Расширение crypt

**sergeydel** · 14.06.2017, 10:29

Добрый день.

В сетевой папке у всех файлов изменилось расширение на crypt (например: было 1.doc - стало 1.doc.crypt)
Резервная копия этой папки у меня есть.
Вопрос в следующем: как мне определить от куда пришла беда и что сделать чтобы после восстановления сразу же не случилось все опять.
Ну и если вдруг можно все расшифровать без восстановления из копии, был бы Вам признателен.
Спасибо.

С уважением, Сергей.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.06.2017, 10:34

Уважаемый(ая) sergeydel, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**sergeydel** · 14.06.2017, 11:03

В правилах требуется прикреплять логи зараженного компьютера. Не думаю что это мой комп виноват, скорей всего кто-то в сети. Но начну хотя бы себя. Логи во вложении.
Так же повторно прошу помощи: как можно найти источник этой беды, если он находится где-то в локальной сети.
Спасибо.

**thyrex** · 14.06.2017, 14:39

Этот компьютер чист.

Теоретически на компьютере-первоисточнике должны остаться сообщения вымогателей для связи. Если конечно виновник бед не подчистил компрометирующую его информацию.

**sergeydel** · 14.06.2017, 16:14

Я смотрю что он до сих пор работает. Пошел по доступным сетевым папкам. Отключаю все доступные папки.
Дайте хотя бы направление как его вычислить.
В папках, в которых он уже побывал, остается файл how_to_back_files.html, с требованиями вымогателя.

- - - - -Добавлено - - - - -

Посмотрите пожалуйста еще одни логи.
Это с сервера терминальных клиентов. Здесь большинство пользователей работает. Может от сюда ноги растут.
Спасибо.

**thyrex** · 14.06.2017, 17:08

И здесь чисто.

Скорее всего это GlobeImposter 2, расшифровки для которого нет

**sergeydel** · 14.06.2017, 17:37

У меня есть копия зашифрованных файлов. Поэтому на данный момент расшифровка меня не очень интересует.
Меня очень волнует вопрос остановить этот процесс. Чтобы после того как я вернул все файлы обратно, они снова не зашифровались.
Другими словами, мне надо найти эту гадость в сети и убить.
О чем, собственно, слезно Вас прошу. Помогите пожалуйста.
Спасибо.

**thyrex** · 14.06.2017, 18:27

Это только вручную искать

**sergeydel** · 14.06.2017, 18:32

А что хоть искать? На что обращать внимание?

**thyrex** · 16.06.2017, 00:07

Точное имя файла мне неизвестно

Расширение crypt (заявка № 212992)

Опции темы