-
Junior Member
- Вес репутации
- 36
Шифровальщик файлов &am p;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a
Доброго дня! Вчера один из юзеров поймал шифровальщик аналогичный описанному в этой теме http://virusinfo.info/showthread.php?t=162092. Однако на ранней стадии удалось это отследить и отключить компьютер, т.е. процесс шифрования не был завершен (на момент выключения компьютера файлы типа doc, excel и т.д. еще можно было открыть). Вопрос: какие действия мжно предпринять, чтобы после включения компьютера остановить процесс шифрования и сохранить данные/часть данных(если процесс уже запущен). Может попробовать запустить в "Безопасном режиме" или без доступа к интернету, раз уж вирус подкачивает свои компоненты с серверов в интернете. На текущий момент компьютер выключен. Логи не собирал.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Dmitriy_VOK, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Файл запуска шифрования в автозагрузку не прописывается
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 36
Прикладываю логи. Поисковик зашифрованных файлов не нашел, может обошлось?
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
-
Поищите, пожалуйста, в папке Admin\Local Settings\Temp другие компоненты шифровальщика
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 36
Скрипт выполнен. Карантин отправлен. Логи в процессе. В темпе есть несколько файлов созданных предположительно в момент запуска вируса 17:28. Залил на файлообменник.
http://files.mail.ru/BF39E7966B374389BDC0593C25208D16
- - - Добавлено - - -
Новые логи.
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
-
Спасибо. Буду смотреть
Но все равно помочь невозможно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 36
Так ни один файл не зашифровался. Или что Вы имелли ввиду фразой "помочь невозможно"? Файлы всё равно зашифруются?
-
Фух, запамятовал, что вам благополучно удалось избежать шифрования
В логах порядок
- - - Добавлено - - -
А сам скрипт, который пришел по почте у Вас сохранился?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 36
Сообщение от
thyrex
А сам скрипт, который пришел по почте у Вас сохранился?
Да. Как лучше переслать?
-
Запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 36
Скинул архив и немного денег на поддержание проекта. Спасибо, ребят!
-
Архиву дайте англоязычное имя.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 36
Переименовал в virus.zip.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- \новые реквизиты 30.06.2014 дополнительное соглашение просьба ознакомиться с документом и ответить по возможности подписания учитывать в дальнейшей работе _drweb.ok.doc .js - Trojan-Downloader.JS.Agent.hag
-