Поиск

Введение: Привет путник! На написание этой статьи меня побудило полное разгильдяйство и халатность некоторых людей, которые работают бухгалтерами, секретарями, клерками, менеджерами и прочими людьми, которые так или иначе работают с электронной почтой на компьютере. Оказывая компьютерную помощь в разделе "Уничтожение вирусов", я заметил, что люди совершенно ни чему не учатся и продолжают ходить по одним и тем же граблям, запуская всякую хрень из электронной почты. Каждый раз когда я читаю очередную тему с шифровальщиком в разделе "Уничтожение вирусов", я вспоминаю один момент из мультика Буратино: Но не будем о грустном и перейдем к рекомендациям, которые я могу дать Вам пользователям. Общие рекомендации: 1. Никогда не открывайте почтовые вложения от неизвестных отправителей! В большинстве случаев троянцы-шифровальщики распространяются через почтовые вложения. Задача злоумышленника – убедить пользователя открыть вложение из письма, поэтому темы писем могут быть разными, например: уведомление из арбитражного суда об иске; исполнительное производство о взыскании задолженности; возбуждение уголовного дела; перерасчет в Сбербанке; изменения в тарифном плане и т.д. Рис. 1 Архив с вирусом Никогда не открывайте вложения из писем, которые были получены от неизвестных адресатов, каким бы страшным не был заголовок. Если в письме прикреплен архив, то потрудитесь просто посмотреть содержимое архива. И если там исполняемый файл (файл с расширением .exe, .com, .bat, .cmd, .scr, .js, pif, wsf, wsh, jse) как выше, то это 100% вирус. На заметку: Даже если Вы получили письмо от известного адресата не теряйте бдительность! Если Вы все же чего-то боитесь, то всегда можно узнать истинный адрес той организации, от которой Вы получили письмо. Для решения этой проблемы можно воспользоваться FixSecurity by Vitokhv, которая на компьютере настраивает SRP политики таким образом, что становится невозможным запустить популярные типы исполняемых файлов. Рис. 2 Настройка FixSecurity. Рекомендуется выбрать настройки по умолчанию Если у Вас имеется какой-либо вопрос по работе с FixSecurity, то Вы можете задать свой вопрос разработчику здесь http://safezone.cc/threads/fixrun-fixsecurity-zaschita-ot-shifrovalschikov.28159/ Kaspersky Anti-Ransomware Tool for Business Kaspersky Anti-Ransomware Tool for Business - бесплатный и достаточно эффективный инструмент, разработанный «Лабораторией Касперского», который обеспечивает защиту от действий программ-вымогателей. При обнаружении угрозы Kaspersky Anti-Ransomware Tool автоматически блокирует ее и добавляет в список заблокированных приложений (Blocked Applications). Перед тем как выполнить блокировку, программа-вымогатель может успеть выполнить нежелательные действия в операционной системе (например, создать или изменить файлы, или сделать изменения в реестре). Чтобы выполнить откат действий вредоносной программы Kaspersky Anti-Ransomware Tool хранит историю деятельности приложений. Kaspersky Anti-Ransomware Tool для защиты от программ-вымогателей использует различные методы обнаружения угроз. Инструмент идентифицирует вредоносные приложения на основе информации, содержащейся в Kaspersky Security Network. Облачная сеть Kaspersky Security Network используется, чтобы обеспечить более быстрое реагирование на неизвестные угрозы. Благодаря пользователям, которые принимают участие в Kaspersky Security Network, «Лаборатория Касперского» способна оперативно собирать информацию о новых типах и источниках угроз, а также разрабатывать решения для их нейтрализации. Участие в Kaspersky Security Network, предполагает отправку статистики, собираемой Kaspersky Anti-Ransomware Tool for Business на вашем компьютере. Kaspersky Anti-Ransomware Tool for Business совместим со сторонними антивирусными программами и может служить дополнительной защитой от троянов-вымогателей и шифровальщиков с использованием передовых технологий. Более подробную информацию по Kaspersky Anti-Ransomware Tool for Business смотрите здесь https://virusinfo.info/showthread.php?t=203022 Скачать Kaspersky Anti-Ransomware Tool for Business можно по этой ссылке. 2. Своевременно обновляйте антивирус, антивирусные базы, операционную систему и другие программы: Регулярно обновляйте Ваш антивирус. Очень важно использовать последнюю версию антивируса, т.к. в новых версиях исправляют ошибки и улучшают алгоритмы нахождения свежих вирусов. Вместе с антивирусными базами обновляются программные компоненты, улучшаются существующие функции и добавляются новые. Также устанавливайте обновления для операционной системы и других программ, которыми Вы пользуетесь. Это тоже очень важно, т.к. некоторые вирусы могут использовать уязвимости Windows и прикладного ПО для запуска произвольного вредоносного кода, например шифровальщика. На заметку: Использование устаревшего антивируса не может обеспечить адекватную защиту Ваших данных. Убедитесь в том, что на сайте производителя нет новой версии антивируса. Если же новая версия есть на сайте производителя, то обязательно обновите текущую версию Вашего антивируса! Для аудита безопасности системы можно использовать бесплатную программу от Secunia, которую можно скачать и установить по этой ссылке. Рис. 3 Сканер от Secunia, сканирующий систему на известные уязвимости. 3. Не работайте под учетной записью Администратора! Я крайне не рекомендую работать под учетной записью Администратора обычным пользователям, особенно бухгалтерам, секретарям, клеркам, менеджерам и т.