Поиск сообщества

Добрый день, Пришла сегодня на работу, а все файлы с расширением hzRYnHDoB и ничего не открывается. Запустила Касперского, он нашел Trojan.Win64.Miner.gen Что можно сделать? Помогите, пожалуйста. hzRYnHDoB.README.txt

Добрый день. Зашифровали файлы и судя по истории браузера в ручную зашли на яндекс диск и очистили там все. Подскажите есть ли решение? Так же очень интересно узнать предположение, как это стало возможно? Никаких сторонних скачиваний или установок не было =( исходные.rar Зашифрованные.rar Addition.txt FRST.txt

Не уверенна что нас сюда пустят - но я попробую ?

Здравствуйте. Обращается к вам Администрация Забайкальского краевого училища культуры. 11 января наш сервер был взломан и файлы были зашифрованы. Даже архивные данные. Сейчас работа локальной сети восстановлена, но работа сайта, почты учреждения не возможна. Все данные потеряны и зашифрованы. Помогите, пожалуйста, в расшифровке данных. За ранее благодарим за помощь. Доступа к системе нет, но все зашифрованные файлы имеются. Совет профилактики архив.zip

Привет! Файлы на компьютере зашифрованы [Cleveraynaz@gmail.com].harma, предполагаю что заражение произошло через RDP (логин и пароль простые). Система - Windows 7 64 Начал переписываться и торговаться с этими гадами и в процессе переписки мне прислали странный скриншот с ключом. Прикрепил его. Александр. Files.zip Harma_v.zip Addition.txt FRST.txt

Добрый вечер! Прошу помощи с расшифровкой файлов. Через RDP был взломан сервер, система уже не запускалась, поэтому логов предоставить не могу. Во вложении зашифрованный файл. Скан_20210524 (2).jpg.Id(187B084EA).zip

Взлом государственных сайтов Украины оказался прикрытием. Страну накрыла волна уничтожения информации. Специалисты Microsoft заявили, что программное обеспечение, обнаруженное ими на украинских сайтах «выглядит как вирус-вымогатель, но без механизма требования выкупа и дешифровки». Другими словами, он шифрует данные, но не имеет механизма дешифровки. Это может означать, что программное обеспечение направлено именно на уничтожение информации. Почему просто не затёрли нулями, ведь затирка/зануление в разы быстрее, чем чтение с последующей перезаписью.

Добрый день. Я так понял, что через RDP зашифровали данные с названием .kaspersky. После перезагрузки, windows не загрузился, поэтому пришлось снять жесткий и логи снимать с другого компьютера. Addition_30-12-2022 00.45.32.txt FRST_30-12-2022 00.45.32.txt архив.zip

Добрый день! Сегодня (27.12.2022) при входе в компьютер обнаружил что большинство файлов на рабочем столе и в системе имеют новый файловый формат (QUIETPLACE). Антивирус Windows принудительно погашен (не мной) и файлы, с новым расширением не открываются в прежних форматах (только в txt). Наткнулся на тему на Вашем форуме, от людей с схожей проблемой, но без решения. Хотел уточнить, есть ли решение данной проблемы на текущий момент? Файлы скана системы и пример файла с новым расширением упаковал в архив и прикрепляю в данной теме.

Добрый день. Помогите, пожалуйста, расшифровать файлы. После обнаружения, что файлы зашифрованы, диск переставил в другую машину. Ко всем файлам добавляется расширение «GFANXf9LM». В архиве прилагаю три зашифрованных файла, файл с описанием и один оригинальный файл (до шифрования). Спасибо за внимание. GFANXf9LM.7z

Компьютер у меня работает круглосуточно, в основном ради выделенного IP и возможности наблюдения за весьма пожилыми родственниками у меня и на другом адресе, где выделенного IP нет, камеры пробрасываются через меня на внутреннюю сеть дом.ру На компьютере поднят OpenServer и FileZilla, а так же RDP для удобства пользования ... Компьютер двухпроцессорный на 1366, два ксеона X5650, собран по дешевке на Авито и Али ... при нынешнем интернете очень удобно с древнего ноутбука на даче подключаться к нормальному домашнему компьютеру. Сегодня утром обнаружил что не запускаются некоторые программы, типа нет файла, начал смотреть и обнаружил запущенный параллельно сеанс, как будто дочка зашла ... закрыл его, восстановил тоталкоммандер и начал смотреть что происходит ... никаких лишних процессов запущенных не вижу, но большая часть файлов имеет вид "фото авто 001.jpg.w9lq64h4", при нажатии на такой файл открывается блокнот с текстом: "Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! Мы все расшифруем и вернем на свои места." и т.д. Компьютер пока не перезапускал, возможно поэтому система пока как то работает. Никаких госсекретов и оборонных данных у меня нет, но коллекцию музыки и фильмов жалко ... если есть возможность расшифровать это дело, помогите пожалуйста ... files.ZIP FRST.txt Addition.txt

