Сегодня утром, одна из сотрудниц получила письмо якобы от консультанта, следующего содержания:
-------- Пересылаемое сообщение--------
24.02.2015, 05:55, "Отдел продаж - "Консультант Плюс"" <[email protected]>:
День добрый,
Скидываю счета для проведения оплаты согласно Договора от 22.10.2014 года (во вложении).
Пожалуйста, погасите неоплаченный остаток за пользование системой "Консультант Плюс". Средства в полном объеме мы так и не получили, хотя прошло уже больше 2 месяцев.. По нашей оборотно-сальдовой ведомости за вами числиться небольшой долг.
Если оплата не будет произведена в ближайшие 10 дней, мы будем вынуждены прекратить Ваше обслуживание.
Спасибо.
Прикреплённые файлы:
1. Счета.zip
--
С Уважением,
Алина Островская
Старший менеджер по работе с клиентами
КонсультантПлюс
-------- Завершение пересылаемого сообщения --------
по незнанию, она открыла вложенный файл и после перезагрузки получила зашифрованные файлы (документы, картинки, pdf-файлы и прочее) на обоих логических дисках, которые сейчас имеют расширение *.vault
Была скачана CureIT и выполнено полное сканирование компьютера, был найден один подозрительный файл, который был удален. Но результата это не дало.
Могу предоставить то самое вложение, если это как то может помочь.
В аттаче логи программ AVZ и HiJack.
Заранее огромное спасибо за помощь. Комп нашего офис менеджера на нем очень много нужных файлов.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) kerber0s, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Office Manager\Application Data\VAULT.hta','');
DeleteFile('C:\Documents and Settings\Office Manager\Application Data\VAULT.hta','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VAULT Notification');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи по правилам
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Во вложении файлы отчета, которые сделаны во второй раз после выполнения скрипта, который Вы предоставили.
Файл карантина, сделан до второй генерации логов. Потому что после второй генерации логов программ AVZ и HiJackThis карантин был пуст.
Карантин отправлен согласно Приложения 2
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