д. Почему это так плохо? Потому что такой пользователь обладает неограниченными правами и все что доступно ему, доступно и вирусу. Имея такие права, неопытный пользователь может случайно запустить вирус из электронной почты. А к чему это может привести думаю говорить не нужно. Так что старайтесь по возможности работать под учетной записью пользователя, а не Администратора! На заметку: Если Вам требуется запустить какую-то программу с правами Администратора, то воспользуйтесь контекстным меню проводника и выберите "Запуск от имени Администратора". Внимание! Начиная с Windows Vista в операционной системе есть встроенный защитный механизм, который называется UAC (контроль учетных записей). UAC не позволяет запускать программы без уведомления. Я настоятельно рекомендую не отключать его, т.к. если Вы его отключите, то тогда вредоносная программа может быть запущена без уведомления! 4. Настройте доступ к общим сетевым папкам. Если вы используете общие сетевые папки, то рекомендуется создать отдельную сетевую папку для каждого пользователя. При этом права на запись должны быть только у владельца папки. Таким образом, при заражении одного компьютера файлы будут зашифрованы только в одной сетевой папке. В противном случае, заражение одного компьютера может привести к шифрованию всех документов на всех сетевых папках. 5. Регулярно делайте резервные копии важных данных. Резервное копирование — процесс создания копии данных на жёстком диске, флешке, облаке и т. д.. Резервное копирование необходимо для восстановления поврежденных данных, которые повредились в основном месте их хранения. Зачем их делать и для чего они бывают нужны, я описал в этой https://forum.kasperskyclub.ru/index.php?app=blog&module=display&section=blog&blogid=320&showentry=2083 статье. Рекомендации по настройке параметров Windows 1. Отключите настройку скрытия расширений для зарегистрированных типов файлов. По умолчанию во всех версиях Windows включена настройка, которая скрывает зарегистрированные типы файлов. К таким файлам относятся и исполняемые файлы. Допустим на мою электронную почту пришло письмо следующего содержания: На заметку: Не стоит сразу идти и открывать вложение или ссылку из такого письма, даже если оно пришло от известного отправителя. Сперва убедитесь, что файл не является исполняемым (файлы с расширением .exe, .com, .bat, .cmd, .scr, .js, pif, wsf, wsh, jse и т.д)! Итак, я скачал и распаковал прикрепленный архив к письму и что я вижу: С виду обычный офисный файл, но давайте отключим настройку, скрывающую зарегистрированные типы файлов. Итак, что же мы теперь видим: С виду кажется, что это обычный офисный файл, но если присмотреться, то видно, что в конце у файла добавилось расширение *.scr. Теперь давайте вспомним какие файлы относятся к исполняемым? Что же это означает? А означает это, что под видом нужного файла нам пытаются подсунуть кота в мешке, который при запуске зашифрует нам все наши данные. На заметку: Будьте внимательны при работе с почтой! Некоторые злоумышленники специально дают таким "нужным" файлам длинные имена, чтобы скрыть расширение у файла, например: Для отключения этой настройки, выполните следующий скрипт в AVZ: beginRegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced', 'HideFileExt', 'REG_DWORD', '0');RebootWindows(false);end. Компьютер перезагрузится. 2. Включите службу теневого копирования для всех дисков. Начиная с Windows Vista в состав операционных систем Windows входит служба защиты системы на всех дисках, которая создаёт резервные копии файлов и папок во время архивации или создания точки восстановления системы. По умолчанию эта служба включена только для системного раздела. Рекомендуется включить эту службу для всех дисков. Включить ее можно для других дисков, выполнив следующие действия: Откройте меню Пуск => Панель управления, в новом окне выберите компонент «Система». В левой области выберите Защита системы. Если отображается запрос на ввод пароля администратора или его подтверждения, укажите пароль или предоставьте подтверждение. Выберите диск, а затем нажмите кнопку Настроить. В следующем окне включите восстановление системы для выбранного диска, затем задайте максимальное использование дискового пространства под нужды системы и нажмите на кнопку "Применить". На заметку: Я рекомендую под эти нужды выделить не менее 5% от общей емкости диска. Теперь у Вас в случае заражения шифровальщиком компьютера будет возможность восстановить данные из теневых копий Windows со всех дисков. Как это сделать я опишу ниже: 1. У Вас имеются зашифрованные файлы, которые нужно восстановить. 2. Скачайте утилиту ShadowExplorer, распакуйте в новую папку и запустите от имени Администратора. 3. Выберите элементы для восстановления, затем щелкните правой кнопкой мыши по выбранным файлам и нажмите на кнопку "Export" Важно! Лучше всего данные восстанавливать на отдельный флэш накопитель. 4. Выберите папку куда нужно будет сохранить восстановленные файлы и нажмите на кнопку "ОК" 5. Дождитесь окончания работы программы. Внимание! Некоторые шифровальщики будут пытаться удалить теневые копии, если Вы работаете под учетной записью Администратора! По возможности старайтесь в повседневной жизни использовать только учетную запись пользователя. В этом случае шифровальщик не сможет их удалить без запроса на повышение прав от UAC (контроля учетных записей). Заключение: Вы познакомились с основными рекомендациями по защите ваших данных от троянцев-шифровальщиков. Если у Вас есть какие-то вопросы, то Вы можете задать их ниже. Благодарю за внимание!

