Вирус! Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем

[Valentin_Tickhonov]

Добрый день! Вчера ночью вредители напакостили. На рабочем столе появился файл "Прочти!.txt" с таким содержанием: 

 

Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем.

При архивировании была включена опция безвозвратного удаления (перезапись нулями) исходных файлов.

Для просмотра файлов откройте архив, для распаковки файлов требуется ввести пароль.

За паролем Вы можете обратиться к нам, написав на электронный адрес winrar@protonmail.com

В письме укажите свой ip адрес ххх.ххх.ххх.ххх

 

ещё обратил внимание в меню выполнить новая команда:  shutdown -s -t 25 -f 

 

 

CollectionLog-2015.07.21-19.45.zip

[thyrex]

С разархивированием не поможем.

 

Самого вируса не осталось? 

[Valentin_Tickhonov]

c:\documents and settings\all users\drm\wa\wahiver.exe           вот тут этот скрипт был, но сейчас ничего не могу найти

 

и похоже вот тут прописывался c:\programdata\drm\svchost.exe   но и тут папки DRM то же нет.

[thyrex]

Возможно папки скрытые. Или злодеи их удалили после архивирования

[Valentin_Tickhonov]

удалили все вместе с очисткой журналов Windows. больше ничего не могу найти уже

[Владимир Казначеев]

похожий случай произошёл у одного из клиентов.

wahiver - это не скрипт шифровки, а очень похоже вот на эту штуку http://waspace.net/

она сидела в двух местах. на файлах и папках стояли атрибуты скрытый и системный
один через подмену службы
http://162.243.36.230/uploads/2015_10_26_12_03_11.png

второй посажен в автозагрузку
http://162.243.36.230/uploads/2015_10_26_13_20_35.png

http://162.243.36.230/uploads/2015_10_26_13_14_29.png

вредители на полученных мощностях получают доп.заработок

 

также в winlogon был подсажен кейлоггер https://www.mipko.ru/personal-monitor/

http://162.243.36.230/uploads/2015_10_26_12_12_42.png

 

все эти программы собраны в архивчик. при необходимости могу выслать.