Fabian Wosar

Emsisoft Employee
  • Content Count

    4403
  • Joined

  • Days Won

    1

Everything posted by Fabian Wosar

  1. Hast Du wie vorgeschlagen den Customer Support kontaktiert?
  2. Generell werden Lizenzprobleme nicht im Forum besprochen. Ich würde Dich bitten Dich an [email protected] zu wenden, damit wir uns anschauen können, was bei Dir falsch gelaufen ist.
  3. Leute laden ueber die Homepage leider jede Menge Muell hoch. Entsprechend haben Samples die ueber die Website uebermittelt werden minimale Prioritaet. Der effizienteste Weg ist, Dateien hier im Forum zu uebermitteln im Malware Submissions Bereich.
  4. Um welche Dateien handelt es sich denn und wie wurden sie eingeschickt?
  5. The EEK download is being updated once a day. That means signatures may be up to 24 hours old. However, you can update it on any other PC. Signatures are stored on the stick. So just run the updater on your normal PC before you plug it into the PC you want to work on.
  6. There's no difference in effectiveness. The only change that they made between 7 and 8/10 is the support for Metro Apps and App containers. But 7 doesn't need that since it doesn't have them.
  7. The fortification feature has the same effectiveness on all supported Windows versions (so 7, 8.1, 10).
  8. Der Uninstaller hatte ASLR und DEP deaktiviert. Zum einen verarbeitet der Uninstaller keine unkontrollierten Eingaben, weshalb ein Exploiten extrem unwahrscheinlich ist. Zum anderen wirst Du kaum dauerhaft den Uninstaller auf Deinem System gestartet haben, sondern ihn nur dann starten, wenn Du vor hast EAM zu deinstallieren.
  9. Can you please upload the ransom note and one encrypted file to https://id-ransomware.malwarehunterteam.com and post the result link here? Thanks.
  10. All the feature does is restrict which applications can access the Windows Firewall. It's not a replacement for any third-party frontends. The function is part of the behaviour blocker and doesn't have a dedicated UI. You can find the option to allow or block applications from accessing your Windows Firewall in the application rules.
  11. Ohne die Links ist das schwer zu sagen. Der meiste Email Muell ist letztlich einfach nur Spam und die (Einkaufs-)Seiten sind weder Phishing noch boesartig. Nur weil eine Mail ungewollt ist, heisst es noch lange nicht das es sich dabei automatisch um Malware oder etwas "gefaehrliches" handeln muss.
  12. Das ist kein Kaspersky spezifisches Problem: https://jhalderm.com/pub/papers/interception-ndss17.pdf Wie gesagt, absolut jeder Hersteller der in Deinen SSL Verbindungen rumfummelt hatte bzw. hat Probleme damit. Das Ganze hat solche Ausmasse angenommen, dass sowohl Mozilla als auch Google von AVs fordern ihre Browser und SSL Verbindungen von und zu ihren Browsern in Ruhe zu lassen: http://www.zdnet.com/article/google-and-mozillas-message-to-av-and-security-firms-stop-trashing-https/
  13. Scan von Emails erfordert zwangslaeufig das Aufbrechen verschluesselter Verbindungen. In der Vergangenheit ist ausnahmslos jedes AV mit solcherlei Funktion damit auf die Nase gefallen. Siehe z.B. hier: https://blog.hboeck.de/archives/869-How-Kaspersky-makes-you-vulnerable-to-the-FREAK-attack-and-other-ways-Antivirus-software-lowers-your-HTTPS-security.html Bevor irgendwas, was an einer Email angehaengt ist, ausgefuehrt werden kann, wird es als temporaere Datei auf der Festplatte gespeichert, wo wir es dann scannen. Entsprechend macht es fuer die Sicherheit des Systems keinen Unterschied ob die Email bei Ankunft oder vor dem Oeffnen gescanned wird. Es macht fuer Dein System und Deine Privatsphaere aber sehr wohl einen riesigen Unterschied, ob wir alle Deine verschluesselten Verbindungen aufbrechen und da drin rumschnueffeln oder nicht.
  14. Wir bauen und optimieren unsere Software letztlich nicht fuer High End Systeme, sondern fuer das was unser Durchschnittsuser so hat. Wir haben z.B. erst kuerzlich angefangen Optimierungen zu erlauben, die auf Prozessorerweiterungen basieren, die vor ca. 14 Jahren eingefuehrt wurden. Nur damit Du eine Vorstellung davon hast, wie konservativ wir mit unseren Erwartungen an die Hardware sind. Entsprechend ist es unwahrscheinlich, dass wir jemals Archivscans in Echtzeit anbieten werden.
  15. Generell scannen wir in Echtzeit nicht in Archivformaten, weil es schlicht keinen Sinn macht. Insbesondere Setup Formate sind recht rechenintensiv zu entpacken und Archive tendieren oftmals dazu recht gross zu sein (grade Archivformate wie ISO z.B.). Das bedeutet eine Ueberpruefung in Echtzeit wuerde das System massivst ausbremsen. Dazu kommt, dass Archivscans relativ sinnfrei sind, da Dateien beim Entpacken dann ohnehin nochmal gescanned werden. On-Demand scannen wir Archive standardmaessig. Dabei ist allerdings zu beachten, dass die Statistik Archiv Dateien als eine Datei zaehlt, egal wieviele Dateien sie beinhaltet und wieviele dieser Dateien wir gescanned haben.
  16. Can you please upload the ransom note and one encrypted file to https://id-ransomware.malwarehunterteam.com and post the result link here? Thanks.
  17. The ransomware family you got hit by is not decryptable without the cooperation of the ransomware authors at the moment, sorry. You will have to restore from your latest backups.
  18. Avast was looking into Cry36 as well but ultimately came to the same conclusion that we did, that decryption is infeasible.
  19. The ransomware family you got hit by is not decryptable without the cooperation of the ransomware authors at the moment, sorry. You will have to restore from your latest backups.
  20. Those information are most important for law enforcement agencies if you decide to report this incident to the police (which you should!). So if you want to format/erase, make sure to create a disk image to hand in as evidence.
  21. You can configure the Windows Firewall to block outgoing connections from applications you didn't specifically allow. I don't think there is an interactive mode. However, there are a whole bunch of free additions like Windows Firewall Notifier for example, who attempt to "reskin" the normal Windows Firewall dialogs and they do include asking for new applications for example.
  22. Yes, you can. License topics aren't handled in the forum though, for obvious reasons. Feel free to send an email to [email protected] Make sure to include the key you would like to convert.
  23. Windows Firewall in default settings blocks incoming connections by default. In addition, the behaviour blocker also detects suspicious attempts to open ports locally and wait for incoming connections (backdoor behaviour).
  24. NemucodAES doesn't change the file extension of encrypted files.