Encoder.741 (он же Ebola) [Trojan.Win32.Agent2.mqi
]
Добрый день!
Словил вот такую радость. На источник заражения банально не нашлось ключика касперского...
После инфекции файлик пошел гулять по сетке.
Зараженных компьютеров больше не стало, но вся общедоступная шара на 100% зашифрована. И фиг бы с ней, сервер бэкапится каждый день, но некоторые юзеры хранили уникальные документы в личных шарах...
Вот логи, но вирусню (а зверь был видимо не первым) я с высокой вероятностью вычистил. Компьютер к сети подключать не хочу, ибо даже малая вероятность последующего шифрования должна быть исключена.
Я оплачу подписку на дешифровку, это не есть проблема (проблема есть в том что платеж не проходит).
Вообще не очень понятно, исходя из описания шифрует он AES 128.
Имеет ли смысл пытаться что-то дешифровать? Брутфорс тут мягко скажем не очень эффективен.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) pvoid, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup-\7[2].exe','');
DeleteFile('C:\Users\Администратор\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Users\Администратор\AppData\Local\Amigo\Application\ok.exe','32');
DeleteFile('C:\Users\Администратор\AppData\Local\Amigo\Application\vk.exe','32');
DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup-\7[2].exe','32');
DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup-\ebola.bmp','32');
DeleteFileMask('C:\Users\Администратор\AppData\Local\Amigo', '*', true);
DeleteDirectory('C:\Users\Администратор\AppData\Local\Amigo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Залил карантины.
Сегодняшний (то что сделано скриптом) и вчерашний (сделано вручную в чуть более старой версии авз, в процессе лечения).
Во новом карантине только один фаил, остальное снесено.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: