Все файлы JPG, DOC, XLS, 1CD, DT, CF, DAT, HTM, BMP, GIF, PNG, TXT зашифрованы вирусом.
Шифруется все кроме заголовка (28-32байт)
Каталоги мусоряться текстовыми файлами "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt"
Содержимое:
----------------------------------------------------------------------------------------------
ВНИМАНИЕ!!!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, И ЭТО ФАКТ. КОЛ-ВО ПОПЫТОК ВВОДА ПАРОЛЯ -10, ПОСЛЕ ЭТОГО ВОССТАНОВЛЕНИЕ ФАЙЛОВ
БУДЕТ НЕВОЗМОЖНО.
НЕ РЕКОМЕНДУЕТСЯ:
- ПРОВЕРЯТЬ КОМП АНТИВИРУСОМ;
- ПЕРЕУСТАНАВЛИВАТЬ ВИНДОВС;
- ПЫТАТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ САМОСТОЯТЕЛЬНО.
ВСЕ ЭТИ ДЕЙСТВИЯ - БЕСПОЛЕЗНАЯ ТРАТА ВАШЕГО ВРЕМЕНИ И УСИЛИЙ, А ТАКЖЕ РЕАЛЬНЫЙ РИСК ПОТЕРЯТЬ ВСЮ ИНФОРМАЦИЮ НАВСЕГДА. НЕ УСЛОЖНЯЙТЕ СВОЕ ПОЛОЖЕНИЕ, ЛУЧШЕ ПИШИТЕ НА: [email protected]
тирешки я сам добавил
эти самые файлы перечисленных расширений получают после шифрования второе расширение FKLOCK
время изменения файлов не меняется но по словам чайников зашифровка произошла 30 октября 2014
результаты сбора AVZ и HiJack прилагаю.
открыт только RDP, 3 админские учетки с длинными паролями использовались просвященными пользователями.
1 учетка с несложным паролем 6 символов с правами гостя+rdp
как это не странно, но этот сервак уже шифровался три мес назад другим шифровщиком который выдавал такие файлы "Admin.xml.id-{MNOPQRRSTUVVWXYZAAABCDEEFGHIIJKKLMNN-09.07.2014 3@52@37932640}[email protected]"
папки windows и Program Files не шифровались вообще
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) fillip, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Unfortunately, there is a fault on the server. We are very sorry for the inconvenience; our specialists are currently working on the problem and normal service will be resumed shortly.
Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Professional" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#0)
В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
на том бразильском компе есть 2 принтера Microsoft XPS и FAX
когда произошел этот взлом то ему пытался помешать мой чайник. они боролись за сеанс отключая друг-друга 3 раза.
а потом почему-то пришел я тоже по уделенке и завершил их сеанс (я редко туда захожу, сам непойму зачем я это сделал)
поэтому сохранилась папка темпа откуда я и выцепил вирус сегодня. вобщем пока завершаю флуд.
будем ждать результатов )
у меня есть текстовый файл 28 байт он вообще не изменился хотя расширение поменял.
58 байт явно пострадал в конце
нашел живые дубликаты испорченных файлов разной величины, из-за размера могу приложить тока так https://yadi.sk/d/mxC8_5DPcVLx2
Да это можем расшифровать уже сейчас. По логам я плохого не увидел, но пароли от RDP и учетных записей поменяйте. У нас с 1 ноября расшифровка файлов идет отдельной услугой. Подробней: http://virusinfo.info/content.php?r=639-decoding
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: