вирус зашифровал файлы в *.better_call_saul [Trojan.Win32.Boaxxe.kz
]
делопроизводитель получил письмо, запустил вложение, в итоге на следующий день в автозагрузке сидит csrss.exe, а все файлы зашифрованы, имена файлов имеют расширение *.better_call_saul. В корне диска readme в котором требования выполнить определенные действия, которые приведут к дешифровке файлов, правда еще и денег надо дать)
вопрос: как дешифровать файлы? на момент заражения стоял каспер 6, который предательски промолчал и пропустил вирус.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ejay19rus, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Анастасия Викторовна, а знаете почему у вас файлы зашифровались?
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
ну я как понимаю в автозагрузке сидел файл который и зашифровал данные. а попал он туда и выполнил действия потому что она работала под амдинскими права. А почему антивирус ничего не сказал - не знаю.
Архив upload.zip я загрузил через форму как вы и просили, файл fixlog.txt прикрепил
А почему твои юзеры имеют права администратора на компьютере?
А почему антивирус ничего не сказал - не знаю.
А я знаю почему. Антивирус уже давно снят с поддержки. К нему и базы уже не выпускают. Обновляйтесь до KES 10! Переход на новую версию бесплатный. http://support.kaspersky.ru/support/support_table
Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского)
И виновата в данном случае не она, а ты и только ты.
свои ошибки я понял и уже устранил. Выводы сделал. А были ли случаи что вы кому то помогли с расшифровкой? случаев много, но как я посмотрел по соседним веткам помочь еще не удалось никому
У нас не было, но судя по антивирусу у тебя есть корпоративная лицензия на антивирус ЛК, следовательно у тебя есть возможность обратиться в их техподдержку.
Ну тогда остается только вариант что нибудь восстановить из резервных копий.
есть ли вероятность что позже антивирусные компании смогут решить эту проблему? или это шифрование данных по устойчивому алгоритму и без ключа вероятность восстановления данных стремится к нулю?
Думаю что нет. Про RSA шифрование почитай немного. Насколько мне известно в тушке шифровальщика прописано около 100 публичных RSA ключей на тот случай, если нет интернета (публичный ключ выбирается случайным образом), а если интернет есть, то он получает случайный публичный ключ с сервера. А ключики там довольно большие.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: