Всем доброго времени суток!
Только что обнаружил зашифрованные файлы на компе, и достаточно поздно, перешифровано 95% личных файлов и фото.
Подхватил по всей видимости с рабочей почты, было получено письмо от клиента и текстом вроде "Здравствуйте, я не совсем понял как это работает (ссылка) Не подскажите?" Следом пришло еще одно письмо с той же ссылкой но другим текстом, понял что его почта взломана, но уже поздно.
Прошу дать инструкцию к дальнейшим действиям, боюсь самостоятельно сделать лишнего и окончательно утратить возможность восстановить файлы.
Файлы имеют вид: ТЗ покупатели.odt.id-{BCDEGHIJKLNOOQRSSUVWXYZABCDFGGHJKKMN-07.11.2014 22@38@421174468}[email protected]
Ссылка на один из зашифрованных файлов https://www.dropbox.com/s/f4josx4rly...0.0.0.cbf?dl=0
Последний раз редактировалось Poooison; 08.11.2014 в 23:01.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Poooison, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
acestream и связанное с ним расширение для браузеров AS Magic Player удалите
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\RarLab\1.exe','');
DeleteFile('C:\Program Files (x86)\RarLab\1.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AceStream');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
thyrex, не уверен что карантин сделал правильно, так как по инструкции написано "2. В верхнем окне введите список файлов которые Вас просили прислать.", но я не понял что в этом верхнем окне писать... В итоге получилось как то так... Выслал целых 2 карантина, первый карантин до повторного выполнения скриптов AVZ, второй после.
Вселенская печаль по поводу невозможности расшифровать...
thyrex, посмотрите пожалуйста еще один карантин, если есть в этом хоть какой то смысл (самый ранний от 08/11/14) я его ранее не высылал. Или же для расшифровки теперь не поможет вообще ничего? Или может есть примерная инструкция к действию, если все таки файлы восстановить надо ну очень как?
Последний раз редактировалось Poooison; 10.11.2014 в 15:09.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: