него (delall)
o Выгрузка из памяти (unload)
o Удаление ссылок на отсутствующие файлы (delnfr)
НЕ исполняются немедленно, а помещаются в очередь команд, очередь не имеет ограничений на количество элементов.

o Для исполнения команд и применения изменений необходимо нажать новую кнопку "Принять изменения".
(!) Это верно для _всех_ режимов работы uVS.
(!) Порядок исполнения команд не определен и зависит от id процессов и порядка расположения соотв. записей в реестре,
(!) т.е. никак не зависит от очередности отдачи команд, однако соблюдается общий порядок: сперва выгрузка процессов,
(!) затем удаление ссылок и лишь потом удаление файлов.
(!) Функция убить все найденные вирусы (delvir) кроме основной функции применяет все ранее сделанные изменения и очищает очередь.
(!) Начало выполнения скрипта очищает очередь БЕЗ применения изменений.
(!) В скрипте необязательно указывать команду "apply" она будет применена автоматически или в конце исполнения скрипта,
(!) однако если процесс требует блоков последовательных действий или вы используете виртуализацию, вам необходимо убедиться,
(!) что команда "apply" присутствует в конце блоков команд и перед командой актуализации реестра.

o Удалить отдельные команды вы можете в новом разделе "Очередь команд".

o Новая скриптовая команда "apply" применяет все сделанные изменения и очищает очередь.

o Улучшен фильтр для обработки параметров запуска браузеров.

o Улучшена эмуляция исполнения команд при работе с образом.

o Флаг ImgDelnfrUnwind устарел и более не используется.

o Устаревшая скриптовая команда delnfr теперь может быть добавлена в скрипт лишь вручную.

safety · April 2017

Майк Гилеспи обновил сервис IDR. Теперь идентификация Ransomware возможна дополнительно по e-mail и btc address.

New ID Ransomware feature! Only got an email/BTC/URL from the #ransomware screen, no note? No problem! Just enter for identification!

https://twitter.com/demonslay335/status/856035128803549185

safety · June 2017

Michael Gillespie updated CryptoSearch to version v0.9.7.0 in order to find files encrypted by Amnesia, Amnesia2, Cry9, Cry128, and Cry36 using filemarkers.

safety · July 2017

Исследователь безопасности Elad Erez создал инструмент Eternal Blues, который системные администраторы могут использовать для проверки того, уязвимы ли компьютеры в их сети к эксплуатации с помощью эксплойта ETERNALBLUE от NSA.

Security researcher Elad Erez has created a tool named Eternal Blues that system administrators can use to test if computers on their network are vulnerable to exploitation via NSA's ETERNALBLUE exploit.

Erez released his tool on Wednesday, a day after the NotPetya ransomware caused damages to thousands of computers across the globe.

Just like WannaCry did in last month's outbreak, NotPetya also used ETERNALBLUE as a means to spread from one computer to the next.

In hacking and cyber-security circles, ETERNALBLUE is considered one of the most potent exploits ever seen. A testament to its efficiency and ability to create virulent threats stand the two ransomware outbreaks that took place just two months after its release.

Under the hood, ETERNALBLUE leverages a vulnerability (CVE-2017-0144) in the SMBv1 file sharing protocol. Windows computers — where SMBv1 comes enabled by default — mishandles specially crafted SMB packets and allows an attacker to execute arbitrary code on the user's computer.

https://www.bleepingcomputer.com/news/software/-eternal-blues-tool-tests-computers-against-nsas-eternalblue-exploit/

http://omerez.com/repository/EternalBlues.exe

safety · July 2017

Avast, крупнейший в настоящее время поставщик программного обеспечения для обеспечения безопасности, приобрел Piriform, британскую компанию, которая стоит за многими успешными настольными и мобильными приложениями, такими как CCleaner, Recuva, Speccy и Defraggler.

Приобретение было объявлено сегодня в пресс-релизе и в блогах обеих компаний, но в настоящее время финансовых данных нет.

Piriform - частная компания, основанная в Лондоне, Великобритания, основанная еще в 2004 году. Известность компании принесло приложение CCleaner, очень популярная утилита оптимизации ОС с версиями для Windows, Mac и Android.

По словам Piriform, CCleaner имеет более 130 миллионов пользователей на настольных компьютерах и более 15 миллионов пользователей на мобильных устройствах. В ноябре 2016 года Piriform объявила о том, что CCleaner превзошла два миллиарда загрузок, что делает его одним из самых популярных программ по всему миру, причем ежемесячно загружается более 23 миллионов загрузок.

https://www.bleepingcomputer.com/news/business/avast-buys-piriform-the-company-behind-ccleaner-and-recuva/

safety · July 2017

AdwCleaner обновился до версии 7.0.0.0

Signatures/Checksums

MD5 · c651234ae25e4843105cbc50fe2ba124
SHA1 · 731449cf4bf201f6fc15d5b77e3ce8105923a4b0
SHA256 · e04a33280109d97c0fb999175c590a8db87f554359c60bedc98faa0ebb56758f

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

история изменений:

/////// v7.0.0.0 - 17/07/17 ////////

This release is a complete rewrite.

[ADD] New graphical interface (responsive and easier to use)

[ADD] New database format, with concept of family

[ADD] Additional actions per family

[ADD] Most of JRT technology now included

[ADD] New database management system

[ADD] Use of a CDN to provide database downloads

[ADD] No longer dependant on 3rd parties dll

[ADD] In-App updater

[ADD] "Submit samples" menu entry

[UPD] Database 2017-07-17.1

[UPD] Updated Generic detections

[UPD] All cleaning modules are more powerful against various system and permissions issues

[UPD] Remediation for browsers faster and no longer corrupt preferences.

safety · October 2017

ID Ransomware от BitDefender для определения типа шифратора по записке о выкупе и папке с зашифрованными документами.

A tool to help ransomware victims find which family and sub-version of ransomware has encrypted their data and then get the appropriate decryption tool, if it exists.

This tool analyzes both the ransom note and the encrypted file samples to identify the strain of ransomware and suggest a decryption tool for the identified family, if such a tool is available.
Инструмент, помогающий жертвам шифратора найти, какое семейство и под-версия ransomware зашифровали данные, а затем получить соответствующий инструмент дешифрования, если он существует.

https://labs.bitdefender.com/2017/09/bitdefender-ransomware-recognition-tool/

Видимо, у Bitdefender кроме указанных в таблице дешифраторов нет больше других.

safety · October 2017

добавлю, что у Bitdefender нашелся таки дешифратор для CrySiS, который они почему то называют Troldesh/CrySiS, хотя Troldesh - это название привнесено для обозначения Ransom.Shade.

Если на Рабочем столе компьютера появилось сообщение о том, что ваши данные зашифрованы, а у файлов изменилось расширение на .xtbl, .ytbl, .breaking_bad или .heisenberg, то, скорее всего, вы стали жертвой программы-шифровальщика Trojan-Ransom.Win32.Shade (другими антивирусными компаниями детектируется как Trojan.Encoder.858, Ransom:Win32/Troldesh.A,

Но, неважно. Важно, что дешифратор таки существует в природе, в коллекции с теми, что выпущены ESET, LK, Avast

Decryptor Started

Searching for encrypted files: [11] encrypted files found
Testing decryption for 5 random encrypted files:
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\ [ID:MLDN80] [OK]
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\ [ID:MLDN80] [OK]
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\readme.txt.id-F5A4D1.{[email protected]}.xtbl]: [ID:MLDN80] [OK]
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\inf.txt.id-F5A4D1.{[email protected]}.xtbl]: [ID:MLDN80] [OK]
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\ [ID:MLDN80] [OK]
Probing Finished [SUCCESS]

Decrypt Files:
Decrypt [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\15092014 16_55_03.xls.id-F5A4D1.{[email protected]}.xtbl]: [ID:MLDN80] [SUCCESS]
Decrypt [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\inf.txt.id-F5A4D1.{[email protected]}.xtbl]: [ID:MLDN80] [SUCCESS]
Decrypt [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\keygpg.rar.id-F5A4D1.{[email protected]}.xtbl]: [ID:MLDN80] [SUCCESS]
Decrypt [G:\DATA\shifr\encode_files\CrySiS\xtbl\[email protected]\test_bitdef\readme.txt.id-F5A4D1.{[email protected]}.xtbl]: [ID:MLDN80] [SUCCESS]
.....
Total decrypted files: [11]

Scan finished!