Добрый день! Помогите расшифровать файлы с таким расширением .id-96A6B97A.[savemydata@qq.com].harma. Не успели нам все зашифровать, случайно человек под своим пользователем вошел на сервер и сделал скриншоты, может помогут. Они даже не успели условия оставить, написал им на почту, пишут следующее:

Всплывают окана "Заблокирован переход по вредоносной ссылке" примерно раз в час каждый день. Антивирус Касперского угроз не находит. Скачала пробную версию Malwarebytes. Эта программа нашла 100 с чем-то угроз. Отчёт во вложении. Окна всплывать не перестали. AVZ протокол во вложении Помогите, пожалуйста, избавиться. анти.txt avz_log.txt

Пришло на почту письмо с заголовком РЕЗЮМЕ. Девочки в бухгалтерии открыли его и пошло заражение (многие файлы зашифрованы с расширением .bbbfl ). Нужна помощь в восстановлении данных - расшифровке... Лог прикладываю в теме письма. CollectionLog-2019.05.24-14.36.zip report2.log HOW TO RECOVER FILES.TXT

Не могу связать появление данной проблемы с чем-то конкретным. Всплывает окно мой компьютер. Касперского приложил в тему. CollectionLog-2019.09.08-09.49.zip

Добрый день, коварный вирус "@cock.li.ver-CS 1.6.id-.fname-1Cv8.1CD.cs16" съел 1с базу. Что делать, чтобы вирус не заполонил все сервера ? Как Расшифровать данные? Как определить источник заражения ?

Здравствуйте. У меня следующая проблема: после некоторого времени, когда я никак не взаимодействую с компьютером, начинаются сильные лаги. Например, смотрю видео и через 5-10-15 минут оно начинает сильно тормозить. Движение мышкой убирает лаги. Попытки отследить проблему через диспетчер задач не увенчались успехом. Он просто закрывается. Скачать антивирус (dr web cureit ) у меня тоже не вышло. Как только попадаю на страницу загрузки - закрывается браузер. По запросам в гугле нашел этот форум. Тут у других людей были похожие проблемы. Autologger после запуска сразу закрывается. Я скачал FRST. Из файла Addition.txt от Виндовс Дефендера узнал, что имею Trojan:Win64/CoinMiner.WT Как написать файл Fixlog.txt я не разобрался. Прошу вас о помощи. прикрепляю файлы Addition.txt и FRST.txt Файлики.rar

