Добрый день.
Нужна помощь в дешифровке компьютерных файлов после действия вируса-шифровальщика.
Явного источника шифрования не обнаружено. Предшествовала установка специфических плагинов для интернет клиент банка с правами администратора. Перед установкой файлы проверялись антивирусом Avast и на VirusTotal.com. Под этим администратором не исполнялось ничего вредоносного. Сам пользователь утверждает , что больше ничего не открывал и подозрительной почты не принимал.
Стационарная антивирусная система Avast была обнаружена отключенной. После запуска экранов и проверки системы обнаружила и уничтожила 2 подозрительных процесса. Дальше была произведена полная проверка системы утилитой DrWeb CureIt. Сам вирус исполнялся процессом ph_exec.exe и разместил несколько копий себя в разных пользовательских каталогах системы. Данный файл сохранён в карантине.
Зашифрованы пользовательские файлы на доменном ПК и на всех доступных данному ограниченному (не администратору) пользователю для изменения сетевых ресурсах, для каждого из которых зловред создал отдельный сетевой диск.
Некоторых файлов сохранились резервные копии на сторонних ресурсах.
Друзья!
В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.
Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».
#1
OFF
-
-
Новички
- Cообщений: 2
Новичок
Отправлено 16 Сентябрь 2019 - 19:38
#2
OFF
Отправлено 16 Сентябрь 2019 - 20:25
Вход по RDP - именно так к Вам проникли.
С расшифровкой помочь не сможем.
При наличии действующей лицензии на любой из продуктов компании создайте запрос.
Microsoft MVP 2016 Reconnect
#3
OFF
-
-
Новички
- Cообщений: 2
Новичок
Отправлено 17 Сентябрь 2019 - 07:22
Вход по RDP - именно так к Вам проникли.
С расшифровкой помочь не сможем.
При наличии действующей лицензии на любой из продуктов компании создайте запрос.
Благодарю. Очень полезная наводка.
Было пользование удалённого рабочего стола с андроид планшета и с других устройств.
Как Вам удалось выяснить? Можно ли определить имя устройства или другие уточняющие данные?
#4
OFF
Отправлено 17 Сентябрь 2019 - 20:50
Ну раз сами ничего не запускали, способствующего шифрованию, то и догадаться нетрудно, как зараза могла попасть. Тем более это самый распространенный в последнее время способ. Какие-либо уточняющие данные я точно не смогу сообщить
Как Вам удалось выяснить? Можно ли определить имя устройства или другие уточняющие данные?
Microsoft MVP 2016 Reconnect
Темы с аналогичными тегами: *.acton, шифровальщик, phobos
 |
Помощь →
Уничтожение вирусов →
Шифровальщик с адресом evglenagreen@protonmail.ch зашифровал все файлыАвтор Bibirev , 29 янв 2020  evglenagreen@protonmail.ch и 1 еще...
|
|
|
|
|
|
Помощь →
Уничтожение вирусов →
Шифровальщик cryptopatronum@protonmail.com.encАвтор rem2222@gmail.com , 25 янв 2020 Шифровщик, Шифровальщик и 1 еще...
|
|
|
|
 |
Помощь →
Уничтожение вирусов →
[РЕШЕНО] Шифровальщик Ctypt Live (cryptlive@aol.com)Автор bplus , 18 янв 2020 шифровальщик, CryptLive и 1 еще...
|
|
|
|
|
|
Помощь →
Уничтожение вирусов →
[РЕШЕНО] Все ваши файлы зашифрованы! К расшырению файлов добавилось .sivtyfuh332kgayz.onion@mailАвтор azlk , 03 янв 2020 sivtyfuh332kgayz.onion и 1 еще...
|
|
![[РЕШЕНО] Все ваши файлы зашифрованы! К расшырению файлов добавилось .sivtyfuh332kgayz.onion@mail - последнее сообщение от mike 1](https://forum.kasperskyclub.ru/uploads/profile/photo-thumb-18303.png?_r=1555357796)
|
|
Помощь →
Уничтожение вирусов →
Непонятный шифровальщик зашифровал 1САвтор shauramaxim , 03 янв 2020 шифровальщик, 1С
|
|
|
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных
