Снова шифровальщик. Расширение .CoDe. [Trojan.Win32.Yakes.gtnq
]
Здравствуйте.
Вновь один из клиентов словил шифровальщик. Само письмо удалено, что там было сказать не могу. Большинство файлов на двух компьютерах (с которых, очевидно, открыли это письмо) и на общей сетевой папке, подключенной сетевым диском, зашифровалось, добавилось расширение .CoDe. Кстати на этот раз не были зашифрованы музыкальные файлы. Также появился текстовый файл со следующим содержимым:
"Фaйлы зaшифpoваны
Стоимость paсшифpoвки 10.000 рублей
1) Отправьте на почту [email protected] файл, который Вы сейчас читаете (файл Файлы зaшифpoваны.txt)
2) Отправьте 1 зaшифpoваный файл небольшого размера (файл с расширением CoDe).
ВЫ ДОЛЖНЫ ПРИСЛАТЬ 2 ФАЙЛА: Файлы зaшифpoваны.txt, зaшифpoваный файл.
В ответ придет оригинальный файл и инструкция для оплаты.
Ответ на Ваше письмо придет в течение 1-36 часов.
Если ответ не приходит более 36 часов - отпишите на резервную почту [email protected]"
Прилагаю логи с одной из машин. Очень прошу помощи, много важных файлов хранилось именно локально (общую папку восстановил из бэкапа). Сообщите пожалуйста, если необходимы логи и со второй машины.
Заранее благодарен.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Decline, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Очевидно общая папка зашифровалась именно с того компьютера. На первом же в появившихся текстовых документах нижнего циферно-буквенного блока нет. А также в корне диска появилась папка wiNtmp с файлами mecrypalgoritm.exe, openAirx.exe, winserv.exe, passA, passB.
Последний раз редактировалось Decline; 31.10.2014 в 09:11.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\System32\UKbhokLVglKmPI.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
DeleteFile('C:\Windows\System32\UKbhokLVglKmPI.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','NRYj__DJCBTOoBaXynvyEbkAgl');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: