некоторые файлы стали выглядеть типа "имяфайла[92C4AA7F-3351].[[email protected]].Elbie"
DRWEB cure it нашел троян и переместил его, но файлы остались зашифрованными
выполнил проверку по инструкции, лог прилагаю
некоторые файлы стали выглядеть типа "имяфайла[92C4AA7F-3351].[[email protected]].Elbie"
DRWEB cure it нашел троян и переместил его, но файлы остались зашифрованными
выполнил проверку по инструкции, лог прилагаю
Уважаемый(ая) [B]Kluevbz[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Это скорее всего Phobos, расшифровки нет.
Для уточнения типа вымогателя 2-3 зашифрованных документа (или картинки) упакуйте в архив и прикрепите к следующему сообщению.
Если есть записка с требованием выкупа, её тоже добавьте в тот же архив.
[QUOTE=Sandor;1525996]Здравствуйте!
Это скорее всего Phobos, расшифровки нет.
Для уточнения типа вымогателя 2-3 зашифрованных документа (или картинки) упакуйте в архив и прикрепите к следующему сообщению.
Если есть записка с требованием выкупа, её тоже добавьте в тот же архив.[/QUOTE]
записка была, но я ее удалил, там был указан адрес почты для связи [email][email protected][/email] и еще телеграмм какой-то (не помню уже)
Так и есть, это Phobos. Увы, без шансов.
Спасибо за ответ! Подскажите, пожалуйста, даже платно не получится? Или связываться по этому адресу, тоже смысла нет?
А так же очень бы хотелось понять из-за чего получилась такая уязвимость и как предотвратить на будущее?
[quote="Kluevbz;1526023"]Или связываться по этому адресу, тоже смысла нет?[/quote]
Мы не советуем. Известно очень много случаев, когда после оплаты жертвой выкупа злодеи пропадали совсем.
[quote="Kluevbz;1526023"]из-за чего получилась такая уязвимость[/quote]
Скорее всего взлом RDP и слабые пароли администратора. Пароли смените на сложные и настройте блокировку при неверном вводе , RDP если нужен, прячьте за VPN.
Также можно проверить:
[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]