Очередной пострадавший от шифровальщика paycrypt@gmail_com

Тоже словили шифровальщика paycrypt@gmail_com. Правда, у нас это получилось как-то необычно, поэтому решил отписаться.

На комп. [U]Sale1[/U] поступило письмо от "контрагента" с вложением .zip, в котором, якобы, находится акт сверки. Дело было 24.06 в конце рабочего дня. Сотрудник открыл zip, нажал на файл внутри, выскочил текст с иероглифами. (Появились файлы Decode.zip, key.private, txt с приглашением к оплате). Ничего не поняв, закрыл и нажал на архив еще раз. Я подозреваю, даже несколько раз. Подумав, что у него отсутствует необходимая программа, переслал сообщение в бухгалтерию на машины [U]Bukh1[/U] и [U]Bukh2[/U]. Пришедшие утром, 25.06, бухгалтеры, получив письмо, "благополучно" активировали шифровальщика на своих машинах, в результате чего поимели кучу переименованных файлов сразу.

[U]Важно: на машине Sale1 файлы не зашифровались и, соответственно, не переименовывались!!!
[/U]Машина имеет признаки активации вируса в виде появившихся файлов, указанных выше. Но ни одного зашифрованного файла!
Просканировал все машины CureIt в безопасном режиме, везде обнаружилось одно и тоже. Отправил в карантин и удалил.

Если я правильно понял, файлы восстановлению не подлежат. В связи с этим прошу отметить, что помимо пользовательских фалов Office, картинок, pdf, архивов и пр., вирус не равнодушен к [U]файлам базы 1С!!![/U] Например, 1Cv8.1CD (локальная копия) тоже зашифровался.

Хотелось бы понять, можем ли мы продолжать работу на всех 3-х машинах без вероятности повторной активации этого вируса?
В какой последовательности отправлять аналитику по машинам в связи с нашей ситуацией?
У вас не скачивается AVZ, по указанной ссылке в Правилах. Нашел ее на другом ресурсе, но обновить базы не получилось. Как быть?
Есть ли риск для других машин в сети?
У нас база 1С установлена на сервере. Можем ли мы продолжать работать с ней с машин Bukh1 и Bukh2?

Уважаемый(ая) [B]ivsen5[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

В какой последовательности отправлять аналитику по машинам в связи с нашей ситуацией?
У вас не скачивается AVZ, по указанной ссылке в Правилах. Нашел ее на другом ресурсе, но обновить базы не получилось. Как быть?

[quote="ivsen5;1130527"]Сотрудник открыл zip, нажал на файл внутри[/quote]Файл сохранился? Если да, запакуйте его в zip-архив (в имени не должно быть русских символов) с паролем virus и пришлите его по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[quote="ivsen5;1130527"]Сотрудник открыл zip, нажал на файл внутри[/quote]Файл сохранился? Если да, запакуйте его в zip-архив (в имени не должно быть русских символов) с паролем virus и пришлите его по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[QUOTE=thyrex;1130564]Файл сохранился? Если да, запакуйте его в zip-архив (в имени не должно быть русских символов) с паролем virus и пришлите его по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[/QUOTE]

К сожалению, к моему приходу сообщение с вирусом было удалено на всех 3-х машинах.
Но, я полагаю, это тот же вирус, что и в других темах о paycrypt@gmail_com.

Каким-то образом удалось обновить базы AVZ, собрал логи по каждой машине.
Еще раз хочу отметить: [U]на машине Sale1 файлы не зашифровались и, соответственно, не переименовывались!!![/U]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

В продолжении темы Report из нашего головного об обнаружении вирусной активности на машинах Bukh1 и Bukh2.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Уточненная информация: на машине Sale1 таки обнаружились зашифрованные файлы с расширением paycrypt@gmail_com. Дата создания 25.06.2014 17:56/57. Последняя папка в алфавитном порядке на диске С, где они присутствуют - корневой раздел "Пользователи". Глубже в подпапках в этой же директории файлы остались не тронутыми. Вероятно, к тому моменту машина уже была выключена.
Есть ли риск возобновления активации вируса на этой машине??