судя по тому, что расшифрованы .wallet

Decryptor Started

Searching for encrypted files: [11] encrypted files found
Testing decryption for 5 random encrypted files:
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\ [ID:127AMA] [OK]
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\ [ID:127AMA] [OK]
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\inf.txt.id-6827263D.[[email protected]].wallet]: [ID:127AMA] [OK]
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\ [ID:127AMA] [OK]
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\readme.txt.id-6827263D.[[email protected]].wallet]: [ID:127AMA] [OK]
Probing Finished [SUCCESS]

Decrypt Files:
Decrypt [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\15092014 16_55_03.xls.id-6827263D.[[email protected]].wallet]: [ID:127AMA] [SUCCESS]
Decrypt [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\inf.txt.id-6827263D.[[email protected]].wallet]: [ID:127AMA] [SUCCESS]
Decrypt [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\keygpg.rar.id-6827263D.[[email protected]].wallet]: [ID:127AMA] [SUCCESS]
Decrypt [G:\DATA\shifr\encode_files\CrySiS\wallet\10bitdef\readme.txt.id-6827263D.[[email protected]].wallet]: [ID:127AMA] [SUCCESS]
.....
Total decrypted files: [11]

Scan finished!

.dharma

Decryptor Started

Searching for encrypted files: [11] encrypted files found
Testing decryption for 5 random encrypted files:
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\ [ID:WORM06] [OK]
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\ [ID:WORM06] [OK]
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\inf.txt.[[email protected]].dharma]: [ID:WORM06] [OK]
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\readme.txt.[[email protected]].dharma]: [ID:WORM06] [OK]
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\ [ID:WORM06] [OK]
Probing Finished [SUCCESS]

Decrypt Files:
Decrypt [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\15092014 16_55_03.xls.[[email protected]].dharma]: [ID:WORM06] [SUCCESS]
Decrypt [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\inf.txt.[[email protected]].dharma]: [ID:WORM06] [SUCCESS]
Decrypt [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\keygpg.rar.[[email protected]].dharma]: [ID:WORM06] [SUCCESS]
Decrypt [G:\DATA\shifr\encode_files\CrySiS\dharma\tests_for_bitdef\readme.txt.[[email protected]].dharma]: [ID:WORM06] [SUCCESS]
.....
Total decrypted files: [11]

Scan finished!

и .onion

Decryptor Started

Searching for encrypted files: [11] encrypted files found
Testing decryption for 5 random encrypted files:
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\readme.txt.id-6827263D.[[email protected]].onion]: [ID:101KPR] [OK]
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\ [ID:101KPR] [OK]
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\ [ID:101KPR] [OK]
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\inf.txt.id-6827263D.[[email protected]].onion]: [ID:101KPR] [OK]
Probing decryption on: [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\ [ID:101KPR] [OK]
Probing Finished [SUCCESS]

Decrypt Files:
Decrypt [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\15092014 16_55_03.xls.id-6827263D.[[email protected]].onion]: [ID:101KPR] [SUCCESS]
Decrypt [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\inf.txt.id-6827263D.[[email protected]].onion]: [ID:101KPR] [SUCCESS]
Decrypt [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\keygpg.rar.id-6827263D.[[email protected]].onion]: [ID:101KPR] [SUCCESS]
Decrypt [G:\DATA\shifr\encode_files\CrySiS\onion\10bitdef\readme.txt.id-6827263D.[[email protected]].onion]: [ID:101KPR] [SUCCESS]
.....
Total decrypted files: [11]

Scan finished!

дешифратор можно считать хорошим дополнением к уже существующим:
avast_decryptor_crysis.exe
esetcrysisdecryptor.exe
RakhniDecryptor.exe

safety · October 2017

Средство очистки Chrome - это программа, написанная компанией Google, которая сканирует компьютер для программ, которые вызывают проблемы в Google Chrome. Целевыми приложениями являются потенциально нежелательные программы, вредоносные программы, вредоносные программы и рекламные расширения, которые вызывают рекламу или другие действия, которые необходимо предпринять в Chrome.

Использование средства очистки Chrome очень просто. Просто загрузите его, запустите, и пусть он сканирует ваш компьютер на нежелательные программы. Если он обнаруживает любые нежелательные программы, он будет предупреждать вас и ждать, пока вы их удалите. Как только программы будут удалены, он вернет Google свои настройки по умолчанию.

Важно отметить, что после завершения работы программы очистки Chrome и закрытия программы она автоматически удалит себя. Поэтому не удивляйтесь, если вы запустите его один раз, но не сможете найти его снова, когда пытаетесь запустить его позднее.

chrome_cleanup_tool.exe
Системы: Windows 10 / 8.1 / 8 / 7 32|64-bit

safety · November 2017

Malwarebytes прекращает поддержку популярной утилиты для удаления нежелательных программ JRT

Malwarebytes announced last week that they have discontinued development for Junkware Removal Tool. For those who have never heard of Junkware Removal Tool, or JRT, it is a popular adware and junkware cleanup utility that is commonly used in support forums and tech shops.

Malwarebytes объявила на прошлой неделе, что прекратила разработку утилиты для удаления Junkware. Для тех, кто никогда не слышал об утилите Junkware Removal Tool или JRT, это популярная утилита для очистки рекламного ПО и утилиты нежелательной почты, которая обычно используется в форумах поддержки и технических магазинах.

Malwarebytes решила остановить разработку JRT и вместо нее продолжить дальнейшее развитие в AdwCleaner. Со стороны Malwarebytes это имеет смысл, поскольку нет необходимости продолжать разработку двух совершенно разных инструментов, предназначенных для борьбы с одним и тем же угрозой.

p.s. было понятно, что для Malwarebytes после приобретения Adwcleaner, JRT через некоторое время станет избыточной утилитой.

safety · November 2017

pestudio реализует широкий набор функций, специально предназначенных для извлечения каждой детали любого исполняемого файла. Результаты проверяются на соответствие спецификации Microsoft. Кроме того, содержимое анализируемого файла проверяется на наличие нескольких белых и черных списков и пороговых значений.

https://www.winitor.com/features.html

safety · January 2018

Майк Гиллеспи добавил в инструмент GryptoSeach функцию поиска маркеров (в hex формате), помещенных после шифрования в начало или конец файла.

Updated CryptoSearch v0.9.9.0 to allow searching for filemarkers in files encrypted by #ransomware at end of the file too. Also minor bugfix. https://download.bleepingcomputer.com/demonslay335/CryptoSearch.zip …

с помощью данной функции можно выполнить например поиск файлов ключей по известному маркеру.

safety · March 2018

Had to apply some fixes to how ID #Ransomware handles byte signatures internally, should be more accurate now. As a result, had to update CryptoSearch; please be sure you update to v1.0.0.0. Previous versions won't be able to detect hex patterns now.

https://twitter.com/demonslay335/status/968248539280236544

safety · April 2018

Malwarebytes Adwcleaner обновился до версии 7.1.0.0.
Изменен интерфейс программы, адаптирован под GUI Malwarebytes.
тем, кто регулярно пользуется сканером Malwarebytes для очистки системы - понравится.

.

Привет, незнакомец!

Быстрые ссылки

Разделы

In this Discussion

Вопросы и обсуждение различных средств удаления вирусов

Комментарии