-
Junior Member
- Вес репутации
- 39
Добрый день, парни!
Наши клиенты словили вирус, который зашифровал файлы баз данных (причем только те, в которые вносились записи в последние дни) и некоторые виды из последних редактируемых документов. Добавка в имени зашифрованных файлов "[email protected]_120". Очень нужна помощь в расшифровке. Декриптор от Dr.Web te102decrypt.exe помог, но не очень - dbf-файлы стали читаемы в dbf-редакторе и мы починили dbf-заголовки и восстановили имена и форматы испорченных полей, но сами СУБД при этом не работоспособны. Архивные копии БД клиенты, увы, не делали уже больше года.
Есть несколько вариантов пар - оригинал/зашифрованный файл, но это вряд ли что даст без приватной части ключа, хранящейся у его хозяина.
Остается надежда только на то, что к com_120 уже что-нибудь появилось.
Сам вирус попал на компьютер в виде файла "Постановление суда.docx.exe" и был после перезагрузки системы удален антивирусом Microsoft Security Essentials как подозрительный файл.
С уважением,
Саманта
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) SamanthaSommers, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Сделайте логи по правилам.
-
-
Junior Member
- Вес репутации
- 39
Сообщение от
mike 1
Сделайте логи по правилам.
Увы, Михаил, но "логов по правилам" я сделать не могу по причине, что подвергшийся атаке компьютер находится не у меня, к тому же хорошо понимаю бессмысленность этих мер в данной ситуации - вируса в системе давно уже нет, есть только зашифрованные файлы, и к части из них имеются не зашифрованные оригиналы (это doc и xls файлы, поставляющиеся с отчетностью к 1C:Предприятие 7.7).
Поэтому повторяю суть вопроса - есть ли декриптор к сабжу "com_120"?
Прекрасно понимаю, что его может не появиться и в ближайшие 10 лет.
С уважением,
Саманта
-
Сообщение от
SamanthaSommers
Увы, Михаил, но "логов по правилам" я сделать не могу по причине, что подвергшийся атаке компьютер находится не у меня, к тому же хорошо понимаю бессмысленность этих мер в данной ситуации - вируса в системе давно уже нет, есть только зашифрованные файлы, и к части из них имеются не зашифрованные оригиналы (это doc и xls файлы, поставляющиеся с отчетностью к 1C:Предприятие 7.7).
Поэтому повторяю суть вопроса - есть ли декриптор к сабжу "com_120"?
Прекрасно понимаю, что его может не появиться и в ближайшие 10 лет.
С уважением,
Саманта
Логи все равно нужны. К тому же могли не все вирусы удалить. Декриптор для этой модификации вируса имеется.
-
-
Junior Member
- Вес репутации
- 39
Михаил - вирусов там однозначно уже нет - занимались лечением IT специалисты нашей компании - система была полностью проверена в режимах как будучи загруженной с внешнего носителя на базе WinPE/LiveCD, так и из под самой базовой ОС. Использованы были актуальные на момент проверки версии CureIT от DrWEB, Касперский VRT и AVZ Зайцева. Логи могут быть сделаны в понедельник, но уверяю Вас - там будет чисто.
Была бы очень благодарна за декриптор.
С уважением,
Саманта
-
Логи ждем в таком случае .
-
-
Junior Member
- Вес репутации
- 39
Жаль будет целых суток потерянного времени, если декриптор действительно имеется.
Кстати, консультировал нас по этой проблеме Ваш тезка, Михаил Колядко, специалист из лаборатории Dr.WEB.
te102decrypt.exe мы получили от него.
С уважением,
Саманта
Последний раз редактировалось SamanthaSommers; 23.09.2013 в 05:35.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-