Доброго времени, отработал шифровальщик-вымогатель. Предположительно взломали через RDP, зашифровались все документы, базы 1С и файлы бэкапов Veeam. Во вложении файл с требованием и зашифрованный файл. file.zip

Мошенники в Интернете постоянно пытаются обмануть не только неподготовленных пользователей, но и сотрудников компаний. Да, бизнес обмануть обычно сложнее, чем бабушку, но и денег за одну успешно провернутую на нем схему злоумышленники зарабатывают больше. Поэтому попытки поймать бизнес на удочку продолжаются. Трюков существует множество, но среднестатистический мошенник ленив. Поэтому в большинстве случаев он пробует вариации на тему одних и тех же уловок. Мы решили собрать здесь самые распространенные схемы. Виды наживки Злоумышленникам важно, чтобы вы не просто прочитали его письмо, но и как-то отреагировали на него. Перешли по ссылке, открыли вложенный документ, оплатили счет. Для того чтобы вы это сделали, ему надо завладеть вашим вниманием. Привет от налоговой Вам приходит письмо о том, что вы не уплатили такой-то налог в полном объеме, вам начислены пени, и если вы с этим не согласны, надо скачать приложенную к письму форму, заполнить и отправить. В форме, разумеется, обнаруживается макрос — и как только вы его включаете (а пользователь уже привык автоматически кликать «согласен» в большинстве появляющихся окон), он незамедлительно скачивает из сети какой-нибудь вредонос и запускает его. Налоговой боятся многие компании, но свой страх надо знать в лицо: разбираться в том, как могут выглядеть письма от налоговой в вашем регионе, знать, будет она вообще писать по электронной почте или сразу позвонит. Уведомление о непрошедших платежах Заплатили налоги и рассчитались со всеми контрагентами? Это хорошо, но вот пишут, что платеж не прошел. Дальше может быть что угодно — от просьбы оплатить выставленный якобы повторно счет до требования сходить на какой-нибудь сомнительный сайт. От посещения сомнительных сайтов могут уберечь здравый смысл и антивирус, а вот от повторной оплаты счета — только здравый смысл. Предложение от таинственного контрагента «Здравствуйте, я представляю организацию «Дрова и Корыта», мы хотели бы поставлять для вашей компании нашу продукцию, прайс-лист во вложении, очень жду вашего ответа». Во вложении действительно есть какой-то файл. И хорошо еще, если это опять текст с макросом, а не замаскированный под документ исполняемый файл. Письма от условных «Дров и Корыт» обычно рассылают массово, рассчитывая попасть хотя бы в какую-то организацию. Уведомление от службы безопасности Этот способ обмана действует в основном для компаний с офисами в разных городах. Зачастую сотрудники региональных отделений плохо представляют себе, как выглядят и чем занимаются коллеги из головного офиса. Получив письмо, скажем, от имени «главного безопасника» с требованием установить некий сертификат, многие безропотно пойдут это требование исполнять, не посмотрев, что на самом деле письмо отправлено с «левого» почтового адреса. Сертификат установлен? Вы на крючке. К чему приводит попадание на крючок С фишинговыми сайтами все, как правило, понятно — они служат для того, чтобы похитить у вас учетные данные. А вот вредоносы в письмах попадаются разные. Но чаще всего вы столкнетесь с каким-нибудь представителем из следующего списка. Крыса в компьютере Один из самых любимых инструментов киберпреступников — программа для удаленного доступа к компьютеру (Remote Access Tool, сокращенно RAT). С ее помощью злоумышленники попадают в сеть предприятия, а там они могут делать что угодно. Например, установить дополнительные вредоносы. Украсть важные документы. Или, скажем, найти компьютер человека, отвечающего за финансы, и перехватить данные для доступа к платежной системе. Ну а дальше просто перевести деньги компании на свой счет. Шифровальщик Шифровальщики, как можно догадаться по их названию, шифруют файлы — так, что с последними нельзя работать. Документ не прочитать, презентацию не показать. Бывают еще такие шифровальщики, которые распространяются по локальной сети — то есть попадает зловред на один компьютер, а данные в результате зашифрованы на всех машинах, до которых он смог дотянуться. За возврат данных злоумышленники требуют выкуп. Например, не так давно жертвой шифровальщика стала администрация города Балтимор, в результате чего часть городских служб просто не работала. Чтобы вернуть все как было, злоумышленники требовали более 100 тысяч долларов. Шпионаж Также организациям любят подсовывать шпионов — зловредов, которые собирают конфиденциальную информацию. Шпионский троян тихо сидит на компьютере, записывая логины, пароли и адреса, коллекционируя переписку и пересылаемые файлы. Для высокотехнологичных компаний основная опасность в том, что какое-то ноу-хау и планы узнают конкуренты, а прочим организациям шпионы грозят в первую очередь тем, что злоумышленники получат доступ к управлению деньгами и украдут их. Впрочем, такое может случиться и с большими компаниями — например, у Центрального банка Бангладеш так украли 81 миллион долларов. Чтобы не попадаться на уловки злоумышленников, надо: Быть внимательным. Знать законы, в юрисдикции которых вы работаете, и понимать методы госструктур и регуляторов. Разбираться в том, какие типы файлов опаснее других. Не брезговать антивирусом, желательно с хорошей защитой против фишинга и спама . View the full article

