Видимо, я не первый, кто обратился с подобной темой, но та же самая ситуация. Работаю в организации, на один из почтовых ящиков пришло письмо от "арбитражного суда". Что и следовало ожидать, его открыли, не смотря на ругань касперского и тд. В письме была ссылка на файл, в котором касперский обнаружил Trojan-Ransom.Win32.Agent.iab. Машина ушла в себя, спустя какое то время работы, а после перезагрузки множество файлов оказалось зашифровано. Допускаю, что были попытки самолечения, но не смотря на это, все необходимые инструкции выполнил. необходимое лежит во вложении, в том числе и пример зашифрованного файла. Буду признателен за помощь, ибо информация на данной машине имеет большую ценность.
С уважением. Антон
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) George Peregnac, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Смогу сделать это завтра, ибо сегодня не имею доступа к машине, а пока поясню некоторые подробности.
http://virusinfo.info/showthread.php?t=152954
Вот, точный аналог. Тот же адрес, только наш идентификатор - s10. Письмо от "бухого санты", думаю, не имеет смысла прикладывать. А то мало ли, забанят ещё
Обнаруженные ключи в реестре: 4
HKCR\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1} (PUP.Optional.Conduit) -> Действие не было предпринято.
HKCU\Software\Conduit\FF (PUP.Optional.Conduit.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IECT3298108 (PUP.Optional.Conduit.A) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|BackgroundContainer (PUP.Optional.Conduit) -> Параметры: "C:\Windows\SysWOW64\Rundll32.exe" "C:\Users\dimon\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun -> Действие не было предпринято.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0M1S1H1K2U -> Действие не было предпринято.
Обнаруженные папки: 13
C:\Users\dimon\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\dimon\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\IE (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\IE\CT3298108 (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Program Files (x86)\SearchProtect\UI\bin (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
C:\Program Files (x86)\SearchProtect\SearchProtect\bin (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
Обнаруженные файлы: 45
C:\$Recycle.Bin\S-1-5-21-2764570774-60338120-3505076636-1119\$RALXS1U.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
C:\Program Files (x86)\Cocoon_software\Cocoon_softwareToolbarHelper.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Program Files (x86)\Conduit\Community Alerts\Alert.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Program Files (x86)\SearchProtect\SearchProtect\bin\cltmng.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Program Files (x86)\SearchProtect\UI\bin\cltmngui.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\dimon\AppData\Local\Conduit\CT3298108\Cocoon_softwareAutoUpdateHelper.exe (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Users\dimon\AppData\Local\Temp\nsd32DF.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
C:\Users\dimon\AppData\Local\Temp\AU\SPSetup.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\dimon\AppData\Local\Temp\~nsu.tmp\Au_.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\dimon\AppData\LocalLow\Cocoon_software\hk64tbCoc0.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Users\dimon\AppData\LocalLow\Cocoon_software\hktbCoc0.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Users\dimon\AppData\LocalLow\Cocoon_software\ldrtbCoc0.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Users\dimon\AppData\LocalLow\Cocoon_software\tbCoc0.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Windows\Temp\nsj9E82.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
C:\Windows\Temp\nsoED3E.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
C:\Windows\Temp\nsy9D58.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
C:\Windows\Temp\nsyA19B.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\dimon\AppData\Roaming\closer.exe (PUP.Optional.Smilapp) -> Действие не было предпринято.
C:\Users\dimon\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\IE\CT3298108\configutaion.json (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\IE\CT3298108\SetupIcon.ico (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\IE\CT3298108\UninstallerUI.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Этого ответа, собственно, я и боялся. Каковы тогда действия?
Можно ли сложить зашифрованные файлы в отдельное место и пользоваться машиной дальше?
Каковы шансы на то, что дешифратор для [email protected] s10 появится?
Последний раз редактировалось George Peregnac; 15.01.2014 в 10:23.
Ещё хотел спросить. Выцарапали логи с нашего почтового сервера по поводу того самого письма. Кое какие IP там фигурируют. Есть ли смысл с данной информацией обращаться с заявлением в соответствующие органы?
Уважаемый(ая) George Peregnac, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: