Сегодня на одной из машин предприятия были зашифрованы все файлы.
Пример имени одного из файлов: [[email protected] 1.0.0.0.id-NOPPRRSTUUVVWXYYYZABCCDDEFGGHHIJJKLL-01.09.2015 10@[email protected][/QUOTE]
На рабочем столе поменялась фоновая картинка на картинку с текстовм, гласящим, что все файлы зашифрованы. Нужно отправить любой файл на ящик [email protected]и что сроку на это есть неделя.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) rean1mator, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Карантин прицепить не могу, так самого зловреда я удалил из 'C:\Program Files (x86)\explore.exe' и AVZ уже не смогла там ничего найти.
Повторные логи прикреплены во вложениях.
Вместо карантина могу прислать исходный файл злодея, который пришел на почту, только скажите как Вам его можно передать, не нарушая правил форума.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Сегодня пришлось переустановить операционку на зашифрованной машине. mike 1, к сожалению теперь выполнение написанного Вами скрипта не будет иметь смысла, так как описанных в скрипте директорий уже не существует.
Удалось заархивировать и унести на флешку часть зашифрованных файлов. Исходный файл самого зловреда был уничтожен в процессе форматирования винта, но его можно ещё добыть из почтового ящика.
Также удалось "утащить" на флешку файл BIUXAAAAHK.KIE.
Готов предоставить файл BIUXAAAAHK.KIE, исходный файл зловреда в оригинальном виде, как они пришел на почту (архив .tar) и парочку зашифрованных файлов. Скажите пожалуйста, как можно их Вам передать (вдруг это поможет в расшифровке), не нарушая правил форума ?
Последний раз редактировалось rean1mator; 03.09.2015 в 22:29.
Причина: уточнение