Зашифровало все файлы на расширение [email protected] [Trojan-Ransom.Win32.Agent.ioh ]

**abc.exe** · 28.04.2016, 10:40

Доброго дня!
На сервере зашифровало все файлы (включая бекап архивы акрониса .tib) на расширение [email protected].
Некоторые на расширение [email protected].
Сообщение в текстовом файле:
DECRYPT FILES EMAIL [email protected] or [email protected]

Пример зашифрованного файла:
https://yadi.sk/d/POziSuI0rMN5q
https://yadi.sk/d/jLeM74CSrMNGG
https://yadi.sk/d/L-5ThIvvrMPLh

Прикрепляю изображение и текстовый файл с сообщением.
Есть вероятный виновник торжества (payload.exe). Могу выслать в архиве.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.04.2016, 10:42

Уважаемый(ая) abc.exe, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 28.04.2016, 17:04

Сообщение от abc.exe

Есть вероятный виновник торжества (payload.exe).

Заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в данной теме.

**abc.exe** · 28.04.2016, 17:28

Сообщение от thyrex

Заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в данной теме.

Сделано.

**thyrex** · 28.04.2016, 18:10

Однако умудрились два вируса сразу отхватить. Запустили их прямо на сервере или кто-то из локальных пользователей постарался?

**abc.exe** · 28.04.2016, 18:30

Сообщение от thyrex

Однако умудрились два вируса сразу отхватить. Запустили их прямо на сервере или кто-то из локальных пользователей постарался?

Зашифровало ещё несколько ПК в локальной сети. У кого-то весь диск, кого-то только раздел, у кого-то только папку на шаре. Подозреваю, что хватанули прямо на сервере. Хотя не исключено что и на локальном пк и на сервере это было запущено.

**thyrex** · 28.04.2016, 18:55

Скорее всего кто-то из локальных запустил.

Нужно найти среди всех шифрованных файлов с десяток первых по времени шифрования. Скорее всего это и будет компьютер-первоисточник. Найденные файлы одним архивом выложите на Яндекс диск и пришлите ссылку

**abc.exe** · 01.05.2016, 17:56

Сообщение от thyrex

Скорее всего кто-то из локальных запустил.

Нужно найти среди всех шифрованных файлов с десяток первых по времени шифрования. Скорее всего это и будет компьютер-первоисточник. Найденные файлы одним архивом выложите на Яндекс диск и пришлите ссылку

Закрывайте тему. Переустановили всё с нуля и усилили меры безопасности. Благо, эта зараза не умеет шифровать sql файлы. А это было самое важное в принципе. Восстановили и всё ок. Интересует вот что: как или во что бекапить файлы, чтобы они не могли поддаться шифровке?А то я смотрю .tib архивы акрониса шифровать они уже умеют.

**CyberHelper** · 01.05.2016, 18:06

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. \payload.exe - Trojan-Ransom.Win32.Agent.ioh ( BitDefender: Gen:Variant.Razy.37560, AVAST4: Win32:Malware-gen )

Зашифровало все файлы на расширение [email protected] [Trojan-Ransom.Win32.Agent.ioh ] (заявка № 200016)

Опции темы