Добрый вечер! Страсти понемногу улеглись, эпидемия пошла на спад, но на душе всё равно гадко или как говорят в народе — осадок остался. Кто же повинен в том, что произошло за последних 4 дня? Моё глубокое убеждение, что самую большую вину несёт компания, которая произвела настолько дырявую операционную систему. Более того — после того, как M$ наделала кучу ошибок в коде системы, она ещё и максимально усложнила пользователям получение обновлений для неё. Зайдите на любой компьютерный форум, почитайте топовые темы. Одна из самых обсуждаемых тем — это как избавиться от встроенной телеметрии, которая собирает данные, отправляет их на сервера компании, и как эта информация потом используется никому не известно. Много примеров приводить не буду, расскажу про свою организацию. Мы работаем с персональной информацией наших клиентов, каждый из пользователей давал подписку о неразглашении сведений, не содержащих в себе государственную тайну. О каком неразглашении сведений может идти речь, если операционная система собирает всё и вся, вплоть до нажатия клавиш? Зачем это компании Майкрософт? Каким образом такого рода информация помогает бороться с багами операционной системы? Честно скажу — у меня в организации ни один компьютер с Windows не обновляется автоматически. Хотя все они снабжены легально честно купленной лицензией. Только после моего ручного вмешательства. Да, на момент начала эпидемии на многих компьютерах не стоял патч от данной уязвимости. Но выжили! Благодаря антивирусу KES 10, видимо доле везения, стечению обстоятельств. Автообновление операционной системы так и не включил. Парк компьютеров с антивирусом увеличил, благо лицензия позволяет. Предлагаю проголосовать в опросе. Если не хотите голосовать, то пишите комментарии.

Приехал к младшему брату, когда закончилась сессия. На его(моем) компьютере часть файлов ( не все, в основном доки и фильмы со сканами) оказалось зашифровано. Найти файл шифровальщике не удалось. Не отказался бы от советов по его ловле. Касперский запустить или установить не удалось. Также не смог выяснить, когда и как были зашифрованы файлы. Также не смог найти требования злоумышленников. FRST.txt два файла.7z

