Перейти к содержимому


Фотография
- - - - -

Шифровальщик *.acton

*.acton шифровальщик phobos

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 3

#1 OFF   SirAlex

SirAlex

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 16 Сентябрь 2019 - 19:38

Добрый день.
Нужна помощь в дешифровке компьютерных файлов после действия вируса-шифровальщика. 
Явного источника шифрования не обнаружено. Предшествовала установка  специфических плагинов для интернет клиент банка с правами администратора. Перед установкой файлы проверялись антивирусом Avast и на VirusTotal.com. Под этим администратором не исполнялось ничего вредоносного. Сам пользователь утверждает , что больше ничего не открывал и подозрительной почты не принимал.
Стационарная антивирусная система Avast была обнаружена отключенной. После запуска экранов и проверки системы обнаружила и уничтожила 2 подозрительных процесса. Дальше была произведена полная проверка системы утилитой DrWeb CureIt. Сам вирус исполнялся процессом ph_exec.exe и разместил несколько копий себя в разных пользовательских каталогах системы. Данный файл сохранён в карантине.
Зашифрованы пользовательские файлы на доменном ПК и на всех доступных данному ограниченному (не администратору) пользователю для изменения сетевых ресурсах, для каждого из которых зловред создал отдельный сетевой диск.
Некоторых файлов сохранились резервные копии на сторонних ресурсах.


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 684

Награды

           

Отправлено 16 Сентябрь 2019 - 20:25

Вход по RDP - именно так к Вам проникли.

С расшифровкой помочь не сможем.
При наличии действующей лицензии на любой из продуктов компании создайте запрос.


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   SirAlex

SirAlex

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 17 Сентябрь 2019 - 07:22

Вход по RDP - именно так к Вам проникли.

С расшифровкой помочь не сможем.
При наличии действующей лицензии на любой из продуктов компании создайте запрос.

Благодарю. Очень полезная наводка.
Было пользование удалённого рабочего стола с андроид планшета и с других устройств.
Как  Вам удалось выяснить?  Можно ли определить имя устройства или другие уточняющие данные? 


  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 684

Награды

           

Отправлено 17 Сентябрь 2019 - 20:50


Как  Вам удалось выяснить?  Можно ли определить имя устройства или другие уточняющие данные? 
Ну раз сами ничего не запускали, способствующего шифрованию, то и догадаться нетрудно, как зараза могла попасть. Тем более это самый распространенный в последнее время способ. Какие-либо уточняющие данные я точно не смогу сообщить
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif





Темы с аналогичными тегами: *.acton, шифровальщик, phobos

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных