Добрый день.
На сервере (и только на нем) в одной из папок зашифровались все файлы в расширение *.just.
Появился файл "MESSAGE.txt" с сообщением:
"Унать стоимость декриптора можно, написав письмо на адрес:[email protected]
В теме письма укажите ваш ID:2265841110
Обращения принимаются до 18.10.2014
После 18.10.2014 любые обращения будут игнорироваться.
Письма обрабатываются автоматической системой.
Возможны задержки ответов."
Отключили физически сетевой провод, проверили все компы с помощью Веба и АВЗ, найденные несколько троянов вылечили. Логи не сохраняли. Все компы отключили.
Сегодня после включения еще на одном из компов все файлы на рабочем столе оказались зашифрованными. Касперский сразу нашел вирусы, отчет такой:
ПОМОГИТЕ, ПОЖАЛУЙСТА!!! Каким образом можно расшифровать файлы? И каким образом найти, где он спрятался? Или это новое заражение?
P.S. После всего этого установили Malwarebytes, нашел еще вирусы, логи сканирования прикрепляю.
Последний раз редактировалось Jenny-chka; 16.10.2014 в 13:34.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Jenny-chka, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Я вчера отправляла логи из AVZ и HiJackThis через ссылку "Прислать запрошенный карантин". Про них и спрашивала, прикрепились ли. Вкладываю их в сообщение.
Уточнение по прошлому сообщению: файл MESSAGE.TXT (с контактами для покупки дешефратора) размещен во всех папках, дата создания 15.10.14, т. е. ДО проверки, а не после, как я думала.
И еще: через поиск нахожу ВСЕ эти файлы MESSAGE.TXT, удаляю, но они тут же появляются вновь. В папке Temp постоянно появляются одни и те же папки с названиями в виде набора букв и цифр. Подскажите, как это всё почистить?
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\system32\drivers\wStLibG.sys','');
QuarantineFile('C:\Windows\system32\drivers\wStLib.sys','');
DeleteService('wStLibG');
DeleteService('wStLib');
QuarantineFile('C:\Program Files\RightSurf\updateRightSurf.exe','');
DeleteService('Update RightSurf');
DeleteFile('C:\Program Files\RightSurf\updateRightSurf.exe','32');
DeleteFile('C:\Windows\system32\drivers\wStLib.sys','32');
DeleteFile('C:\Windows\system32\drivers\wStLibG.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Не указала при сканировании поиск руткитов.
Прикрепляю еще один файл.
- - - - -Добавлено - - - - -
от Касперского пришел ответ:
"wssfcmai.exe - not-a-virus:Monitor.Win32.LA.a
Этот файл уже детектируется нашими расширенными базами как потенциально опасное программное обеспечение.
С уважением, Лаборатория Касперского"
Сегодня Касперский ругается на исполняемый файл Outlook.exe, пишет, что он был изменен с момента последней проверки.
Можно ли разрешать ему сетевую активность?
Имя процесса: Outlook.exe
ID процесса: 1584
Производитель: Microsoft Corporation
Версия: 14.0.4760.1000
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: