Шифровальщик зашифровал файлы .doc .xls .jpg, файлы БД 1с. *.aga [Trojan.Win32.Autoit.exv ]

**Piter Yew** · 20.04.2016, 12:42

Добрый день. Прошу помощи. Шифровальщик зашифровал файлы txt,xls,html,pdf,zip и добавил формат .aga
Везде, где шифровал, добавил файл Instructionaga.txt

https://drive.google.com/open?id=0By...HJpd3M0ZUVRUVU - примеры зашифрованных файлов.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.04.2016, 12:43

Уважаемый(ая) Piter Yew, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 20.04.2016, 12:51

Знаете что такое дедик и как их ломают?

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

**Piter Yew** · 20.04.2016, 13:04

Нет, не знаю что это, и как их ломают

**mike 1** · 20.04.2016, 13:55

Очень жаль, что админ даже ленится погуглить что это такое. Кстати, антивирус, который у вас установлен уже давно снят с поддержки. Халатность админа налицо.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
breg

delall %SystemDrive%\DOCUMENTS AND SETTINGS\MANAGER2\APPLICATION DATA\ADOBE\SMSS.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MANAGER2\LOCAL SETTINGS\APPLICATION DATA\SKYPE\SAFESURF.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\MANAGER2\LOCAL SETTINGS\APPLICATION DATA\SKYPE\SAFESURF.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\MANAGER2\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\1C ПРЕДПРИЯТИЕ.LNK
delref %SystemDrive%\DOCUMENTS AND SETTINGS\MANAGER\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AONEDLCHKBICMHEPIMIAHFALHEEDJGBH\3.8.6_0\SUPERMEGABEST
delref E:\RWSFNDNFSYSWC.BAT
delref E:\VCAPZRDXMUQWEPF.BAT
delref E:\VYSDJXFVGKC.BAT
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\MANAGER\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AONEDLCHKBICMHEPIMIAHFALHEEDJGBH
czoo

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог uVS.

**Piter Yew** · 20.04.2016, 14:18

Так нет админа, от слова совсем. Антивирус, первое что нашел у себя...

**mike 1** · 20.04.2016, 15:03

1. Антивирус обновляйте до KES 10. То старье, которое у вас стоит не поддерживается, к нему и базы уже не выпускают.

2. На всех учетках меняйте пароли на более стойкие. Пароли вида qwerty, 1234, admin быстро ломаются по словарю. В хорошем пароле должны использоваться цифры, буквы, заглавные буквы и специальные символы.

3. Пароль от RDP меняйте на более стойкий, а то снова залезут и зашифруют вам весь сервер.

4. В локальных политиках сервера запретите по возможности удаленные подключения по RDP не через IP адреса локальной сети. Настройте фильтрацию по IP. Установите блокировку анонимных пользователей на определенный промежуток при вводе N-количества раз неверной пары логин/пароль к RDP.

5. Своевременно устанавливайте обновления на сервер.

Как все это сделать гуглите самостоятельно.

Ответил в ЛС.

**Piter Yew** · 20.04.2016, 15:35

Спасибо большое, проверил, работает. Все вышеперечисленное будем гуглить и делать. Пароли на учетки уже поменял.

**CyberHelper** · 20.04.2016, 15:45

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. \smss.exe - Trojan.Win32.Autoit.exv ( BitDefender: Trojan.Generic.16199645, AVAST4: Win32:Dropper-gen [Drp] )

Шифровальщик зашифровал файлы .doc .xls .jpg, файлы БД 1с. *.aga [Trojan.Win32.Autoit.exv ] (заявка № 199779)

Опции темы