Поиск сообщества

Введение: Привет путник! На написание этой статьи меня побудило полное разгильдяйство и халатность некоторых людей, которые работают бухгалтерами, секретарями, клерками, менеджерами и прочими людьми, которые так или иначе работают с электронной почтой на компьютере. Оказывая компьютерную помощь в разделе "Уничтожение вирусов", я заметил, что люди совершенно ни чему не учатся и продолжают ходить по одним и тем же граблям, запуская всякую хрень из электронной почты. Каждый раз когда я читаю очередную тему с шифровальщиком в разделе "Уничтожение вирусов", я вспоминаю один момент из мультика Буратино: Но не будем о грустном и перейдем к рекомендациям, которые я могу дать Вам пользователям. Общие рекомендации: 1. Никогда не открывайте почтовые вложения от неизвестных отправителей! В большинстве случаев троянцы-шифровальщики распространяются через почтовые вложения. Задача злоумышленника – убедить пользователя открыть вложение из письма, поэтому темы писем могут быть разными, например: уведомление из арбитражного суда об иске; исполнительное производство о взыскании задолженности; возбуждение уголовного дела; перерасчет в Сбербанке; изменения в тарифном плане и т.д. Рис. 1 Архив с вирусом Никогда не открывайте вложения из писем, которые были получены от неизвестных адресатов, каким бы страшным не был заголовок. Если в письме прикреплен архив, то потрудитесь просто посмотреть содержимое архива. И если там исполняемый файл (файл с расширением .exe, .com, .bat, .cmd, .scr, .js, pif, wsf, wsh, jse) как выше, то это 100% вирус. На заметку: Даже если Вы получили письмо от известного адресата не теряйте бдительность! Если Вы все же чего-то боитесь, то всегда можно узнать истинный адрес той организации, от которой Вы получили письмо. Для решения этой проблемы можно воспользоваться FixSecurity by Vitokhv, которая на компьютере настраивает SRP политики таким образом, что становится невозможным запустить популярные типы исполняемых файлов. Рис. 2 Настройка FixSecurity. Рекомендуется выбрать настройки по умолчанию Если у Вас имеется какой-либо вопрос по работе с FixSecurity, то Вы можете задать свой вопрос разработчику здесь http://safezone.cc/threads/fixrun-fixsecurity-zaschita-ot-shifrovalschikov.28159/ Kaspersky Anti-Ransomware Tool for Business Kaspersky Anti-Ransomware Tool for Business - бесплатный и достаточно эффективный инструмент, разработанный «Лабораторией Касперского», который обеспечивает защиту от действий программ-вымогателей. При обнаружении угрозы Kaspersky Anti-Ransomware Tool автоматически блокирует ее и добавляет в список заблокированных приложений (Blocked Applications). Перед тем как выполнить блокировку, программа-вымогатель может успеть выполнить нежелательные действия в операционной системе (например, создать или изменить файлы, или сделать изменения в реестре). Чтобы выполнить откат действий вредоносной программы Kaspersky Anti-Ransomware Tool хранит историю деятельности приложений. Kaspersky Anti-Ransomware Tool для защиты от программ-вымогателей использует различные методы обнаружения угроз. Инструмент идентифицирует вредоносные приложения на основе информации, содержащейся в Kaspersky Security Network. Облачная сеть Kaspersky Security Network используется, чтобы обеспечить более быстрое реагирование на неизвестные угрозы. Благодаря пользователям, которые принимают участие в Kaspersky Security Network, «Лаборатория Касперского» способна оперативно собирать информацию о новых типах и источниках угроз, а также разрабатывать решения для их нейтрализации. Участие в Kaspersky Security Network, предполагает отправку статистики, собираемой Kaspersky Anti-Ransomware Tool for Business на вашем компьютере. Kaspersky Anti-Ransomware Tool for Business совместим со сторонними антивирусными программами и может служить дополнительной защитой от троянов-вымогателей и шифровальщиков с использованием передовых технологий. Более подробную информацию по Kaspersky Anti-Ransomware Tool for Business смотрите здесь https://virusinfo.info/showthread.php?t=203022 Скачать Kaspersky Anti-Ransomware Tool for Business можно по этой ссылке. 2. Своевременно обновляйте антивирус, антивирусные базы, операционную систему и другие программы: Регулярно обновляйте Ваш антивирус. Очень важно использовать последнюю версию антивируса, т.к. в новых версиях исправляют ошибки и улучшают алгоритмы нахождения свежих вирусов. Вместе с антивирусными базами обновляются программные компоненты, улучшаются существующие функции и добавляются новые. Также устанавливайте обновления для операционной системы и других программ, которыми Вы пользуетесь. Это тоже очень важно, т.к. некоторые вирусы могут использовать уязвимости Windows и прикладного ПО для запуска произвольного вредоносного кода, например шифровальщика. На заметку: Использование устаревшего антивируса не может обеспечить адекватную защиту Ваших данных. Убедитесь в том, что на сайте производителя нет новой версии антивируса. Если же новая версия есть на сайте производителя, то обязательно обновите текущую версию Вашего антивируса! Для аудита безопасности системы можно использовать бесплатную программу от Secunia, которую можно скачать и установить по этой ссылке. Рис. 3 Сканер от Secunia, сканирующий систему на известные уязвимости. 3. Не работайте под учетной записью Администратора! Я крайне не рекомендую работать под учетной записью Администратора обычным пользователям, особенно бухгалтерам, секретарям, клеркам, менеджерам и т.д. Почему это так плохо? Потому что такой пользователь обладает неограниченными правами и все что доступно ему, доступно и вирусу. Имея такие права, неопытный пользователь может случайно запустить вирус из электронной почты. А к чему это может привести думаю говорить не нужно. Так что старайтесь по возможности работать под учетной записью пользователя, а не Администратора! На заметку: Если Вам требуется запустить какую-то программу с правами Администратора, то воспользуйтесь контекстным меню проводника и выберите "Запуск от имени Администратора". Внимание! Начиная с Windows Vista в операционной системе есть встроенный защитный механизм, который называется UAC (контроль учетных записей). UAC не позволяет запускать программы без уведомления. Я настоятельно рекомендую не отключать его, т.к. если Вы его отключите, то тогда вредоносная программа может быть запущена без уведомления! 4. Настройте доступ к общим сетевым папкам. Если вы используете общие сетевые папки, то рекомендуется создать отдельную сетевую папку для каждого пользователя. При этом права на запись должны быть только у владельца папки. Таким образом, при заражении одного компьютера файлы будут зашифрованы только в одной сетевой папке. В противном случае, заражение одного компьютера может привести к шифрованию всех документов на всех сетевых папках. 5. Регулярно делайте резервные копии важных данных. Резервное копирование — процесс создания копии данных на жёстком диске, флешке, облаке и т. д.. Резервное копирование необходимо для восстановления поврежденных данных, которые повредились в основном месте их хранения. Зачем их делать и для чего они бывают нужны, я описал в этой https://forum.kasperskyclub.ru/index.php?app=blog&module=display&section=blog&blogid=320&showentry=2083 статье. Рекомендации по настройке параметров Windows 1. Отключите настройку скрытия расширений для зарегистрированных типов файлов. По умолчанию во всех версиях Windows включена настройка, которая скрывает зарегистрированные типы файлов. К таким файлам относятся и исполняемые файлы. Допустим на мою электронную почту пришло письмо следующего содержания: На заметку: Не стоит сразу идти и открывать вложение или ссылку из такого письма, даже если оно пришло от известного отправителя. Сперва убедитесь, что файл не является исполняемым (файлы с расширением .exe, .com, .bat, .cmd, .scr, .js, pif, wsf, wsh, jse и т.д)! Итак, я скачал и распаковал прикрепленный архив к письму и что я вижу: С виду обычный офисный файл, но давайте отключим настройку, скрывающую зарегистрированные типы файлов. Итак, что же мы теперь видим: С виду кажется, что это обычный офисный файл, но если присмотреться, то видно, что в конце у файла добавилось расширение *.scr. Теперь давайте вспомним какие файлы относятся к исполняемым? Что же это означает? А означает это, что под видом нужного файла нам пытаются подсунуть кота в мешке, который при запуске зашифрует нам все наши данные. На заметку: Будьте внимательны при работе с почтой! Некоторые злоумышленники специально дают таким "нужным" файлам длинные имена, чтобы скрыть расширение у файла, например: Для отключения этой настройки, выполните следующий скрипт в AVZ: beginRegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced', 'HideFileExt', 'REG_DWORD', '0');RebootWindows(false);end. Компьютер перезагрузится. 2. Включите службу теневого копирования для всех дисков. Начиная с Windows Vista в состав операционных систем Windows входит служба защиты системы на всех дисках, которая создаёт резервные копии файлов и папок во время архивации или создания точки восстановления системы. По умолчанию эта служба включена только для системного раздела. Рекомендуется включить эту службу для всех дисков. Включить ее можно для других дисков, выполнив следующие действия: Откройте меню Пуск => Панель управления, в новом окне выберите компонент «Система». В левой области выберите Защита системы. Если отображается запрос на ввод пароля администратора или его подтверждения, укажите пароль или предоставьте подтверждение. Выберите диск, а затем нажмите кнопку Настроить. В следующем окне включите восстановление системы для выбранного диска, затем задайте максимальное использование дискового пространства под нужды системы и нажмите на кнопку "Применить". На заметку: Я рекомендую под эти нужды выделить не менее 5% от общей емкости диска. Теперь у Вас в случае заражения шифровальщиком компьютера будет возможность восстановить данные из теневых копий Windows со всех дисков. Как это сделать я опишу ниже: 1. У Вас имеются зашифрованные файлы, которые нужно восстановить. 2. Скачайте утилиту ShadowExplorer, распакуйте в новую папку и запустите от имени Администратора. 3. Выберите элементы для восстановления, затем щелкните правой кнопкой мыши по выбранным файлам и нажмите на кнопку "Export" Важно! Лучше всего данные восстанавливать на отдельный флэш накопитель. 4. Выберите папку куда нужно будет сохранить восстановленные файлы и нажмите на кнопку "ОК" 5. Дождитесь окончания работы программы. Внимание! Некоторые шифровальщики будут пытаться удалить теневые копии, если Вы работаете под учетной записью Администратора! По возможности старайтесь в повседневной жизни использовать только учетную запись пользователя. В этом случае шифровальщик не сможет их удалить без запроса на повышение прав от UAC (контроля учетных записей). Заключение: Вы познакомились с основными рекомендациями по защите ваших данных от троянцев-шифровальщиков. Если у Вас есть какие-то вопросы, то Вы можете задать их ниже. Благодарю за внимание!

Кто-то лезет на сервер постоянно, вбил этот айпишник в браузере - там какой-то сервер с батником и еще двумя файлами, антивирус говорит, что это троян. "11.04.2020 12:12:00 Обнаружена сетевая атака Kaspersky Endpoint Security 10 для Windows Активный пользователь Запрещено: Bruteforce.Generic.Rdp.d TCP от 185.175.93.13 на локальный порт 3389 " Как заблокировать его? На роутере как-то можно или в среде windows server 2008? Сообщение от модератора SQ Тема перемещна из раздела - Уничтожение вирусов

Здравствуйте. У меня следующая проблема: после некоторого времени, когда я никак не взаимодействую с компьютером, начинаются сильные лаги. Например, смотрю видео и через 5-10-15 минут оно начинает сильно тормозить. Движение мышкой убирает лаги. Попытки отследить проблему через диспетчер задач не увенчались успехом. Он просто закрывается. Скачать антивирус (dr web cureit ) у меня тоже не вышло. Как только попадаю на страницу загрузки - закрывается браузер. По запросам в гугле нашел этот форум. Тут у других людей были похожие проблемы. Autologger после запуска сразу закрывается. Я скачал FRST. Из файла Addition.txt от Виндовс Дефендера узнал, что имею Trojan:Win64/CoinMiner.WT Как написать файл Fixlog.txt я не разобрался. Прошу вас о помощи. прикрепляю файлы Addition.txt и FRST.txt Файлики.rar

