Добрый день.
Нужна помощь в дешифровке компьютерных файлов после действия вируса-шифровальщика.
Явного источника шифрования не обнаружено. Предшествовала установка специфических плагинов для интернет клиент банка с правами администратора. Перед установкой файлы проверялись антивирусом Avast и на VirusTotal.com. Под этим администратором не исполнялось ничего вредоносного. Сам пользователь утверждает , что больше ничего не открывал и подозрительной почты не принимал.
Стационарная антивирусная система Avast была обнаружена отключенной. После запуска экранов и проверки системы обнаружила и уничтожила 2 подозрительных процесса. Дальше была произведена полная проверка системы утилитой DrWeb CureIt. Сам вирус исполнялся процессом ph_exec.exe и разместил несколько копий себя в разных пользовательских каталогах системы. Данный файл сохранён в карантине.
Зашифрованы пользовательские файлы на доменном ПК и на всех доступных данному ограниченному (не администратору) пользователю для изменения сетевых ресурсах, для каждого из которых зловред создал отдельный сетевой диск.
Некоторых файлов сохранились резервные копии на сторонних ресурсах.
Друзья!
В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.
Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».
#1
OFF
-
-
Новички
- Cообщений: 2
Новичок
Отправлено 16 Сентябрь 2019 - 19:38
#2
OFF
Отправлено 16 Сентябрь 2019 - 20:25
Вход по RDP - именно так к Вам проникли.
С расшифровкой помочь не сможем.
При наличии действующей лицензии на любой из продуктов компании создайте запрос.
Microsoft MVP 2016 Reconnect
#3
OFF
-
-
Новички
- Cообщений: 2
Новичок
Отправлено 17 Сентябрь 2019 - 07:22
Вход по RDP - именно так к Вам проникли.
С расшифровкой помочь не сможем.
При наличии действующей лицензии на любой из продуктов компании создайте запрос.
Благодарю. Очень полезная наводка.
Было пользование удалённого рабочего стола с андроид планшета и с других устройств.
Как Вам удалось выяснить? Можно ли определить имя устройства или другие уточняющие данные?
#4
OFF
Отправлено 17 Сентябрь 2019 - 20:50
Ну раз сами ничего не запускали, способствующего шифрованию, то и догадаться нетрудно, как зараза могла попасть. Тем более это самый распространенный в последнее время способ. Какие-либо уточняющие данные я точно не смогу сообщить
Как Вам удалось выяснить? Можно ли определить имя устройства или другие уточняющие данные?
Microsoft MVP 2016 Reconnect
Темы с аналогичными тегами: *.acton, шифровальщик, phobos
 |
Помощь →
Уничтожение вирусов →
Шифровальщик [fixallfiles@tuta.io]ID=[ER5HPZOV3ND6BLC].odvetaАвтор Batyr , 11 окт 2019  Шифровальщик
|
|
|
|
|
|
Помощь →
Уничтожение вирусов →
Вирус шифровальщикАвтор 3gr , 27 сен 2019 шифровальщик
|
|
|
|
|
|
Помощь →
Уничтожение вирусов →
Файл зашифрован .wannacashАвтор Евгений Астрамович , 18 сен 2019 .wannacash, Шифровальщик и 1 еще...
|
|
|
|
|
|
Помощь →
Уничтожение вирусов →
ШифровальщикАвтор r0sl1y , 11 сен 2019 шифровальщик
|
|
|
|
Помощь →
Уничтожение вирусов →
Заражение вирусом Harmahelp73@gmx.de.harmaАвтор Petroviser , 02 сен 2019 шифровальщик
|
|
|
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных
