Шифровальщик файлов &am p;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a

[Dmitriy_VOK]

Доброго дня! Вчера один из юзеров поймал шифровальщик аналогичный описанному в этой теме http://virusinfo.info/showthread.php?t=162092. Однако на ранней стадии удалось это отследить и отключить компьютер, т.е. процесс шифрования не был завершен (на момент выключения компьютера файлы типа doc, excel и т.д. еще можно было открыть). Вопрос: какие действия мжно предпринять, чтобы после включения компьютера остановить процесс шифрования и сохранить данные/часть данных(если процесс уже запущен). Может попробовать запустить в "Безопасном режиме" или без доступа к интернету, раз уж вирус подкачивает свои компоненты с серверов в интернете. На текущий момент компьютер выключен. Логи не собирал.

[Info_bot]

Уважаемый(ая) Dmitriy_VOK, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Файл запуска шифрования в автозагрузку не прописывается

[Dmitriy_VOK]

Прикладываю логи. Поисковик зашифрованных файлов не нашел, может обошлось?

virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

[thyrex]

Поищите, пожалуйста, в папке Admin\Local Settings\Temp другие компоненты шифровальщика

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe','');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Dmitriy_VOK]

Скрипт выполнен. Карантин отправлен. Логи в процессе. В темпе есть несколько файлов созданных предположительно в момент запуска вируса 17:28. Залил на файлообменник.
http://files.mail.ru/BF39E7966B374389BDC0593C25208D16

- - - Добавлено - - -

Новые логи.
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log

[thyrex]

Спасибо. Буду смотреть

Но все равно помочь невозможно

[Dmitriy_VOK]

Так ни один файл не зашифровался. Или что Вы имелли ввиду фразой "помочь невозможно"? Файлы всё равно зашифруются?

[thyrex]

Фух, запамятовал, что вам благополучно удалось избежать шифрования
В логах порядок

- - - Добавлено - - -

А сам скрипт, который пришел по почте у Вас сохранился?

[Dmitriy_VOK]

А сам скрипт, который пришел по почте у Вас сохранился?

Да. Как лучше переслать?

[thyrex]

Запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

[Dmitriy_VOK]

Скинул архив и немного денег на поддержание проекта. Спасибо, ребят!

[thyrex]

Архиву дайте англоязычное имя.

[Dmitriy_VOK]

Переименовал в virus.zip.

[thyrex]

Спасибо

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. \новые реквизиты 30.06.2014 дополнительное соглашение просьба ознакомиться с документом и ответить по возможности подписания учитывать в дальнейшей работе _drweb.ok.doc .js - Trojan-Downloader.JS.Agent.hag