Здравствуйте.
Сегодня ночью была атака на компьютер. По логам Windows, в 2:54-3:37 часа ночи были установлены а потом удалены несколько принтеров Microsoft XPS Document Writer с двух не существующих в нашей сети компьютеров. На рабочем столе появилась куча текстовых файлов с содержанием:
"ваши файлы зашифрованы если хотите их расшифровать то пишите нам на почту [email protected] отвечю в течение четырех часов при обращении В письме укажите ваш ID:"
Проверка антивирусами Eset Nod 32, AVZ не дала результата
Шифруются только файлы .*exe (по крайней мере я заметил только их неисправность) При запуске файла быстро открывается и закрывается командная строка
P.S. В общем заплатили
Выслали программу Filewall
код для дешифровки
Могу выслать зашифрованный файл, саму программу и код дешифровки, если кому поможет на будущее. Модераторы отпишитесь пожалуйста, может получится найти решение, чтобы в дальнейшем помочь другим
Последний раз редактировалось Valeha30; 26.05.2014 в 16:19.
Причина: Дополнение после обезвреживания
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Valeha30, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
ссылка на сам дешифратор http://rghost.ru/55876083
пароль на скачивание: armada
срок хранения ссылки 5 дней
Пароль на расшифровку в приложенном файле
этим же паролем шифровали
Можете взять любой файл, поместить в дескриптор, зашифровать этим паролем, посмотреть.
Проникновение на компьютер через другой компьютер через открытый порт 3389 RDP (это уже сами взломщики поделились)
Программка мало известная в интернете, потому как гугль по ее названию мне показал всего одну ссылку.
Последствия: Был зашифрован полностью локальный диск Е, с запускаемыми оттуда программами. Некоторые программы запускались как службы, поэтому при первом запуске файлы на которые ссылались службы были переименованы в что-то наподобии "8C778FA4", пришлось возвращать их на место (та еще муть)
7 часов потерянного времени
Деньги