-
Junior Member
- Вес репутации
- 60
Офисные файлы переименованы и зашифрованы и добавлено расширение [email protected]_RB306
Добрый день!
один из компьютеров в сети стал переименовывать офисные файлы(doc, xls, pdf и прочее) на сетевом ресурсе.
пример переименованного файла: для_лехи[email protected]_RB306. возврат расширения на номральное не приводит к открытию файла , то есть похоже он еще и шифрует их.
За час работы вирус успел много файлов так переименовать, пока это не было замечено сотрудниками и вирусный комп был в итоге найден и отключен от сети . Самое интересное, что на компьютере с Windows 7 стоял майкрософтовский бесплатный антивирус и у пользователя даже нет администраторских прав. Сам вирус так и не смог найти, поиск по форумам по расширению и имени ничего не дал . может кто-нить сталкивался с таким зловредом и знает, как расшифровать файлы?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) tennisprof77, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
-
Куда собственно?
Логи прикрепляют на форуме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.zip
сори исправляюсь
- - - Добавлено - - -
прогнал комп касперским и drweb - они так ничего и не нашли... понять бы как оно прошло и где сидит , если конечно сидит еще , при том, что и антивирус стоял и прав админских нет и форточки семерка ..
-
Junior Member
- Вес репутации
- 60
Добрый день
Логи прикрепил теперь правильно или опять что-то не так?
Заметил, что после моего сообщения . посты на тему священников с редбулом поползли как грибы. антивирусы судя из постов у народа тоже молчат.
Так как же эта хрень пролезает то :-(?
Ради интереса решил написать письмо на их адрес RED BULL <[email protected]>
с фразой "how much is that fish", как поется в одной из песен , ответ пришел тутже.
Hallo liewe Sowjet vriende! Te ontsluit en kry die dekodeerder, moet jy
skenk aan kinders in Afrika 2 Bitcoins die gebruik van elektroniese betaling by die tempo van https://btc-e.com/
Net om seker te maak, kan jy stuur vir ons 'n ge?nkripteer l?er, dekripteer, en ons sal jou l?er stuur na sy oorspronklike toestand.
Здравствуйте, дорогие советские друзя! Для разблокировки и получения дешифратора, Вам необходимо
пожертвовать детям африки 2 биткоина при помощи электронного платежа по курсу https://btc-e.com/
Так же для проверки,вы можете прислать нам зашифрованный файл, мы дешифруем и вышлем ваш файл в исходном состоянии.
"друзя" и "детям африки" меня сильно порадовало .. а 2 биткоина это по курсу почти 7500 руб .. вот так то
-
Junior Member
- Вес репутации
- 60
Добрый день!
так есть возможность расшифорвать файлы и вернуть данные?
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\ygulakova\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1JQ5H9J2\312[1].html','');
QuarantineFile('C:\Users\YGULAK~1\AppData\Local\Temp\3fa72.exe','');
DeleteFile('C:\Users\YGULAK~1\AppData\Local\Temp\3fa72.exe','32');
DeleteFile('C:\Windows\Tasks\bm1jj6r.job','32');
DeleteFile('C:\Windows\system32\Tasks\bm1jj6r','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-