-
Junior Member
- Вес репутации
- 40
Вирус заархивировал файлы
Доброго всем!
Не знаю как ответить кому-то кто просит помощи с такой же проблемой которая была у меня - не позволяют правила форума - поэтому создал тему.
Я проблему решил, может мои действия помогут в решении похожих проблем у других.
Ситуация.
Бухгалтер открыла письмо на почте "Исковое заявление". Во вложении был файл Исковое.doc.exe
Он создал в папке С:/tmp несколько файлов, один из которых с названием Rar.exe заархивировал все файлы в отдельные архивы с паролем, и в каждой папке оставил текстовый файл с требованием денег за разархивацию.
Решение.
Оказалось довольно простым благодаря некоторой предусмотрительности - на компе стояла простенькая прога, которая писала лог активности всех программ. Судя по логу для архивации каждого файла запускался Rar.exe с одним и тем же параметром -pC8701329C870132....(32 знака). Эти знаки (все что после -р) и оказались паролем от всех архивов.
Понимаю что не у всех стоят подобные моей проги, но возможно (сам я не програмист и утверждать не буду) что есть штатные логи винды где прописано с каким параметром запускался вирус.
Если есть, то кто знает - пусть напишет 
как их посмотреть, думаю это поможет решить проблему многим
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) MaxPiN, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Что за такая полезная программа?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Process Explorer, только с доп настройками. Делал не я, проконсультировать не могу
- - - - -Добавлено - - - - -
Хотя для тех у кого вирус еще не закончил архивацию прогой можно воспользоваться, ИМХО, и без доп настроек - запустить, дать вирусу пожрать файлов и соответственно увидеть код
-
Сообщение от
MaxPiN
Хотя для тех у кого вирус еще не закончил архивацию прогой
Таких больше не было. Поэтому только Вам и повезло 
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Судя по тому что запросов помощи по подобным случаям стало много, то сейчас эпидемия вирусов-шифровальщиков.
В таком случае пусть будет как иструкция к действию, если кому-то из админов позвонит юзер и будет кричать "У МЕНЯ АРХИВИРУЮТСЯ ФАЙЛЫ БЕЗ МОЕГО СОГЛАСИЯ!!! ЧТО ДЕЛАТЬ???"
В ответ надо крикнуть "ВЫДЕРНИ ВИЛКУ ИЗ РОЗЕТКИ!" Ну далее уж понятно что делать 
Ответить с цитированием
