hockins Опубликовано 16 декабря, 2015 Share Опубликовано 16 декабря, 2015 Доброго времени суток. По порядку: 1. Вчера (15.12.2015) на корпоративный ящик было получено 2 письма на английском языке. Суть письма приблизительно такова: "Ваша фирма не оплатила штраф и будет подвергнута санкциям. Чтобы их избежать оплатите штраф согласно счету во вложении". К письму прикреплен архив zip (сегодня - 16.12.2015 - уже даже не архивировали, а прислали во вложении doc-файл и конечно же с другого адреса). "Визитная карточка" данного вируса - все вложения имеют в своем названии слово invoice. В случае с первым письмом это было invoice_486743_scan.zip. И все бы ничего, НО... 2. Девочка-секретарь недолго думая открыла вложение, ничего вроде бы не случилось и не открылось и она недоуменно пожав плечиками, гордо написала ответ, что мол, "вы наверное адресом ошиблись, позвоните позавчера". На то, что внИзапно поменялись ярлычки Word'овых документов, а в ее ответ не достиг адресата, внимание обратить было ниже ее достоинства. А поэтому примерно час вся эта пакость активно заливалась в сеть фирмы, а заодно девочка радостно согласилась с предложением вируса удалить резервные точки восстановления ее системы. 3. Теперь по технической сути. Вирус зашифровал все типы документов Office, все типы изображений, файлы pdf и фалы odbc. Расширение файлов не поменялось, но в свойствах теперь указан "Тип файла - VVV".Сами файлы пытаются открываться родными программами, но понятное дело сами программы начинают ругаться на повреждения(Word например предложил поменять кодировку). Кроме того вирус отключил "Теневое копирование разделов" и успешно удалил все точки восстановления системы. В каждой зараженной папке вирус расположил 2 пары файлов с названиями how_recover+bkd, how_recover+utu c расширениями html и txt. В автозапуск системы было прописано запуск при старте тхт файлов, а при запуске браузера хтмл файлов. В текст я вчитываться уже не стал и так все ясно. При необходимости могу запаковать и прислать образцы (оставил парочку для "зоопарка"). Больше изменений в системе не заметил. После всех подвигов вирус героически самоубился (в смысле исходник). Вторичное поведение - распространение хтмл и тхт файлов во всех папках, где пытаются запустить зараженный файл с шифровкой всего что можно в этих папках (по рукам стучал - не помогает). 4. Чем пытался лечить. Антивирус Касперского 6 (то что досталось от предшественника) - ноль срабатываний, AVZ - ноль, Др.Веб CureIT - ноль, KVRT - ноль. После закидывания исходного архива (вытащил из почты) на VirusTotal получил лог анализа - 14 срабатываний из 55. Из 14 предложенных антивирусов выбрал более знакомый ESET. Отключил диск и переставил на комп с самым свежим ESET - более 32 тысяч копий вируса win32.filecryptor.em/trojan. Диск очищен от файлов how_recover, но, понятное дело, что файлы обратно не расшифровались. В тхт файле вируса вычитал, что шифрование производилось по алгоритму RSA-4096. Сумма "выкупа" не прописана, а по предложенным ссылкам я ходить как-то не готов. 5. Прикладываю логи AVZ по Вашим правилам. При необходимости могу запаковать образцы хтмл, тхт файлов и сам исходный архив с вирусом (судя по расширению на JavaScript). Очень надеюсь на помощь, потому как много важного осталось в "разбитом корыте", а переустановка системы не выход, на компе "крутится" БД фирмы и остановить ее больше чем на 3-4 часа нет возможности. Заранее спасибо. Пы.Сы. Сразу извините за стиль письма - после суток "пляски с бубном" уже состояние легкой истерики CollectionLog-2015.12.16-14.42.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 16 декабря, 2015 Share Опубликовано 16 декабря, 2015 Тушка шифровальщика сохранилась? Ссылка на комментарий Поделиться на другие сайты More sharing options...
hockins Опубликовано 16 декабря, 2015 Автор Share Опубликовано 16 декабря, 2015 (изменено) Тушка шифровальщика сохранилась? да, законсервировал на всякий случай напишите куда бросить, скину утром, сейчас 250 и в люлю, спать)) Изменено 16 декабря, 2015 пользователем hockins Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 16 декабря, 2015 Share Опубликовано 16 декабря, 2015 Выложите в архиве с паролем virus на Яндекс-диск с примерами шифрованных файлов и ссылку отправьте мне в личные сообщения Ссылка на комментарий Поделиться на другие сайты More sharing options...
hockins Опубликовано 17 декабря, 2015 Автор Share Опубликовано 17 декабря, 2015 Выложите в архиве с паролем virus на Яндекс-диск с примерами шифрованных файлов и ссылку отправьте мне в личные сообщения отправил Ссылка на комментарий Поделиться на другие сайты More sharing options...
hockins Опубликовано 21 декабря, 2015 Автор Share Опубликовано 21 декабря, 2015 как я понимаю шайтан-шкатулка не открылась? Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 21 декабря, 2015 Share Опубликовано 21 декабря, 2015 Увы 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
hockins Опубликовано 21 декабря, 2015 Автор Share Опубликовано 21 декабря, 2015 ну спасибо хоть за попытку Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 21 декабря, 2015 Share Опубликовано 21 декабря, 2015 https://forum.kasperskyclub.ru/index.php?showtopic=48525 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти