Вложений: 2
Зашифрованы файлы шифровальщиком VAULT
Сегодня один из пользователей получил письмо с вложением: "Акт сверки и дополнительное соглашение к договору от 24 октября 2015г. Подписать до 29 октября. Согласовано директором_087446a020f.tхt .js", к сожалению само письмо он успел удалить...
Итог: зашифрованы все файлы на его компьютере и на сетевом диске в папках к которым у него был доступ на изменение/запись
(xls,xlsx,doc,docx) - пострадали файлы только с этим расширением (добавлено расширение *.vault"), на сетевом диске, также видны следы работы вируса в тех папках, где ему не удалось произвести шифровку есть промежуточные файлы *.pgp
Зараженная рабочая станция была в спешном порядке выключена, но уже было поздно...
На шифрование в общей сложности ушло около 4 минут:(
Жесткий диск из зараженного компьютера был изъят и подключен к моему, вот результат сканирования папки пользователя (лечение пока не производил)
[ATTACH=CONFIG]596548[/ATTACH]
архив с несколькими зашифрованными файлами:
[URL]http://rghost.ru/private/6vGxjNG5H/ac2cb57efcb7c0c3108530481d529c15[/URL]
какие мои дальнейшие действия? нужно ли возвращать жесткий диск обратно и проводить процедуры на живой системе?
vault.key присутствует:
[ATTACH=CONFIG]596552[/ATTACH]
