Добрый день.
Нужна помощь в дешифровке компьютерных файлов после действия вируса-шифровальщика.
Явного источника шифрования не обнаружено. Предшествовала установка специфических плагинов для интернет клиент банка с правами администратора. Перед установкой файлы проверялись антивирусом Avast и на VirusTotal.com. Под этим администратором не исполнялось ничего вредоносного. Сам пользователь утверждает , что больше ничего не открывал и подозрительной почты не принимал.
Стационарная антивирусная система Avast была обнаружена отключенной. После запуска экранов и проверки системы обнаружила и уничтожила 2 подозрительных процесса. Дальше была произведена полная проверка системы утилитой DrWeb CureIt. Сам вирус исполнялся процессом ph_exec.exe и разместил несколько копий себя в разных пользовательских каталогах системы. Данный файл сохранён в карантине.
Зашифрованы пользовательские файлы на доменном ПК и на всех доступных данному ограниченному (не администратору) пользователю для изменения сетевых ресурсах, для каждого из которых зловред создал отдельный сетевой диск.
Некоторых файлов сохранились резервные копии на сторонних ресурсах.

Друзья!
В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.
Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».
#1
OFF
Отправлено 16 Сентябрь 2019 - 19:38
#2
OFF
Отправлено 16 Сентябрь 2019 - 20:25
Вход по RDP - именно так к Вам проникли.
С расшифровкой помочь не сможем.
При наличии действующей лицензии на любой из продуктов компании создайте запрос.
#3
OFF
Отправлено 17 Сентябрь 2019 - 07:22
Вход по RDP - именно так к Вам проникли.
С расшифровкой помочь не сможем.
При наличии действующей лицензии на любой из продуктов компании создайте запрос.
Благодарю. Очень полезная наводка.
Было пользование удалённого рабочего стола с андроид планшета и с других устройств.
Как Вам удалось выяснить? Можно ли определить имя устройства или другие уточняющие данные?
#4
OFF
Отправлено 17 Сентябрь 2019 - 20:50
Ну раз сами ничего не запускали, способствующего шифрованию, то и догадаться нетрудно, как зараза могла попасть. Тем более это самый распространенный в последнее время способ. Какие-либо уточняющие данные я точно не смогу сообщить
Как Вам удалось выяснить? Можно ли определить имя устройства или другие уточняющие данные?
Темы с аналогичными тегами: *.acton, шифровальщик, phobos
![]() |
Помощь →
Уничтожение вирусов →
wannacashАвтор Kolya12s2 , 10 дек 2019 ![]() |
|
![]()
|
|
![]() |
Помощь →
Уничтожение вирусов →
Поймал шифровальщик wannacashАвтор Александр Войтенко , 03 дек 2019 ![]() |
|
![]()
|
|
![]() |
Помощь →
Уничтожение вирусов →
Зашифрован imdecrypt@aol.comАвтор Edik , 02 дек 2019 ![]() |
|
![]()
|
|
![]() |
Помощь →
Уничтожение вирусов →
[maximum@onlinehelp.host ].harmaАвтор frion89 , 18 ноя 2019 ![]() |
|
![]()
|
|
![]() |
Помощь →
Уничтожение вирусов →
Шифровальщик GOLD на WindowsАвтор dmitroff85 , 17 ноя 2019 ![]() |
|
![]()
|
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных