rez0n · January 29, 2015 15:46
diff --git a/gistfile1.txt b/gistfile1.txt
 Описание проблемы: 
 Добрый день.
 Уже довольно давно в сети (преимущественно через почту) гуляет вирус CBT-Locker который как известно шифрует все пользовательские файлы и вымогает деньги.
 А как так получается что до сих пор NOD не идентифицирует этот вирус?
 Даже если попробовать проверить конкретный файл вируса через контекстное меню - NOD не обнаруживает угрозы. После запуска тоже. Только по факту шифрования файлов - он начинает зачищать эти самые шифрованные файлы, но уже поздно да и толку от этого нет.
 ОС: Windows 8.1
 Антивирус: EAV 7 с триальным ключем, в данном конкретном случае.

 -------------------------------------------------------------------------------------------------------------------------------
 @ESET NOD32 Support Russia
 -------------------------------------------------------------------------------------------------------------------------------
 1. Пришлите, пожалуйста, несколько образцов зашифрованных файлов разных форматов. Добавьте их в архив с названием «Crypted».

 2. Пришлите, пожалуйста, тело вируса, который зашифровал файлы. Возможно, образец шифратора находится в карантине антивируса. Щелкните правой клавишей мышки по значку антивируса и выберите «временно отключить защиту». Откройте главное окно антивируса, выберите меню «Служебные программы» (Сервис) - «Карантин», проверьте, имеется ли в карантине вирус с пометкой «Filecoder», обнаруженный в день заражения, если да – щелкните правой клавишей мышки по нему, выберите «Восстановить в» и сохраните файл в любом удобном для Вас месте (но не открывайте его). После этого, необходимо заархивировать образец вируса, например, с помощью архиватора WinRar:

 http://rarlab.com/rar/wrar510ru.exe - для 32 - х битных систем.
 http://rarlab.com/rar/winrar-x64-510ru.exe - для 64 - х битных систем.

 Правой клавишей мышки щелкните по сохраненному ранее вирусу и выберите «добавить в архив…». Укажите имя архива «Filecoder». В открывшемся меню нажмите «Установить пароль» и введите пароль «infected». Поставьте галочку «шифровать имена файлов». Дважды нажмите ОК. После чего, удалите оригинальный файл вируса, а созданный запароленный архив пришлите нам.

 В случае, если в карантине отсутствует вирус типа Filecoder, возможно, он сохранился в электронном письме от злоумышленников на зараженном ПК. В этом случае, сохраните вложение, заархивируйте описанным выше образом и отправьте нам. Также, добавьте в запароленный архив файлс требованиями от злоумышленников, если таковой имеется.

 3. Скачайте утилиту ESET Log Collector по ссылке: http://download.eset.com/special/ESETLogCollector.exe

 Сохраните программу на компьютер. После запуска ESET Collector согласитесь принять лицензионное соглашение нажав кнопку Agree. 

 В выпадающем меню "ESET logs collection" выберите пункт "Filtered XML" и нажмите кнопку Collect. По умолчанию, архив с данными сохранится на рабочем столе и будет иметь название "ess_logs.zip". Путь сохранения архива можно изменить, нажав кнопку "...". Пришлите данный архив к нам на анализ.

 С подробной инструкцией можно ознакомиться по ссылке: http://www.esetnod32.ru/support/knowledge_base/solution/?IBLOCK_ID=53&SECTION_ID=1788&ELEMENT_ID=860790


 -------------------------------------------------------------------------------------------------------------------------------
 Клиент
 -------------------------------------------------------------------------------------------------------------------------------
 Добрый день.
 1. Добавил образцы файлов в общий архив в отдельную папку. Помощь в расшифровке файлов не требуется, все файлы я восстановил. Добавленные файлы - все что удалось найти во временных файлах браузера.
 2. Вирус и требования вымогателей - добавил в архив.
 3. Относительно логов - ничего не выйдет, так как ОС была переустановлена.

 Суть моего обращения.
 Мне не нужна ваша помощь в вопросе расшифровки файлов и т.д. Я хочу понять почему NOD не защитил от данной гадости, даже когда я ткнул его прямо в тело вируса и что нужно сделать для того что бы такого не повторялось. Какой продукт нужно приобрести, что бы не попадатся на такие вирусы?
 Спасибо.
 -------------------------------------------------------------------------------------------------------------------------------
 @ESET NOD32 Support Russia
 -------------------------------------------------------------------------------------------------------------------------------
 Ваше обращение № 972644 закрыто.

 Если у Вас остались вопросы, будем рады на них ответить.

 Чтобы продолжить решение данной проблемы, обратитесь, пожалуйста, в техническую поддержку. При обращении в техническую поддержку, необходимо будет указать номер Вашего обращения, указанный в начале данного письма.

 -------------------------------------------------------------------------------------------------------------------------------
 Клиент
 -------------------------------------------------------------------------------------------------------------------------------
 Здравствуйте, я смотрю на HabraHabr ваши коллеги уже успели похвалится, что "нашли вирус" и цитирую "Вредоносный исполняемый файл, который находится во вложении к письму обнаруживается AV-продуктами ESET какWin32/TrojanDownloader.Elenoocka.A.", а ответить клиентам у которых все же не обнаружилось - не удосужились...
	Описание проблемы:
	Добрый день.
	Уже довольно давно в сети (преимущественно через почту) гуляет вирус CBT-Locker который как известно шифрует все пользовательские файлы и вымогает деньги.
	А как так получается что до сих пор NOD не идентифицирует этот вирус?
	Даже если попробовать проверить конкретный файл вируса через контекстное меню - NOD не обнаруживает угрозы. После запуска тоже. Только по факту шифрования файлов - он начинает зачищать эти самые шифрованные файлы, но уже поздно да и толку от этого нет.
	ОС: Windows 8.1
	Антивирус: EAV 7 с триальным ключем, в данном конкретном случае.

	-------------------------------------------------------------------------------------------------------------------------------
	@ESET NOD32 Support Russia
	-------------------------------------------------------------------------------------------------------------------------------
	1. Пришлите, пожалуйста, несколько образцов зашифрованных файлов разных форматов. Добавьте их в архив с названием «Crypted».

	2. Пришлите, пожалуйста, тело вируса, который зашифровал файлы. Возможно, образец шифратора находится в карантине антивируса. Щелкните правой клавишей мышки по значку антивируса и выберите «временно отключить защиту». Откройте главное окно антивируса, выберите меню «Служебные программы» (Сервис) - «Карантин», проверьте, имеется ли в карантине вирус с пометкой «Filecoder», обнаруженный в день заражения, если да – щелкните правой клавишей мышки по нему, выберите «Восстановить в» и сохраните файл в любом удобном для Вас месте (но не открывайте его). После этого, необходимо заархивировать образец вируса, например, с помощью архиватора WinRar:

	http://rarlab.com/rar/wrar510ru.exe - для 32 - х битных систем.
	http://rarlab.com/rar/winrar-x64-510ru.exe - для 64 - х битных систем.

	Правой клавишей мышки щелкните по сохраненному ранее вирусу и выберите «добавить в архив…». Укажите имя архива «Filecoder». В открывшемся меню нажмите «Установить пароль» и введите пароль «infected». Поставьте галочку «шифровать имена файлов». Дважды нажмите ОК. После чего, удалите оригинальный файл вируса, а созданный запароленный архив пришлите нам.

	В случае, если в карантине отсутствует вирус типа Filecoder, возможно, он сохранился в электронном письме от злоумышленников на зараженном ПК. В этом случае, сохраните вложение, заархивируйте описанным выше образом и отправьте нам. Также, добавьте в запароленный архив файлс требованиями от злоумышленников, если таковой имеется.

	3. Скачайте утилиту ESET Log Collector по ссылке: http://download.eset.com/special/ESETLogCollector.exe

	Сохраните программу на компьютер. После запуска ESET Collector согласитесь принять лицензионное соглашение нажав кнопку Agree.

	В выпадающем меню "ESET logs collection" выберите пункт "Filtered XML" и нажмите кнопку Collect. По умолчанию, архив с данными сохранится на рабочем столе и будет иметь название "ess_logs.zip". Путь сохранения архива можно изменить, нажав кнопку "...". Пришлите данный архив к нам на анализ.

	С подробной инструкцией можно ознакомиться по ссылке: http://www.esetnod32.ru/support/knowledge_base/solution/?IBLOCK_ID=53&SECTION_ID=1788&ELEMENT_ID=860790


	-------------------------------------------------------------------------------------------------------------------------------
	Клиент
	-------------------------------------------------------------------------------------------------------------------------------
	Добрый день.
	1. Добавил образцы файлов в общий архив в отдельную папку. Помощь в расшифровке файлов не требуется, все файлы я восстановил. Добавленные файлы - все что удалось найти во временных файлах браузера.
	2. Вирус и требования вымогателей - добавил в архив.
	3. Относительно логов - ничего не выйдет, так как ОС была переустановлена.

	Суть моего обращения.
	Мне не нужна ваша помощь в вопросе расшифровки файлов и т.д. Я хочу понять почему NOD не защитил от данной гадости, даже когда я ткнул его прямо в тело вируса и что нужно сделать для того что бы такого не повторялось. Какой продукт нужно приобрести, что бы не попадатся на такие вирусы?
	Спасибо.
	-------------------------------------------------------------------------------------------------------------------------------
	@ESET NOD32 Support Russia
	-------------------------------------------------------------------------------------------------------------------------------
	Ваше обращение № 972644 закрыто.

	Если у Вас остались вопросы, будем рады на них ответить.

	Чтобы продолжить решение данной проблемы, обратитесь, пожалуйста, в техническую поддержку. При обращении в техническую поддержку, необходимо будет указать номер Вашего обращения, указанный в начале данного письма.

	-------------------------------------------------------------------------------------------------------------------------------
	Клиент
	-------------------------------------------------------------------------------------------------------------------------------
	Здравствуйте, я смотрю на HabraHabr ваши коллеги уже успели похвалится, что "нашли вирус" и цитирую "Вредоносный исполняемый файл, который находится во вложении к письму обнаруживается AV-продуктами ESET какWin32/TrojanDownloader.Elenoocka.A.", а ответить клиентам у которых все же не обнаружилось - не удосужились...