rez0n/gist:9ada3f605de2a1ac72c2

## gistfile1.txt
Описание проблемы:
Добрый день.
Уже довольно давно в сети (преимущественно через почту) гуляет вирус CBT-Locker который как известно шифрует все пользовательские файлы и вымогает деньги.
А как так получается что до сих пор NOD не идентифицирует этот вирус?
Даже если попробовать проверить конкретный файл вируса через контекстное меню - NOD не обнаруживает угрозы. После запуска тоже. Только по факту шифрования файлов - он начинает зачищать эти самые шифрованные файлы, но уже поздно да и толку от этого нет.
ОС: Windows 8.1
Антивирус: EAV 7 с триальным ключем, в данном конкретном случае.

-------------------------------------------------------------------------------------------------------------------------------
@ESET NOD32 Support Russia
-------------------------------------------------------------------------------------------------------------------------------
1. Пришлите, пожалуйста, несколько образцов зашифрованных файлов разных форматов. Добавьте их в архив с названием «Crypted».

2. Пришлите, пожалуйста, тело вируса, который зашифровал файлы. Возможно, образец шифратора находится в карантине антивируса. Щелкните правой клавишей мышки по значку антивируса и выберите «временно отключить защиту». Откройте главное окно антивируса, выберите меню «Служебные программы» (Сервис) - «Карантин», проверьте, имеется ли в карантине вирус с пометкой «Filecoder», обнаруженный в день заражения, если да – щелкните правой клавишей мышки по нему, выберите «Восстановить в» и сохраните файл в любом удобном для Вас месте (но не открывайте его). После этого, необходимо заархивировать образец вируса, например, с помощью архиватора WinRar:

http://rarlab.com/rar/wrar510ru.exe - для 32 - х битных систем.
http://rarlab.com/rar/winrar-x64-510ru.exe - для 64 - х битных систем.

Правой клавишей мышки щелкните по сохраненному ранее вирусу и выберите «добавить в архив…». Укажите имя архива «Filecoder». В открывшемся меню нажмите «Установить пароль» и введите пароль «infected». Поставьте галочку «шифровать имена файлов». Дважды нажмите ОК. После чего, удалите оригинальный файл вируса, а созданный запароленный архив пришлите нам.

В случае, если в карантине отсутствует вирус типа Filecoder, возможно, он сохранился в электронном письме от злоумышленников на зараженном ПК. В этом случае, сохраните вложение, заархивируйте описанным выше образом и отправьте нам. Также, добавьте в запароленный архив файлс требованиями от злоумышленников, если таковой имеется.

3. Скачайте утилиту ESET Log Collector по ссылке: http://download.eset.com/special/ESETLogCollector.exe

Сохраните программу на компьютер. После запуска ESET Collector согласитесь принять лицензионное соглашение нажав кнопку Agree.

В выпадающем меню "ESET logs collection" выберите пункт "Filtered XML" и нажмите кнопку Collect. По умолчанию, архив с данными сохранится на рабочем столе и будет иметь название "ess_logs.zip". Путь сохранения архива можно изменить, нажав кнопку "...". Пришлите данный архив к нам на анализ.

С подробной инструкцией можно ознакомиться по ссылке: http://www.esetnod32.ru/support/knowledge_base/solution/?IBLOCK_ID=53&SECTION_ID=1788&ELEMENT_ID=860790


-------------------------------------------------------------------------------------------------------------------------------
Клиент
-------------------------------------------------------------------------------------------------------------------------------
Добрый день.
1. Добавил образцы файлов в общий архив в отдельную папку. Помощь в расшифровке файлов не требуется, все файлы я восстановил. Добавленные файлы - все что удалось найти во временных файлах браузера.
2. Вирус и требования вымогателей - добавил в архив.
3. Относительно логов - ничего не выйдет, так как ОС была переустановлена.

Суть моего обращения.
Мне не нужна ваша помощь в вопросе расшифровки файлов и т.д. Я хочу понять почему NOD не защитил от данной гадости, даже когда я ткнул его прямо в тело вируса и что нужно сделать для того что бы такого не повторялось. Какой продукт нужно приобрести, что бы не попадатся на такие вирусы?
Спасибо.
-------------------------------------------------------------------------------------------------------------------------------
@ESET NOD32 Support Russia
-------------------------------------------------------------------------------------------------------------------------------
Ваше обращение № 972644 закрыто.

Если у Вас остались вопросы, будем рады на них ответить.

Чтобы продолжить решение данной проблемы, обратитесь, пожалуйста, в техническую поддержку. При обращении в техническую поддержку, необходимо будет указать номер Вашего обращения, указанный в начале данного письма.