Доброго дня! Огромная беда, видимо перебором вирус подобрал пароль к одной из админских учеток сервера на Windows Server Standart, побило все, достало даже далекие бекапы. Хотят 0.1btc, шифровано более 160Gb. Бесплатно расшифровали два файла, успешно, прикрепил к сообщению. Лог AVZ прикрепил Текст для разблокировки: Напишите на почту - golden09@cock.li ==================================================================================================== ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! Ваш личный идентификатор pAQAAAAAAADcqsEbJZTZF0NACAN=Qhnorp5abXn8J=YXlE5Y0VVtNehSZa1nI+zLyfLOgiW+wuqdeJRhVbhffx1gpTtT9pT4rPg1 WxWVeqmP6fTSnd4rR0J7IhLh1DMbr1pqoxq971aKCrtgOsJqkhcwk9plb7+7vi4+WVuE0hDZHLgLoqarrl4fdoRcY7WDWKPvGuQa GvF5Ni96iJcbyKnT5vvdXdLnVpOv+RipzhoKZL3hk+7eOKho58Cw5xF0ZnuVAHkpUvF20tmMNods0cTni1=TvzdYcZJd2y9qHK=Q UHvjnyu482FfQAMnJWi0MlBTo2lB6LmKj9+MkRgH4dKJ7yEwZ4M0AISgUL9USjDJMkcnHnzMrNv4unCIkgleeDcIiSaQP+AGqdPK LA+a5S6V=f0QFhvH4wycX+85ROP98m9mBJtCML0OK7mz2PAZ7bqECKZDSimSPt6UAKQvNxHMSOZuYQJF4VRKbI+5nxKRiwRd9uCO Jpd5c6EtdIZJKu7E3ENSbxY6SNr4kEmgQikn6qCV77F2ok0rJEJHOC0B1KS3W29JlqF1QIsVWEdAsIvPBIfynyVjYVv+w1U=tbAN VFDeLRT6EIkT=m+qAjbHtP5+=WT6Z+pdo0=ZJBGK3NOlOyS1RKIYOUN1OxYF7eo2JY84zIRIBwA0Fg=A4SYmHuSGvqMGFDDFWthp x8X9dNGLEOJkg2ddQGrmTO5QooTgT0TSgIXjBEsb8lKucApX5serKOTiWuW2ZMoZaR0FyXgW5bHtiW9jIlwL5eI1Eg4=vHGNC8as e2a=rWOw3c6+HNi5SjSe6ICnjuAir7+w2ptAQF8juYSNcVHyAk Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы. Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию. Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется) Для расшифровки данных: Напишите на почту - golden09@cock.li *В письме указать Ваш личный идентификатор *Прикрепите 2 файла до 1 мб для тестовой расшифровки. мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать. -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов. -Написав нам на почту вы получите дальнейшие инструкции по оплате. В ответном письме Вы получите программу для расшифровки. После запуска программы-дешифровщика все Ваши файлы будут восстановлены. Мы гарантируем: 100% успешное восстановление всех ваших файлов 100% гарантию соответствия 100% безопасный и надежный сервис Внимание! * Не пытайтесь удалить программу или запускать антивирусные средства * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя уникальный ключ шифрования ==================================================================================================== Ваш личный идентификатор pAQAAAAAAADcqsEbJZTZF0NACAN=Qhnorp5abXn8J=YXlE5Y0VVtNehSZa1nI+zLyfLOgiW+wuqdeJRhVbhffx1gpTtT9pT4rPg1 WxWVeqmP6fTSnd4rR0J7IhLh1DMbr1pqoxq971aKCrtgOsJqkhcwk9plb7+7vi4+WVuE0hDZHLgLoqarrl4fdoRcY7WDWKPvGuQa GvF5Ni96iJcbyKnT5vvdXdLnVpOv+RipzhoKZL3hk+7eOKho58Cw5xF0ZnuVAHkpUvF20tmMNods0cTni1=TvzdYcZJd2y9qHK=Q UHvjnyu482FfQAMnJWi0MlBTo2lB6LmKj9+MkRgH4dKJ7yEwZ4M0AISgUL9USjDJMkcnHnzMrNv4unCIkgleeDcIiSaQP+AGqdPK LA+a5S6V=f0QFhvH4wycX+85ROP98m9mBJtCML0OK7mz2PAZ7bqECKZDSimSPt6UAKQvNxHMSOZuYQJF4VRKbI+5nxKRiwRd9uCO Jpd5c6EtdIZJKu7E3ENSbxY6SNr4kEmgQikn6qCV77F2ok0rJEJHOC0B1KS3W29JlqF1QIsVWEdAsIvPBIfynyVjYVv+w1U=tbAN VFDeLRT6EIkT=m+qAjbHtP5+=WT6Z+pdo0=ZJBGK3NOlOyS1RKIYOUN1OxYF7eo2JY84zIRIBwA0Fg=A4SYmHuSGvqMGFDDFWthp x8X9dNGLEOJkg2ddQGrmTO5QooTgT0TSgIXjBEsb8lKucApX5serKOTiWuW2ZMoZaR0FyXgW5bHtiW9jIlwL5eI1Eg4=vHGNC8as e2a=rWOw3c6+HNi5SjSe6ICnjuAir7+w2ptAQF8juYSNcVHyAk CollectionLog-2019.11.13-12.43.zip Счет на оплату № 1630 от 08 июня 2018 г.pdf Счет на оплату.pdf