Подловил шифровальщик,все разширения файлов поменялись на " .626 " Вот файл CollectionLog-2018.09.29-00.22.zip Addition.txt FRST.txt

Добрый день. Подхватили Вирус-шифровальщик. Были зашифрованы архивы, текстовые файлы, офисные файлы пользователей и базы SQL, что страшней всего. Расширение cripper. Требуют перевести монеро и после связаться по адресу skgrhk2018me@tutanota.com. Прошу помощи в расшифровке файлов. Логи AutoLogger.exe прилагаю. А также текст с требованиями. CollectionLog-2018.05.10-12.17.zip DECRIPT_MY_FILES.txt

Проблемы начались после установки обновлений для Windows (KB4019990), (KB2670838), (KB2834140). Суть проблемы, вредоносное программное обеспечение пытается перезагрузить компьютер, пытается внести изменения в системные файлы, но комплекс защиты COMODO Internet Security Premium 10 отражает это, все проявляется в уведомлениях COMODO которые все вновь и вновь появляются. Далее обнаружились и теперь осаждает MEM:Trojan.Win64.Equationdrug.gen, а так же был обезврежен Worm.Win32.Dropper.RA@105409960. После сканирования и лечения Kaspersky Virus Removal Tool была перезагрузка и перед загрузкой системы появилась командная строка с Kurt и запуском неизвестного скрипта. Троян после лечения не отстает. Прикрепляю к сообщению отчет сканирования Kaspersky Virus Removal Tool, Dr.Web CureIt! и COMODO Internet Security. А так же прикрепляю логи Автоматического сборщика логов. Надеюсь на вашу помощь. CollectionLog-2018.05.09-14.34.zip

Скачивал себе программу Statistika, при установке занес, по видимому, немало вирусов Касперский каждые 2-3 секунды выдает уведомление "Заблокирован переход по вредоносной ссылке" либо "Загрузка запрещена" Как избавиться? Пару раз находил вирусы и лечил с перезагрузкой, но все равно CollectionLog-2018.05.27-15.23.zip

Добрый день. Начиная с 29 мая, иногда на подконтрольных компьютерах появляется сообщение об обнаружении и лечении Trojan.Multi.GenAutorunProc.a в System Memory. Претензий к лечению не имею, так как лечение успешное. Просто интересно может у кого то есть информация, что это за зверь такой? Как проникает на компьютер, если антивирус работает? Какие деструктивные действия? Почему он появился 29 мая, до этого чтоли не был в базах? (Раньше, кстати, был очень полезный ресурс на котором можно было посмотреть, когда сигнатура была добавлена в базы, viruswatch, вроде) Причем стандартной задачей сканирования которая включает объекты автозапуска он не находится, зато потом неожиданно выскакивает обнаруженный задачей "Проверка автозпуска". А то поиски приводят либо к темам по уничтожению, либо к китайским утилитам, нигде никакой информации... Буду благодарен за информацию или, может, ссылки на статьи. Спасибо.

Здравствуйте. Стал донимать вирус добавляющий в авто запуск строку cmd.exe /c start www.dipladoks.org. Браузер по умолчанию Mozila. Не могу сказать после каких действий или установки какой программы появился вирус. Сканирование Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt! результатов не дало. Файл логов прикрепляю. Логи CollectionLog-2018.12.15-13.53.zip

Начала выскакивать в окнах браузера (даже когда он закрыт) различная реклама с доменом .info , в панели управления появилась программа, установленная сегодняшним числом, native desktop media service. В интернете описывают данную проблему на не очень надёжных источниках. Была такая проблема раннее, удаление этой программа её решило. Теперь проблема не решается, и после перезагрузки компьютера она появляется снова и реклама продолжает так же выскакивать. Сразу после включения компьютера. Поможете?

Здравствуйте, недавнее время начал замечать странные зависания на своем компьютере. Также заметил, что процесс svchost.exe потребляет больше 200к Кб, а также немного интернета ( не знаю, странно это или нет ). Еще недавно начались зависания плеера в браузере. Подвисания картинки на пару секунд, а потом упущенная картинка ускоряется, пока не придет в нужное положение. Началось это, возможно, после того, как я скачал много всяких хотсит инди-игр. Логи прилагаю: CollectionLog-2018.07.07-22.51.zip

Периодически выключается комп когда играю в любую игру... посмотрел в событиях и вот тут такое

Здравствуйте! Отдельные файлы на компьютере зашифровал вирус: id-DC3A5C10.[youneedfiles@india.com].adobe Помогите восстановить файлы. Файл логов прилагаю. Вот мои файлы, сформированные в FRST.exe CollectionLog-2019.01.09-17.50.zip Addition.txt FRST.txt

Здравствуйте! При запуске компьютера WiNDOWS 10 самостоятельно запустилась программа обновления WiNDOWS. Отключить не удалось. После перезагрузки перешифровались файлы : jpg.pumas , vcf.pumas , txt.pumas , ini.pumas , doc.pumas , dropbox.pumas, mp4.pumas , exe.pumas , zip.pumas . Так же после ререзагрузки постоянно просит установить программу BDCF.txt.exe неизвестного производителя. Помогите пожалуйста восстановить файлы. В папке Пользователя нашёл файл письмо. Файл прилагаю. Файл письмо Заражённые файлы.7z !readme.7z

Здравствуйте меня зовут Костя у меня. Такая проблема при включения компьютера открывается сам браузер и пишит что браузер предотвратил открыта страницы предотвратил открытия этой cтраницы вероятно вредоносным приложением при включения компьютера открывается сам браузер и вкладка я через компьютер зайду спину вам эту сылку

Кто-то лезет на сервер постоянно, вбил этот айпишник в браузере - там какой-то сервер с батником и еще двумя файлами, антивирус говорит, что это троян. "11.04.2020 12:12:00 Обнаружена сетевая атака Kaspersky Endpoint Security 10 для Windows Активный пользователь Запрещено: Bruteforce.Generic.Rdp.d TCP от 185.175.93.13 на локальный порт 3389 " Как заблокировать его? На роутере как-то можно или в среде windows server 2008? Сообщение от модератора SQ Тема перемещна из раздела - Уничтожение вирусов

Компьютер иногда проживает своей жизнью, но практически незаметно. Во время просмотра видео - само скроллится вниз или же иногда залипает клавиша и клавиши (проблема, возможно, и в клавиатуре, но не в заедающих кнопках). Также поступали звонки с неизвестных номеров, а AVZ выдал очень много страшных красных строк при том, что винда недавно (два месяца) была переустановлена. Прикрепляю лог забыл нажать "загрузить" для лога. Вот он. avz_log.txt

Доброго времени суток. Прошу помощи, попал вирус шифровальщик в компьютер и зашифровал данные. Самое страшное, что зашифровал базы 1С. Имеется ли решение данной ситуации? Все архивы баз, также испорчены вирусом Приложенный файл Unlock-Files.txt

Не знаю как и где подхватил вирус который заменяет скачиваемые файлы а особенно выйлы архивов на arhive-af-8f3.zip. Искал решение проблемы в интернете но нигде не нашел кроме этого сайта а конкретно в этой теме https://forum.kasperskyclub.ru/index.php?showtopic=57485 но там написано что у меня может быть совершенно другая проблема поэтому и создал новую тему. Помогите очень прошу. Ссылка на лог файлов с AutoLogger http://rgho.st/79tw4gmhQ

Добрый день. Поймали вирус шифровальщик, пострадала база 1С и файлы пользователей, но самое страшное база 1С и нет ни одного архива, те что были тоже подверглись шифровке. Прошу помощи в расшифровке. Отчет приложен. Ссылка на оригинальные файлы и зашифрованные файлы (https://cloud.mail.ru/public/w4p5/ZWMBk2NGn Благодарю за помощь и очень на нее надеюсь. CollectionLog-2017.12.07-11.44.zip report1.log report2.log

Друг решил пошутить и прислал мне вирусный файл: *** , запустил и начался апокалипсис: Какой-то вирус меняет скачиваемые файлы на архивы, в которых содержатся exeшники вирусов. Просканировал компьютер с помощью Dr. Web cureit, он ничего не нашел, читал на форуме, что у человека была похожая проблема: https://forum.kasperskyclub.ru/index.php?showtopic=57535 Заливаю логи в прикрепленном файле. Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на форуме. CollectionLog-2017.11.26-19.45.zip