Компьютер иногда проживает своей жизнью, но практически незаметно. Во время просмотра видео - само скроллится вниз или же иногда залипает клавиша и клавиши (проблема, возможно, и в клавиатуре, но не в заедающих кнопках). Также поступали звонки с неизвестных номеров, а AVZ выдал очень много страшных красных строк при том, что винда недавно (два месяца) была переустановлена. Прикрепляю лог забыл нажать "загрузить" для лога. Вот он. avz_log.txt

Доброго времени суток. Прошу помощи, попал вирус шифровальщик в компьютер и зашифровал данные. Самое страшное, что зашифровал базы 1С. Имеется ли решение данной ситуации? Все архивы баз, также испорчены вирусом Приложенный файл Unlock-Files.txt

Здравствуйте Заразил систему вирусом, открывается реклама Вулкана и его клонов, в промежутках от 20 мин, помогите удалить это злосчастный вирус. CollectionLog-2017.01.11-10.15.zip

ФПС в играх начало сильно проседать. Kaspersky Free никаких тревог не бил, но через Process Explorer я нашел файл подозрительный файл, который скрывал свое местоположение - MSASCui.exe, после убийства которого температура видеокарты в просто снизилась на 20 градусов и вернулась в первоначальное значение. Так же при исследовании на вирустотале всей папки под названием Windows Defender(где и лежит этот MSASCui.exe) большинство антивирусов выявляют вирус Application.BitCoinMiner.MG. Прилагаю логи CollectionLog-2017.01.14-16.56.zip

Добрый день! После установки файла, сначала, Microsoft Edge в коротком промежутке времени произвольно открывал вкладки с рекламой "Вулкан". Позже, ко этому прибавилось непроизвольное открытие рекламных вкладок в Google Chrome после перехода по разным ссылкам, а так же в "Яндекс" браузере. Вместе с этим на многих сайтах, стала отображаться вредоносная реклама "Потенция в 75", "Похудение" и т.д. Файл ниже. CollectionLog-2017.01.05-14.22.zip

Добрый день! Возникла такая проблема: примерно с периодичностью в полчаса самостоятельно открывается браузер Internet Explorer и начинает открывать разные ссылки типа интернет-казино и т.п. (Например, вот эта http://trapfleyb-bs.ru/?token=uutbx).Первоначально все начинает грузиться с puklusi.ru/webar. При проверке Антивирусом Касперского ничего не находится. ADW Cleaner находит ошибки, исправляет их, но после перезагрузки они появляются снова. Та же песня и с HitmanPro. Pic: Отчет Автологера прикрепляю. Сообщение от модератора Soft Форматные изображения необходимо прятать под спойлер! CollectionLog-2016.12.18-19.03.zip

Здравствуйте Касперчане столкнулся с такой проблемой: Мой Хром начал открывать левые сайты,как это происходит браузер через некоторое время открывает эти сайты, вот эти ссылки, причем каждый раз новый левак: 1 сайт-b2.ijquery11.coМ 2 сайт-www.mxttrf.coМ 3-сайт- onclkds.coМ 4-(уже рандомно)-tvhero.thewhizmarketing.coМ Никак не могу это решить

Мои знакомые по почте получили вирус шифровальщик ( no more ransom) на сегодня решения нету и так последнее время со всеми моими знакомыми свежий вирус и нет решения. Вопрос почему антивирусные компании не могут ( ИЛИ НЕ ХОТЯТ ) сделать дополнительный запрос на действие продолжить (алгоритмы шифрования известны и понятны если начинается шифрование даже будут зашифрованный подряд несколько файлов каким то стандартным процессом, антивирус должен блокировать процесс с запросом ваши данные шифруются, вы подтверждаете шифрование данных ) мне не сложно ответить на доп. запрос я думаю остальным тоже, если это убережет меня от потери данных. Пусть даже он будет спрашивать про архиваторы и подобные программные продукты я лишний раз буду спокоен, но опять же можно добавить доверенные программы в исключения с проверкой даты и размера изменения запускающих файлов на случай если будут вирусописатели стараться использовать эти исключения . Либо же добавить сразу стандартные программы с похожим алгоритмом но безопасным в исключения, а остальное по запросу пользователя. А то смысла в покупке Ваших продуктов не вижу за последнее время как появились данные вирусы шифровальшики не одна антивирусная компания ни дает ни каких гарантий и в конечном счете нет и решения. Создается впечатление что антивирусные компании заинтересованны в распространении данного вируса. Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Задай вопрос Евгению Касперскому!"

