Добрый день! Прошу помочь в очистке от вируса-шифровальщика и расшифровке зашифрованных им файлов.
Вирус шифрует файл, рядом создает файл с именем из идентификатора и адреса [email protected]
Вирус работал примерно с вечера 05.10.2017 с 22:00. Предполжительно шифрует локальные файлы и доступные по сети.
На одном компьютере (1) испорчены локальные файлы на всех дисках, на флешках, у одного доменного пользователя.
На остальных компах испорчены только общие папки. На компьютере-сетевом хранилище (2) в логах указано подключение того же доменного пользователя. Из системного лога windows следует, что был удаленный вход через rdp на первый компьютер (1) того же доменного пользователя.
На всех компьютерах не обнаружены признаки активности вредоносных файлов. На компьютере (1) выполнили поиск * на c: всех файлов и сортировку по дате создания. Обнаружен вредоносный файл.
Upd. Детектируется Microsoft Essentials как Ransom:Win32/Pottieq.A. Перемещён. Лог-файл Автологгера - в приложении.
С уважением, Вячеслав.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) v.govorov, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\system32\qeshrv.exe','');
QuarantineFile('C:\Windows\system32\qedrv.sys','');
QuarantineFile('C:\Users\anga\AppData\Roaming\MicrosoftHostHelper\Winlogin.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением темы.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: