Зашифрованные файлы с расширением better_call_saul [Trojan.Encoder.858]
Приветствую!
Прошу помощи, руководитель открыл документ, 17.02.2016, компьютер с Windows 2003 Server Standart Ru после этого не включался до утра 19.02.2016 после включения многие файлы оказались зашифрованными с расширением better_call_saul. В корневых папках сформировались файлы :
19.02.2016 09:19 1 332 README1.txt
19.02.2016 09:19 1 332 README10.txt
19.02.2016 09:19 1 332 README2.txt
19.02.2016 09:19 1 332 README3.txt
19.02.2016 09:19 1 332 README4.txt
19.02.2016 09:19 1 332 README5.txt
19.02.2016 09:19 1 332 README6.txt
19.02.2016 09:19 1 332 README7.txt
19.02.2016 09:19 1 332 README8.txt
19.02.2016 09:19 1 332 README9.txt
с текстом :
"Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
C4132593574726CB51CF|434|3|2
на электронный адрес [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
C4132593574726CB51CF|434|3|2
to e-mail address [email protected] .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files."
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Aler.Yuko, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Была проведена проверка Dr.Web CureIt!
Найдено \Device\HarddiskVolume1\Documents and Settings\All Users\Application Data\Windows\csrss.exe - quarantined, reboot required
Trojan.Encoder.858
Файлы зашифрованы судя по всему по ID пользователя на диске D: большая часть, на диске С: большинство не тронуты.
Перезагрузка после проверки не производилась во избежание.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
thyrex,
Да, но это рабочая станция с серверной платформой, на нем проводятся первые плановые изменения.
Здесь же, установлен почтовый клиент, на него пришел файл в аттаче. Там его и открыли, см. п.с. - уже позже. Полученный файл имеется в наличии, упакован в первоначальном виде.
п.с. Есть подозрение, что файл первоначально был перенесен и открыт на не подключенном к интернету компьютере и там он не сработал (информацию согласно тексту письма не удалось извлечь - не смогли ожидаемо открыть файл, gz архив).
(Судя из активности уже впоследствии на серверной машине попытками выхода в интернет и сигнализации об этом и блокировке соединения на выход Symantec EP)
Зашифровал не все, некоторые документы остались не тронуты, но часть необходимого не отраженного еще в бэкапе все же есть.
Последний раз редактировалось Aler.Yuko; 21.02.2016 в 23:08.
thyrex, Я уже понял, слегка капнув тему, чай тоже щи не лаптем хлебаем.
Но возможно Вам информация поможет на будущее, для рекогносцировки.
На пенсии сам займусь плотнее...
Один вопрос, не экспериментировал, если отрубить соединение на выход сразу при сигнализации антивирусом, зашифровал бы все равно?
п.с. Кстати мыло живое, там чуд..о "сидит", ждет, подсчитывая убытки по полученной инфе и выставляет счет.
Спасибо за потраченное время, труд и участие.
Удачи Вам.
Последний раз редактировалось Aler.Yuko; 23.02.2016 в 23:05.