Показано с 1 по 5 из 5.

Очередной пострадавший от шифровальщика paycrypt@gmail_com (заявка № 162121)

  1. #1
    Junior Member Репутация
    Регистрация
    26.06.2014
    Сообщений
    3
    Вес репутации
    36

    Очередной пострадавший от шифровальщика paycrypt@gmail_com

    Тоже словили шифровальщика paycrypt@gmail_com. Правда, у нас это получилось как-то необычно, поэтому решил отписаться.

    На комп. Sale1 поступило письмо от "контрагента" с вложением .zip, в котором, якобы, находится акт сверки. Дело было 24.06 в конце рабочего дня. Сотрудник открыл zip, нажал на файл внутри, выскочил текст с иероглифами. (Появились файлы Decode.zip, key.private, txt с приглашением к оплате). Ничего не поняв, закрыл и нажал на архив еще раз. Я подозреваю, даже несколько раз. Подумав, что у него отсутствует необходимая программа, переслал сообщение в бухгалтерию на машины Bukh1 и Bukh2. Пришедшие утром, 25.06, бухгалтеры, получив письмо, "благополучно" активировали шифровальщика на своих машинах, в результате чего поимели кучу переименованных файлов сразу.

    Важно: на машине Sale1 файлы не зашифровались и, соответственно, не переименовывались!!!
    Машина имеет признаки активации вируса в виде появившихся файлов, указанных выше. Но ни одного зашифрованного файла!
    Просканировал все машины CureIt в безопасном режиме, везде обнаружилось одно и тоже. Отправил в карантин и удалил.

    Если я правильно понял, файлы восстановлению не подлежат. В связи с этим прошу отметить, что помимо пользовательских фалов Office, картинок, pdf, архивов и пр., вирус не равнодушен к файлам базы 1С!!! Например, 1Cv8.1CD (локальная копия) тоже зашифровался.

    Хотелось бы понять, можем ли мы продолжать работу на всех 3-х машинах без вероятности повторной активации этого вируса?
    В какой последовательности отправлять аналитику по машинам в связи с нашей ситуацией?
    У вас не скачивается AVZ, по указанной ссылке в Правилах. Нашел ее на другом ресурсе, но обновить базы не получилось. Как быть?
    Есть ли риск для других машин в сети?
    У нас база 1С установлена на сервере. Можем ли мы продолжать работать с ней с машин Bukh1 и Bukh2?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) ivsen5, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    26.06.2014
    Сообщений
    3
    Вес репутации
    36
    В какой последовательности отправлять аналитику по машинам в связи с нашей ситуацией?
    У вас не скачивается AVZ, по указанной ссылке в Правилах. Нашел ее на другом ресурсе, но обновить базы не получилось. Как быть?

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от ivsen5 Посмотреть сообщение
    Сотрудник открыл zip, нажал на файл внутри
    Файл сохранился? Если да, запакуйте его в zip-архив (в имени не должно быть русских символов) с паролем virus и пришлите его по красной ссылке Прислать запрошенный карантин вверху темы

    - - - Добавлено - - -

    Цитата Сообщение от ivsen5 Посмотреть сообщение
    Сотрудник открыл zip, нажал на файл внутри
    Файл сохранился? Если да, запакуйте его в zip-архив (в имени не должно быть русских символов) с паролем virus и пришлите его по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    26.06.2014
    Сообщений
    3
    Вес репутации
    36
    Цитата Сообщение от thyrex Посмотреть сообщение
    Файл сохранился? Если да, запакуйте его в zip-архив (в имени не должно быть русских символов) с паролем virus и пришлите его по красной ссылке Прислать запрошенный карантин вверху темы
    К сожалению, к моему приходу сообщение с вирусом было удалено на всех 3-х машинах.
    Но, я полагаю, это тот же вирус, что и в других темах о paycrypt@gmail_com.

    Каким-то образом удалось обновить базы AVZ, собрал логи по каждой машине.
    Еще раз хочу отметить: на машине Sale1 файлы не зашифровались и, соответственно, не переименовывались!!!

    - - - Добавлено - - -

    В продолжении темы Report из нашего головного об обнаружении вирусной активности на машинах Bukh1 и Bukh2.

    - - - Добавлено - - -

    Уточненная информация: на машине Sale1 таки обнаружились зашифрованные файлы с расширением paycrypt@gmail_com. Дата создания 25.06.2014 17:56/57. Последняя папка в алфавитном порядке на диске С, где они присутствуют - корневой раздел "Пользователи". Глубже в подпапках в этой же директории файлы остались не тронутыми. Вероятно, к тому моменту машина уже была выключена.
    Есть ли риск возобновления активации вируса на этой машине??
    Вложения Вложения

Похожие темы

  1. Ответов: 5
    Последнее сообщение: 27.06.2014, 10:16
  2. paycrypt@gmail_com
    От fakir-sv в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 27.06.2014, 00:38
  3. .paycrypt@gmail_com
    От Инна Shadow в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 26.06.2014, 23:01
  4. ПОМОГИТЕ ! paycrypt@gmail_com
    От AGROMAR в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 25.06.2014, 13:02
  5. paycrypt@gmail_com
    От DiVi80 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 25.06.2014, 13:00

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01406 seconds with 18 queries