-
Junior Member
- Вес репутации
- 30
Зашифровало все файлы на расширение [email protected] [Trojan-Ransom.Win32.Agent.ioh
]
Доброго дня!
На сервере зашифровало все файлы (включая бекап архивы акрониса .tib) на расширение [email protected].
Некоторые на расширение [email protected].
Сообщение в текстовом файле:
DECRYPT FILES EMAIL [email protected] or [email protected]
Пример зашифрованного файла:
https://yadi.sk/d/POziSuI0rMN5q
https://yadi.sk/d/jLeM74CSrMNGG
https://yadi.sk/d/L-5ThIvvrMPLh
Прикрепляю изображение и текстовый файл с сообщением.
Есть вероятный виновник торжества (payload.exe). Могу выслать в архиве.
Последний раз редактировалось abc.exe; 28.04.2016 в 13:45.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) abc.exe, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Сообщение от
abc.exe
Есть вероятный виновник торжества (payload.exe).
Заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в данной теме.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 30
Сообщение от
thyrex
Заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в данной теме.
Сделано.
-
Однако умудрились два вируса сразу отхватить. Запустили их прямо на сервере или кто-то из локальных пользователей постарался?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 30
Сообщение от
thyrex
Однако умудрились два вируса сразу отхватить. Запустили их прямо на сервере или кто-то из локальных пользователей постарался?
Зашифровало ещё несколько ПК в локальной сети. У кого-то весь диск, кого-то только раздел, у кого-то только папку на шаре. Подозреваю, что хватанули прямо на сервере. Хотя не исключено что и на локальном пк и на сервере это было запущено.
-
Скорее всего кто-то из локальных запустил.
Нужно найти среди всех шифрованных файлов с десяток первых по времени шифрования. Скорее всего это и будет компьютер-первоисточник. Найденные файлы одним архивом выложите на Яндекс диск и пришлите ссылку
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 30
Сообщение от
thyrex
Скорее всего кто-то из локальных запустил.
Нужно найти среди всех шифрованных файлов с десяток первых по времени шифрования. Скорее всего это и будет компьютер-первоисточник. Найденные файлы одним архивом выложите на Яндекс диск и пришлите ссылку
Закрывайте тему. Переустановили всё с нуля и усилили меры безопасности. Благо, эта зараза не умеет шифровать sql файлы. А это было самое важное в принципе. Восстановили и всё ок. Интересует вот что: как или во что бекапить файлы, чтобы они не могли поддаться шифровке?А то я смотрю .tib архивы акрониса шифровать они уже умеют.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \payload.exe - Trojan-Ransom.Win32.Agent.ioh ( BitDefender: Gen:Variant.Razy.37560, AVAST4: Win32:Malware-gen )
-