случилась беда, открыли письмо с вложением в котором находился шифровальщик, алгоритм его : добавил к имени файла 46cw11g, расширение оставляет оригинальным, файл не открывается, антивирус его как зараженный не опознает, произошло это перед выходными, т.е. вирус свободно ходил по серверу и станциям два дня. Обращение в службу поддержки др веб ничего не дало, может кто сталкивался с таким, они написали только что вирус шифрует только часть файла, т.е. надежда есть, но помочь не можем. Вот такие дела. Зашифрованы все офисные, автокад, pdf, jpg,rar,zip. образец во вложении пароль на архив infected в архиве оригинал, зашифрованный файл и письмо вымогателей. Всю инфу прошу на почту komwad@mail.ru очень буду признателен за помощь. шифровальщик.rar

Буквально пару часов назад началась эпидемия очередного шифровальщика, которая, похоже, обещает быть не менее масштабной, чем недавняя всемирная заварушка с WannaCry. За несколько часов уже есть сообщения о том, что от новой заразы пострадало несколько крупных компаний, и, похоже, масштабы бедствия будут только расти. Пока не до конца понятно, что это за шифровальщик: существуют предположения о том, что это какая-то вариация Petya (Petya.A или Petya.D или PetrWrap), а некоторые (похоже, ошибочно) считают, что это все тот же WannaCry. Эксперты «Лаборатории Касперского» сейчас изучают, что это за новая напасть, и по мере того, как они выясняют подробности, мы будем дополнять этот пост. На данный момент продукты «Лаборатории Касперского» детектируют новую заразу с помощью Kaspersky Security Network с вердиктом UDS:DangeroundObject.Multi.Generic. Поэтому вот что мы рекомендуем нашим клиентам: Убедитесь, что у вас включены компоненты Kaspersky Security Network и Мониторинг активности. Также рекомендуем вручную обновить антивирусные базы. Прямо сейчас. И еще пару раз обновить их в течение следующих нескольких часов. В качестве дополнительной меры предосторожности с помощью AppLocker запретите выполнение файла perfc.dat и запуск утилиты PSExec из Sysinternals Suite. https://blog.kaspersky.ru/new-ransomware-epidemics/17855/

Доброго времени суток! Пришло письмо от Ростелеком по поводу задолженности (и она была, небольшая). В нём была ссылка, рука дёрнулась, открыла... (смотрите вложение Письмо_с_печальной_ссылкой.docx). Там оказалась замаскированная ссылка и текст, вставленный картинкой, видимо чтобы в спам письмо не уходило. Зашифровались документы, счёта, акты, файлы баз 1С бухгалтерия... Резервных копий никогда не делала. Был один архив с базами 1С, сделанный программистом, но и в архиве всё зашифровалось. Во вложении Шифрованные_и_оригинальные_файлы.rar лежит содержимое папки с зашифрованными файлами и 2 оригинальных файла из этой же папки (какой оригинал к какому зашифрованному принадлежит - я не знаю), также есть текстовый файл с требованиями злоумышленников, которое нашла в корне дисков (см. вложение README1.txt). Само окно не вылазило. Запустили winPE и прогнали CUREIT'ом и KRT, вычистили много дряни. Только потом прочитали, что делать этого было нельзя. Хотя, возможно, они его и не поймали. Пробовали расшифровать продуктами Касперского: xoristdecryptor, rectordecryptor, rannohdecryptor, rakhnidecryptor. Ничего не получилось. Есть ли возможность восстановить файлы, документы, базы 1С? Вся многолетняя работа там. Вся. -------------------------------- Примерная дата/время шифрования: 19.06.2017 14:00-14:30 ---------------------------------------- Конкретно на этом компьютере был установлен Kaspersky Free 16. Он был включен. Но почему-то не углядел это бл... гадство... -------------------------------------- В папке C:\ProgramData\Kaspersky Lab\AVP16.Х.Х \SysWHist нет ничего, кроме папки file_cache. И в ней тоже ничего нет. ---------------------------------------- Интересный момент (см. вложение Интересно.png). В этот же день якобы появилась новая версия 16.0.1 в 9:32... Это наверняка может помочь. В архиве Вложение.rar 4 вложения: Письмо_с_печальной_ссылкой.docx Шифрованные_и_оригинальные_файлы.rar README1.txt Интересно.png Вложение.rar

Прошу помощи по поводу расшифровки файлов с данным расширением. Испробовал все дешифровщики, но не один не помог. Во вложении логи. CollectionLog-2017.02.22-13.54.zip

Сегодня зашифровал часть файлов. Часть удалось спаси отключением дисков и тем, что закрыл папки. Касперским провел лечение, как указано в 1 пункте. Однако, папка со зловредом осталась и сообщение периодически вылетало. Скачивание файла со сборщиком логов было невозможно. Скачивал с другого компьютера. Сейчас вылетает при попытке написать на форум синий экран смерти с параметрами: stop 0x000000D1 (0x00000000FEE00000, 0x0000000000000002, 0x00000000000000001, 0xFFFFF88006B60E3D) srvnet.sys - adress FFFFF88006B60E3D base at FFFFF88006B5E000 DateStamp 4dba2aff возможно, системные файлы повреждены или зашифрованы.... CollectionLog-2017.05.12-22.07.zip

Добрый день)) После нескольких заражений системы меня посетила мысль запретить моим пользователям открывать форматы .exe .js.bat и тд. восновном стоит винда домашняя расширенная..Наткнулся на програмку FIXRUN ну не могу понять она ничего не запрещает.. Кто сталкивался с такой проблемой?есть ли решения-запретить пользователям на программном уровне запретить открытие файлов с почты Порекомендуйте программу ) Спасибо

Пользователь открыл письмо с шифровальщиком. На локальной машине и в сетевых папках на серверах и еще на одной локальной машине файлы doc и xls перестали открываться (не та кодировка и пр.). Имена файлов остались те же. Изменилось только дата и время на текущие во время кодировки. На рабочем столе и дисках пользователей появился скрытый файл типа RU3E9-9EERF-AKTAO-EERTG-OTAAG-XTHXO-ZRTXE-EGYYY.key. На компьютере установлен KES 10 со свежими базами и включенным мониторингом. Полная проверка Касперским - обнаружился вирус Trojan-Ransom.Win32.Spora.d . На серверах вирусов не обнаружено (там тоже KES 10, также проверили с помощью CureIT) Addition.txt CollectionLog-2017.01.18-21.03.zip FRST.txt

На локальной машине пользователь по-видимому открыл подозрительное письмо. Позже на машине и в сети еще на одной машине и на двух серверах файлы doc и xls перестали открываться (не та кодировка и пр.). Имена файлов остались те же. Изменилось только дата и время на текущие во время кодировки. На рабочем столе пользователей появился скрытый файл типа RU3E9-9EERF-AKTAO-EERTG-OTAAG-XTHXO-ZRTXE-EGYYY.key. На одной из машин обнаружился вирус Trojan-Ransom.Win32.Spora.d . На второй тоже что-то есть. На серверах вирусов не обнаружено (там тоже KES 10, также проверили с помощью CureIT) Ниже лог с одного из серверов. Можно ли включать сервер? CollectionLog-2017.01.18-21.21.zip

Пользователь получил подозрительное письмо с вложенным архивом. Архив сохранил на диск, проверил Касперским (KES 10 mr3, базы свежие). Касперский вирусы не обнаружил. После этого открыл архив на просмотр - внутри файл с двойным расширением *.doc.hta. Разархивировать и запускать файл не стал, архив удалил. Но позже на машине и в сети еще на одной машине и двух серверах файлы doc и xls перестали открываться (не та кодировка и пр.). Имена файлов остались те же. Изменилось только дата и время на текущие во время кодировки. На рабочем столе пользователей появился скрытый файл типа RU3E9-9EERF-AKTAO-EERTG-OTAAG-XTHXO-ZRTXE-EGYYY.key. На одной из машин обнаружился вирус Trojan-Ransom.Win32.Spora.d . На второй тоже что-то есть. На серверах вирусов не обнаружено (там тоже KES 10, также проверили с помощью CureIT) Выкладываю логи с одной машины. По серверам делать отдельные темы? CollectionLog-2017.01.18-20.48.zip