13.02.2017 на почту пришло письмо с вложенным файлом "Счет от Ростелеком". Через два дня, то бишь 15.02.2017 большая часть файлов с расширениями doc? exl, pdf, jpg и т.д. оказалась переименована (набор цифр и латинских букв), а тип изменился на "no more ransom". кроме того на каждом диске появились 10 файлов с расширением txt и названием README от 1 до 10 (скриншот прилагается) текст везде одинаков приводится ниже. Собственно хотелось бы расшифровать зашифрованное. С уважением, PIltun. Вaши фaйлы были зашифpoваны. Чmoбы pаcшифpoвamь иx, Bам неoбxодимо omправить кoд: 830FCBCE8BB8BA5C51CD|767|6|10 на элekmpонный адpeс yvonne.vancese1982@gmail.com . Дaлeе вы noлyчume всe нeобходимые инстpукции. Попыmки расшифрoвaть самoстоятeльнo не пpuвeдyт нu к чемy, кроме бeзвозвpamной nomepи информации. Еcлu вы вcё же xотите noпыmamьcя, mо npeдвapuтельно сдeлaйте peзервные кoпuu файлoв, uначе в случaе ux uзменения расшuфpовka cmанет нeвозможнoй ни пpu kaкuх условиях. Еслu вы не nолучuлu omвeтa no вышеyказанномy aдрeсy в тeчeнuе 48 чaсов (u тольko в эmом слyчае!), воcпользyйmecь фopмoй oбратнoй связи. Эmо можно сдeлamь двyмя сnoсoбaмu: 1) Сkaчaйтe и yстановиme Tor Browser no сcылкe: https://www.torproject.org/download/download-easy.html.en В aдреснoй cmpokе Tor Browser-a ввeдuте aдpeс: http://cryptsen7fo43rr6.onion/ и нaжмuтe Enter. Загpyзиmся cmранuцa с фоpмой обрamнoй cвязи. 2) B любoм брayзeре nеpeйдuте nо одномy из aдpecoв: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ CollectionLog-2017.02.16-08.43.zip report1.log report2.log

Добрый день! Сегодня с утра столкнулся с такой проблемой, скачал неизвестный софт, запустил его и он поменял все мои файлы. Я так понимаю это - шифровальшик поработал. Как можно решить эту проблему? Спасибо! Прикрепляю лог сканирования, так как Вы просите + добавил скрин свойств измененного файла CollectionLog-2017.03.09-12.27.zip

На сервере , все папки стали как ярлыки. Путь ярлыков C:\WINDOWS\system32\cmd.exe /c explorer.exe "\\SERVER-V8\1.TopTechnology\Project" & type "\\SERVER-V8\1.TopTechnology\095a91a0-5718-8168-fc84-9fc2aabe65a0.exe" > "%tmp%\095a91a0-5718-8168-fc84-9fc2aabe65a0.exe" & start "\\SERVER-V8\1.TopTechnology\Project" "% Тело удалили. Настоящие папки были скрытыми , удалили ярлыки , вернули видимость папкам. Все файлы форматов pdf,word,excel,txt открываются с ошибкой : Не удаётся открыть файл "файл.xlsx", так как формат или расширение этого файла являются недопустимыми.Убедитесь , что файл не повреждён и расширение его имени соответсвует его формату. Все файлы имеют атрибут "Архивный". Смена атрибута не помогает. 7zip файлы excel не открывает, пишет неизвестный формат архива. Просим помощи в решении нашей проблемы. CollectionLog-2017.03.06-17.07.zip Входящая Исходящая Корреспонденция.xlsx