-------------------------------------------------------------------------------------------------------------------------------
Клиент
-------------------------------------------------------------------------------------------------------------------------------
Здравствуйте, я смотрю на HabraHabr ваши коллеги уже успели похвалится, что "нашли вирус" и цитирую "Вредоносный исполняемый файл, который находится во вложении к письму обнаруживается AV-продуктами ESET какWin32/TrojanDownloader.Elenoocka.A.", а ответить клиентам у которых все же не обнаружилось - не удосужились...
	Описание проблемы:
	Добрый день.
	Уже довольно давно в сети (преимущественно через почту) гуляет вирус CBT-Locker который как известно шифрует все пользовательские файлы и вымогает деньги.
	А как так получается что до сих пор NOD не идентифицирует этот вирус?
	Даже если попробовать проверить конкретный файл вируса через контекстное меню - NOD не обнаруживает угрозы. После запуска тоже. Только по факту шифрования файлов - он начинает зачищать эти самые шифрованные файлы, но уже поздно да и толку от этого нет.
	ОС: Windows 8.1
	Антивирус: EAV 7 с триальным ключем, в данном конкретном случае.

	-------------------------------------------------------------------------------------------------------------------------------
	@ESET NOD32 Support Russia
	-------------------------------------------------------------------------------------------------------------------------------
	1. Пришлите, пожалуйста, несколько образцов зашифрованных файлов разных форматов. Добавьте их в архив с названием «Crypted».

	2. Пришлите, пожалуйста, тело вируса, который зашифровал файлы. Возможно, образец шифратора находится в карантине антивируса. Щелкните правой клавишей мышки по значку антивируса и выберите «временно отключить защиту». Откройте главное окно антивируса, выберите меню «Служебные программы» (Сервис) - «Карантин», проверьте, имеется ли в карантине вирус с пометкой «Filecoder», обнаруженный в день заражения, если да – щелкните правой клавишей мышки по нему, выберите «Восстановить в» и сохраните файл в любом удобном для Вас месте (но не открывайте его). После этого, необходимо заархивировать образец вируса, например, с помощью архиватора WinRar:

	http://rarlab.com/rar/wrar510ru.exe - для 32 - х битных систем.
	http://rarlab.com/rar/winrar-x64-510ru.exe - для 64 - х битных систем.

	Правой клавишей мышки щелкните по сохраненному ранее вирусу и выберите «добавить в архив…». Укажите имя архива «Filecoder». В открывшемся меню нажмите «Установить пароль» и введите пароль «infected». Поставьте галочку «шифровать имена файлов». Дважды нажмите ОК. После чего, удалите оригинальный файл вируса, а созданный запароленный архив пришлите нам.

	В случае, если в карантине отсутствует вирус типа Filecoder, возможно, он сохранился в электронном письме от злоумышленников на зараженном ПК. В этом случае, сохраните вложение, заархивируйте описанным выше образом и отправьте нам. Также, добавьте в запароленный архив файлс требованиями от злоумышленников, если таковой имеется.

	3. Скачайте утилиту ESET Log Collector по ссылке: http://download.eset.com/special/ESETLogCollector.exe

	Сохраните программу на компьютер. После запуска ESET Collector согласитесь принять лицензионное соглашение нажав кнопку Agree.

	В выпадающем меню "ESET logs collection" выберите пункт "Filtered XML" и нажмите кнопку Collect. По умолчанию, архив с данными сохранится на рабочем столе и будет иметь название "ess_logs.zip". Путь сохранения архива можно изменить, нажав кнопку "...". Пришлите данный архив к нам на анализ.

	С подробной инструкцией можно ознакомиться по ссылке: http://www.esetnod32.ru/support/knowledge_base/solution/?IBLOCK_ID=53&SECTION_ID=1788&ELEMENT_ID=860790


	-------------------------------------------------------------------------------------------------------------------------------
	Клиент
	-------------------------------------------------------------------------------------------------------------------------------
	Добрый день.
	1. Добавил образцы файлов в общий архив в отдельную папку. Помощь в расшифровке файлов не требуется, все файлы я восстановил. Добавленные файлы - все что удалось найти во временных файлах браузера.
	2. Вирус и требования вымогателей - добавил в архив.
	3. Относительно логов - ничего не выйдет, так как ОС была переустановлена.

	Суть моего обращения.
	Мне не нужна ваша помощь в вопросе расшифровки файлов и т.д. Я хочу понять почему NOD не защитил от данной гадости, даже когда я ткнул его прямо в тело вируса и что нужно сделать для того что бы такого не повторялось. Какой продукт нужно приобрести, что бы не попадатся на такие вирусы?
	Спасибо.
	-------------------------------------------------------------------------------------------------------------------------------
	@ESET NOD32 Support Russia
	-------------------------------------------------------------------------------------------------------------------------------
	Ваше обращение № 972644 закрыто.

	Если у Вас остались вопросы, будем рады на них ответить.

	Чтобы продолжить решение данной проблемы, обратитесь, пожалуйста, в техническую поддержку. При обращении в техническую поддержку, необходимо будет указать номер Вашего обращения, указанный в начале данного письма.

	-------------------------------------------------------------------------------------------------------------------------------
	Клиент
	-------------------------------------------------------------------------------------------------------------------------------
	Здравствуйте, я смотрю на HabraHabr ваши коллеги уже успели похвалится, что "нашли вирус" и цитирую "Вредоносный исполняемый файл, который находится во вложении к письму обнаруживается AV-продуктами ESET какWin32/TrojanDownloader.Elenoocka.A.", а ответить клиентам у которых все же не обнаружилось - не удосужились...