Здравствуйте,
Открыл в gmail.com письмо с адреса, очень похожего на адрес поставщика:
Иван Иванов <[email protected]>
(Оригинальный адрес [email protected])
11:46 (приблизительно)
В прилагаемом к письму zip имелся doc (кажется docu.doc), который некорректно открылся (шрифт документа подобран неверно). Загруженные присоединения к письму удалил из каталога загрузок FireFox, но было поздно. Корпоративный Sofos вообще ничего не увидел.
Основные потери – на моём локальном диске C:, но область MyDocuments не затронута (Win7).
Почти все потери на сетевых дисках восстановил админ, скопировав версии от 12:00.
Удар по личным данным существенный. Восстановить всё не надеюсь, но описываю некоторые сведения для вас. Однажды, вам удастся создать противоядие.
13:06....15:00 (по времени изменения)
Обнаружил изменение расширений 6440 файлов на диске C: *.doc, *.docx, *.xls, *.xlsx, *.pdf, *.dwg на ".keybtc@gmail_com". Половина файлов это PDF. Все файлы изменены и не открываются. По времени изменения можно судить о скорости шифрования: 40-180 файлов в минуту.
В окнах Explorer появилось окно предпросмотра. Во всех окнах закрыл его вручную.
Поиск по диску С: указал на C:\Users\AYarovitskiy\AppData\Local\Temp, в котором находились:
созд 11:46 (сортировка по времени)
iconv.dll
docu.doc
taskmgr.exe
keybtc.bat
sdelete.exe
pubring.bak
keybtccheck.bin
trustdb.gpg
pubring.gpg
KEY.PRIVATE (копия в корне С: и на Рабочем столе)
созд 13:06
keybase.cmd
UNIQUE.PRIVATE (копия в корне С: и на Рабочем столе)
KEYBTC.txt (сообщение вымогателей) (копия в корне С: и на Рабочем столе)
16:16
Удалось переместить все эти файлы в подкаталог …\Local\Temp\TempBTC но вирус создал в …\Local\Temp около 7 новых файлов, среди которых был скрипт *.js
После их перемещения в …\Local\Temp\TempBTC активность вируса не наблюдалась.
К сожалению, имена этих файлов не записал, и они были удалены после запуска CCleaner.
Распространение на подключённых сетевых дисках (похоже, вирус двигался по алфавиту):
H: около 1700 файлов зашифровано.
I: чисто
J: чисто
P: чисто
Сканы AVZ (16:38 и 17:34) и HiJackThis (16:41) прилагаю.
Файлы с именами, содержащими французские буквы с акцентами, остались нетронутыми.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Shura67, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.