Здравствуйте! Попросили создать новую тему (Одна тема - один ПК) https://forum.kasperskyclub.ru/index.php?showtopic=54036&hl=. Тех поддержка Dr Web написала что это вирус Trojan.Encoder.858. Зашифровал все файлы Word-овские документы. Корпоративная сеть с файловым севером и 33 станциями имеющим к нему допуск. Где славила как обычно не признается. 1. В текст. файле Readme1 (Таких по системе накидал полно) сообщение вымогателя. 2. Log 09.26 Выполнял на файловом сервере. 3. Так же высылаю Скрин найденных вирусов Куреитом выполненный на зараженном ПК . 5. Текстовый файл отчет Куреита с Сервера. Я так понимаю, что этот шифровальщик удалился уже. (Или нет?) В общем мне нужен ваш совет и ваша помощь. 1. Включать ли мне сеть обратно? (Доступ к серваку) 2. Остался ли какой нибудь вирус в сети? Как он вообще распространяется. 3. Ну и любому совету буду рад. CollectionLog-2017.01.18-09.26.zip README1.txt

Добрый день. Нуждаюсь в помощи,при запуске скайпа он просто перестаёт отвечать, даже нет возможности залогиниться,причина неизвестна. Также возможно что-то лишнее в процесах всё на скринах.

Добрый день! Сегодня утром обнаружил, что на сервере в папке с базами 1С все зашифровано. Вместо названия файлов unCrypte@INDIA.COM_ххх, где ххх - 32 буквенно-цифровой код. На выходных 1с-ники удаленно работали с базами (только у них административные права) и кто-то заразил сервер. К этому добавилось то, что копий нет. На сервере стоит пробная версия Касперский Антивирус (осталось 9 дней до окончания срока). В корне диска создан файл Readme.hta, где предлагается заплатить 0,5 биткойна и есть ID (файл создан 29.01.17 в 20.24). Помогите, пожалуйста, расшифровать файлы. Пример файла в прикрепе. unCrypte@INDIA.zip CollectionLog-2017.01.30-13.46.zip

Добрый день В обнаружил зашифрованными файлы, вскоре удалось удалить и остановить заражение (возможно) при помощи SpyHunter, но остались заражены текстовые, фото и аудио файлы. Теперь новое расширение у файлов выглядит так "foto.png.WNCRY" До этого исполняемый процес шифрования маскировался msseces.exe Походу не удалилось ничего. Снова в спайхантер обнаруживает CollectionLog-2017.05.12-18.41.zip

Помогите решить проблему. Вирус IM-Worm.Win32.Chydo.axa Лечение KVRT и Kaspersky Endpoint Security 10 для Windows не помогает. Спасибо. CollectionLog-2017.07.17-11.20.zip

Не давно не известно откуда взялся вирус который не хочет удалятся, что делать? Вирус находится в папке которой нет. С:\programdata\system32\logs\servise.exe И не что не может удалить этот вирус.А антивирус всё время ругается на него. CollectionLog-2017.06.26-15.53.zip

Не могу связать появление данной проблемы с чем-то конкретным. Всплывает окно мой компьютер. Касперского приложил в тему. CollectionLog-2019.09.08-09.49.zip

Добрый день, коварный вирус "@cock.li.ver-CS 1.6.id-.fname-1Cv8.1CD.cs16" съел 1с базу. Что делать, чтобы вирус не заполонил все сервера ? Как Расшифровать данные? Как определить источник заражения ?

Добрый день! Помогите расшифровать файлы с таким расширением .id-96A6B97A.[savemydata@qq.com].harma. Не успели нам все зашифровать, случайно человек под своим пользователем вошел на сервер и сделал скриншоты, может помогут. Они даже не успели условия оставить, написал им на почту, пишут следующее:

Пришло на почту письмо с заголовком РЕЗЮМЕ. Девочки в бухгалтерии открыли его и пошло заражение (многие файлы зашифрованы с расширением .bbbfl ). Нужна помощь в восстановлении данных - расшифровке... Лог прикладываю в теме письма. CollectionLog-2019.05.24-14.36.zip report2.log HOW TO RECOVER FILES.TXT

Всплывают окана "Заблокирован переход по вредоносной ссылке" примерно раз в час каждый день. Антивирус Касперского угроз не находит. Скачала пробную версию Malwarebytes. Эта программа нашла 100 с чем-то угроз. Отчёт во вложении. Окна всплывать не перестали. AVZ протокол во вложении Помогите, пожалуйста, избавиться. анти.txt avz_log.txt