Показано с 1 по 13 из 13.

Зашифровались файлы на рабочеп ПК. [Trojan-Ransom.Win32.Cryakl.ar ] (заявка № 166787)

  1. #1
    Junior Member Репутация
    Регистрация
    18.09.2014
    Сообщений
    6
    Вес репутации
    35

    Зашифровались файлы на рабочеп ПК. [Trojan-Ransom.Win32.Cryakl.ar ]

    Здравствуйте. Сегодня утром обнаружил, что все файлы на ПК зашифрованы, На данном ПК все базы 1С и все рабочие файлы, жёстки диск, куда делались ежедневные резервные копии форматнулся!! в конце каждого зашифрованного файла приписано .id-{MNOOPQRSSSTUVVWXXXYZAABBCCDEFFGGHHIJ-18.09.2014 2@34@4144958}[email protected].

    Жёсткий диск подсоединил к другому ПК. так что все логи с него.
    файл virusinfo_syscheck.zip в логах не обнаружил. Прикрепил всё, что было.

    Рядом есть аналогичная тема, решил написать самостоятельно, т.к. у вас написано, что все случаи уникальные.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Aircross, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    А зачем нам логи с незараженной машины?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    18.09.2014
    Сообщений
    6
    Вес репутации
    35
    Цитата Сообщение от thyrex Посмотреть сообщение
    А зачем нам логи с незараженной машины?
    Извините. Не подумал. Вот новые логи с заражённой машины.
    За весь день нашёл некоторую информацию:
    1. Вирус сидит в Program files (x86) в папке dr.web - mowenniki, там 3 файла, один из них explorer.exe (Касперски определяет как Trojan-ransom Win32.Cryakl.ar)
    2. Не один из дешифраторов, которые я нашёл в интернете, не помогает
    3. Жёсткий диск, на котором были резервные копии был полностью стёрт, явно работали через RDP, В итоге виндовс снёс, все пароли новые... Базу 1с восстановил, не могу только расшифровать Word, Exel, JPG, PDF.

    Так же есть файл заражённый, и его оригинал. (сам вирус тоже есть в архиве)
    Заранее благодарен за помощь.

    И ещё, забыл, написал автору вируса. Вот такой ответ был:
    ------------------------------
    Добрый день, ваш сервер был взломан, все файлы зашифрованны, цена вопроса 1000$.
    В качестве доказательств можем расшифровать несколько файлов, после оплаты послучите ссылку на скачку дешифратора с инструкциями.
    Так же покажем уязвимость на вашем сервере и дадим советы как в обезопасить свой сервер дабы в дальнейшем избегать подобных случаев.
    ---------------------------------
    Вложения Вложения

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    С расшифровкой нее поможем

    Цитата Сообщение от Aircross Посмотреть сообщение
    В итоге виндовс снёс, все пароли новые...
    Ну тогда и эти логи бессмыссленны
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    18.09.2014
    Сообщений
    6
    Вес репутации
    35
    Цитата Сообщение от thyrex Посмотреть сообщение
    С расшифровкой нее поможем

    Ну тогда и эти логи бессмыссленны
    К вечеру голова вообще не варит, слово "снёс" не правильное))) Я купил новый ssd и на него установил новый виндовс. А старый в полку убрал. До лучших времен. Так что логи получаются с заражённой машины!

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Program Files (x86)\dr.web - mowenniki\explorer.exe','');
     DeleteFile('C:\Program Files (x86)\dr.web - mowenniki\explorer.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\progrmma','command');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузите вручную.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    18.09.2014
    Сообщений
    6
    Вес репутации
    35
    Карантин выслал.
    Новые логи:
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.43.
    Пожалуйста, обновите базы и сделайте новые логи.

  11. #10
    Junior Member Репутация
    Регистрация
    18.09.2014
    Сообщений
    6
    Вес репутации
    35
    Цитата Сообщение от regist Посмотреть сообщение
    Пожалуйста, обновите базы и сделайте новые логи.
    Обновил. Новые логи:
    Вложения Вложения

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    В логах порядок

    С расшифровкой не поможем. Зашли к Вам действительно удаленно, меняйте пароли к RDP
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    18.09.2014
    Сообщений
    6
    Вес репутации
    35
    Цитата Сообщение от thyrex Посмотреть сообщение
    В логах порядок

    С расшифровкой не поможем. Зашли к Вам действительно удаленно, меняйте пароли к RDP
    Всем спасибо. Пришлось купить дешифратор.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files (x86)\dr.web - mowenniki\explorer.exe - Trojan-Ransom.Win32.Cryakl.ar ( BitDefender: Gen:Variant.Zusy.12582, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Aircross, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 11
      Последнее сообщение: 25.08.2014, 13:03
    2. Зашифровались рабочие файлы и документы, [email protected]
      От Олег Баксов в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.06.2014, 10:46
    3. Зашифровались файлы
      От Александр З в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.06.2014, 14:47
    4. Зашифровались файлы.
      От Артем_84 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.05.2014, 14:30
    5. Зашифровались файлы
      От Вильям Shakespeare в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 16.05.2014, 02:29

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01517 seconds with 20 queries