Зашифровались файлы на рабочеп ПК. [Trojan-Ransom.Win32.Cryakl.ar
]
Здравствуйте. Сегодня утром обнаружил, что все файлы на ПК зашифрованы, На данном ПК все базы 1С и все рабочие файлы, жёстки диск, куда делались ежедневные резервные копии форматнулся!! в конце каждого зашифрованного файла приписано .id-{MNOOPQRSSSTUVVWXXXYZAABBCCDEFFGGHHIJ-18.09.2014 2@34@4144958}[email protected].
Жёсткий диск подсоединил к другому ПК. так что все логи с него.
файл virusinfo_syscheck.zip в логах не обнаружил. Прикрепил всё, что было.
Рядом есть аналогичная тема, решил написать самостоятельно, т.к. у вас написано, что все случаи уникальные.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Aircross, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Извините. Не подумал. Вот новые логи с заражённой машины.
За весь день нашёл некоторую информацию:
1. Вирус сидит в Program files (x86) в папке dr.web - mowenniki, там 3 файла, один из них explorer.exe (Касперски определяет как Trojan-ransom Win32.Cryakl.ar)
2. Не один из дешифраторов, которые я нашёл в интернете, не помогает
3. Жёсткий диск, на котором были резервные копии был полностью стёрт, явно работали через RDP, В итоге виндовс снёс, все пароли новые... Базу 1с восстановил, не могу только расшифровать Word, Exel, JPG, PDF.
Так же есть файл заражённый, и его оригинал. (сам вирус тоже есть в архиве)
Заранее благодарен за помощь.
И ещё, забыл, написал автору вируса. Вот такой ответ был:
------------------------------
Добрый день, ваш сервер был взломан, все файлы зашифрованны, цена вопроса 1000$.
В качестве доказательств можем расшифровать несколько файлов, после оплаты послучите ссылку на скачку дешифратора с инструкциями.
Так же покажем уязвимость на вашем сервере и дадим советы как в обезопасить свой сервер дабы в дальнейшем избегать подобных случаев.
---------------------------------
К вечеру голова вообще не варит, слово "снёс" не правильное))) Я купил новый ssd и на него установил новый виндовс. А старый в полку убрал. До лучших времен. Так что логи получаются с заражённой машины!
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\dr.web - mowenniki\explorer.exe','');
DeleteFile('C:\Program Files (x86)\dr.web - mowenniki\explorer.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\progrmma','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузите вручную.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.43.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: