Добрый день! Столкнулся сегодня с заражением, результатом которого стало зашифровка всех файлов-документов на дисках: текстовые (doc, odt, xls), архивы (zip, rar), графика (jpg). К имени файла дописывается "[email protected]_hex15". В форуме за день увидел несколько подобных тем.
Прилагаю необходимые логи и образцы закриптованных файлов (и с таковыми до заражения из архива) для сравнения http://rusfolder.com/38050470. В автозагрузке висел файлик 312.exe от сегодняшней даты, его также могу передать. Надеюсь на помощь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Anra, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
В автозагрузке висел файлик 312.exe от сегодняшней даты
Запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
C:\Documents and Settings\zhilinskaya\Главное меню\Программы\Автозагрузка\cons.bat - известен этот файл?
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('D:\Tmp\3fe9c.exe','');
DeleteFile('D:\Tmp\3fe9c.exe','32');
DeleteFile('C:\WINDOWS\Tasks\7fc021jg.job','32');
DeleteFile('C:\Documents and Settings\andru\Главное меню\Программы\Автозагрузка\312.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запро-шенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
C:\Documents and Settings\zhilinskaya\Главное меню\Программы\Автозагрузка\cons.bat - известен этот файл?
Файл опасности не представляет - это команды назначения буквы диску.
Карантины выслал, скрипт выполнил, логи прилагаю.
Связавшись электронной почтой с авторами затеи, получил такой ответ:
Здравствуйте, дорогие советские друзя! Для разблокировки и получения дешифратора, Вам необходимо
пожертвовать детям африки 2 биткоина при помощи электронного платежа по курсу https://btc-e.com/
Так же для проверки,вы можете прислать нам зашифрованный файл, мы дешифруем и вышлем ваш файл в исходном состоянии.
Я так понимаю, что в данной ситуации надо ждать подходящего дешифратора. Среди пострадавших не было ли попыток купить его?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: