-
Junior Member
- Вес репутации
- 36
Помогите расшифровать файлы. Сотрудник открыл письмо с темой "СУДЕБНЫЙ ИСК"
Здравствуйте!
У нас один сотрудник 23.06.2014 г. получил по почте письмо (см. текст во вложении).
Перешёл по ссылке в письме (см. ссылка во вложении).
На следующий день обнаружил, что все документы зашифрованы.
На рабочем столе появилась картинка (см. во вложении)
У нас установлен лицензионный Антивирус "Касперского" (см. во вложении) версии 6 для рабочих групп.
Обновление настроено автоматически, последнее обновление на момент заражения было 20.06.2014.
Журнал событий прилагается, в нем видно описание вируса, так же пути к папкам, которые вирус создавал по мере внедрения.
Просим помочь расшифровать файлы, т.к. программы XoristDecryptor и RectorDecryptor. не помогли.
Так же в карантине и хранилище лежат скрипты *.vbs, но как их вам отправить - я не знаю.
Письмо по адресу [email protected] писал, но пришёл ответ, что такого адреса уже нет.
Вложенные файлы: Материалы о вирусе.zip
--
С уважением, Смирнов Алексей Владимирович
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) aleksmir, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 36
Зашифрованные файлы: Примеры зашифрованных файлов.zip
Логи AVZ и hijackthis: LOG.ZIP (т.к. 64-разрядная система, то virusinfo_cure.zip согласно правил не создавал, т.к. сразу перешёл к п.2).
-
Выполните скрипт в AVZ
Код:
beginShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end;QuarantineFile('C:\Users\ShuvalovVA\AppData\Local\winrar.exe',''); DeleteFile('C:\Users\ShuvalovVA\AppData\Local\winrar.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winrar'); BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(false);end.
Компьютер перезагрузится.Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыСделайте новые логи
Последний раз редактировалось thyrex; 26.06.2014 в 22:19.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 36
Файл из карантина загрузил: 140627_070852_virus_53ad18840f6e9.zip
Новые логи:
новые логи загрузить не смог, т.к. менеджер пишет, что я превысил предел на форуме в 1Мб. Как быть?
-
Удалите старые вложения
Мой кабинет => Вложения
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\users\shuvalovva\appdata\local\winrar.exe - Trojan-Ransom.Win32.Blocker.ezfa ( DrWEB: Trojan.Encoder.102, BitDefender: Gen:Variant.Graftor.144877, AVAST4: Win32:Malware-gen )
-