y_s 0 Опубликовано 10 июля, 2016 Share Опубликовано 10 июля, 2016 У нас в фирме следующая ситуация:1. Сначала нас заблочил spamhouse.org из-за виря в системе. Я нашел заразу на одном из компов(KES 10 с актуальными базами) по внешнему IP, на который она коннектилась 192.42.116.41. Сразу его отключил от сети. Активность исчезла. Сканировал на эвристике все сервера и компы. Все чисто.2. Спустя часа 2-3 после отключения компа от сети, вирь запустился(? видно по time stamp файлов) и пошифровал все doc и XLS файлы на сетевых шарах. Файлы имеют расширение zepto и рядом лежит инструкция про оплату в биткоинтах.3. Связался с поддержкой Касперского (Ticket INC000006411105). Отправил файлы зашифрованные как пример. Подключил жесткий диск с компа с вирем как внешний и сканировал во всевозможных режимах. Виря нет. Сотрудник местной поддержки каспера смотрел по тимвьюверу. Сам тоже пробовал. Еще посоветовал сегодня(3й день) смотреть recuva диск с инфекцией - может найдется ключик шифрации в удаленных файлах. Но как он должен выглядеть - не знает. 4. 5й день - решения нет. Ответ на вопрос, можно ли перезагрузить сервер - не дают. Есть ли вирь на сервере - не понятно. Восстанавливать ли пару миллионов файлов из бекапа? А если вирь жив? А это пару дней работы. Добаавлено : Сервер перезагружал. Вроде - ОК. Но места на полное восстановление без замены файлов - нет. А я только в недельном полном бекапе уверен. Диффы могут быть уже заражены. Лог прилагаюКто сталкивался? Какие идеи?ЗЫ: сканил еще malwarebyte и hytman. CollectionLog-2016.07.10-17.12.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 10 июля, 2016 Share Опубликовано 10 июля, 2016 Откуда простым пользователям форума знать то, что не знают даже аналитики вирлаба? Вы первый, кто создал тему с подобным шифровальщиком здесь. До этого видел обращения в англоязычной ветке официального форума. Но там тоже глухо Ссылка на сообщение Поделиться на другие сайты
y_s 0 Опубликовано 11 июля, 2016 Автор Share Опубликовано 11 июля, 2016 Я просто хочу понять, это действительно что-то серьезное или отговорка касперского. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 12 июля, 2016 Share Опубликовано 12 июля, 2016 Большинство шифраторов не подлежат расшифровке без помощи злодеев. Увы. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти