Очередной пострадавший от шифровальщика paycrypt@gmail_com
Тоже словили шифровальщика paycrypt@gmail_com. Правда, у нас это получилось как-то необычно, поэтому решил отписаться.
На комп. Sale1 поступило письмо от "контрагента" с вложением .zip, в котором, якобы, находится акт сверки. Дело было 24.06 в конце рабочего дня. Сотрудник открыл zip, нажал на файл внутри, выскочил текст с иероглифами. (Появились файлы Decode.zip, key.private, txt с приглашением к оплате). Ничего не поняв, закрыл и нажал на архив еще раз. Я подозреваю, даже несколько раз. Подумав, что у него отсутствует необходимая программа, переслал сообщение в бухгалтерию на машины Bukh1 и Bukh2. Пришедшие утром, 25.06, бухгалтеры, получив письмо, "благополучно" активировали шифровальщика на своих машинах, в результате чего поимели кучу переименованных файлов сразу.
Важно: на машине Sale1 файлы не зашифровались и, соответственно, не переименовывались!!! Машина имеет признаки активации вируса в виде появившихся файлов, указанных выше. Но ни одного зашифрованного файла!
Просканировал все машины CureIt в безопасном режиме, везде обнаружилось одно и тоже. Отправил в карантин и удалил.
Если я правильно понял, файлы восстановлению не подлежат. В связи с этим прошу отметить, что помимо пользовательских фалов Office, картинок, pdf, архивов и пр., вирус не равнодушен к файлам базы 1С!!! Например, 1Cv8.1CD (локальная копия) тоже зашифровался.
Хотелось бы понять, можем ли мы продолжать работу на всех 3-х машинах без вероятности повторной активации этого вируса?
В какой последовательности отправлять аналитику по машинам в связи с нашей ситуацией?
У вас не скачивается AVZ, по указанной ссылке в Правилах. Нашел ее на другом ресурсе, но обновить базы не получилось. Как быть?
Есть ли риск для других машин в сети?
У нас база 1С установлена на сервере. Можем ли мы продолжать работать с ней с машин Bukh1 и Bukh2?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ivsen5, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
В какой последовательности отправлять аналитику по машинам в связи с нашей ситуацией?
У вас не скачивается AVZ, по указанной ссылке в Правилах. Нашел ее на другом ресурсе, но обновить базы не получилось. Как быть?
Файл сохранился? Если да, запакуйте его в zip-архив (в имени не должно быть русских символов) с паролем virus и пришлите его по красной ссылке Прислать запрошенный карантин вверху темы
- - - Добавлено - - -
Сообщение от ivsen5
Сотрудник открыл zip, нажал на файл внутри
Файл сохранился? Если да, запакуйте его в zip-архив (в имени не должно быть русских символов) с паролем virus и пришлите его по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Файл сохранился? Если да, запакуйте его в zip-архив (в имени не должно быть русских символов) с паролем virus и пришлите его по красной ссылке Прислать запрошенный карантин вверху темы
К сожалению, к моему приходу сообщение с вирусом было удалено на всех 3-х машинах.
Но, я полагаю, это тот же вирус, что и в других темах о paycrypt@gmail_com.
Каким-то образом удалось обновить базы AVZ, собрал логи по каждой машине.
Еще раз хочу отметить: на машине Sale1 файлы не зашифровались и, соответственно, не переименовывались!!!
- - - Добавлено - - -
В продолжении темы Report из нашего головного об обнаружении вирусной активности на машинах Bukh1 и Bukh2.
- - - Добавлено - - -
Уточненная информация: на машине Sale1 таки обнаружились зашифрованные файлы с расширением paycrypt@gmail_com. Дата создания 25.06.2014 17:56/57. Последняя папка в алфавитном порядке на диске С, где они присутствуют - корневой раздел "Пользователи". Глубже в подпапках в этой же директории файлы остались не тронутыми. Вероятно, к тому моменту машина уже была выключена.
Есть ли риск возобновления активации вируса на этой машине??