Шифровальщик Da_vinchi_code

[Алексеев Дмитрий]

Сотрудник вчера подхватил данный шифровальщик. Признаки заражения уже заметны на сетевых дисках. Что нам делать?

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Алексеев Дмитрий]

Прикрепляем логи проверки заражённой машины. На ней была переставлена система после форматирования нескольких дисков, но остались заражённые файлы на другом логическом не форматированном диске. 

Сейчас проверяем сервер, на сетевых дисках которого были оставлены сообщения с требованием заплатить. Вирус мог распространиться по сети или только разослал предупреждения? Логи сервера предоставим позже.

CollectionLog-2016.09.28-19.09.zip

[mike 1]

 

 

На ней была переставлена система после форматирования нескольких дисков

 

Смысла в таких логах уже никакого нет.

Изменено 28 сентября, 2016 пользователем mike 1

[Алексеев Дмитрий]

Вот логи сервера. С ним никаких операций не проводили

CollectionLog-2016.09.29-08.17.zip

[mike 1]

Здесь логи в порядке.

[Алексеев Дмитрий]

пытаемся на этом сервере обновить антивирус до версии 10 25 3201, не получается. Пишет ошибка 27360 невозможно зарегистрировать патч. На рабочих машинах все устанавливается нормально.Не подскажите в чем проблема?.

[mike 1]

Обратитесь в соседний раздел с этой проблемой. 

[Алексеев Дмитрий]

ок спасибо

на сервере который проверили и логи которого мы вам бросали в ходе визуального просмотра увидели файлы с расширением 

Da_vinchi_code. но с датой создания от 27.09 что то в этом случае дополнительно делать?

проверили ранее рекомендованными программами на этом сервере логический диск, где нашли шифрованные файлы, программа ничего не обнаружила.

Изменено 29 сентября, 2016 пользователем Алексеев Дмитрий

[mike 1]

В техподдержку обращаться  http://forum.kasperskyclub.ru/index.php?showtopic=48525 . 

[Алексеев Дмитрий]

можно уточнить шифровальщик действует один раз или периодически по времени. Мы изолировали изначально зараженный комп, мог ли вирус установится по сети на сервер (или другие компы) или только зашифровал на нем файлы?

Расшифровать файлы мы уже не надеемся. Нам нужно лишь убедиться, что вирус больше не действует и не заразит ничего нового

Изменено 29 сентября, 2016 пользователем Алексеев Дмитрий

[mike 1]

Шифровальщик шифрует только все доступные ему файлы. По сети он не может установиться на другие компьютеры и начать шифровать там файлы, однако он может шифровать общие ресурсы, которые доступны компьютеру, на котором запустили шифровальщика. 

[Алексеев Дмитрий]

спасибо за информацию и помощь

[mike 1]

Рекомендую сменить все пароли на компьютере, на котором запустили шифровальщика. 

[Алексеев Дмитрий]

Рекомендую сменить все пароли на компьютере, на котором запустили шифровальщика. 

Зараженный комп сначала отформатировали а потом даже решили заменить жесткий диск. Копию письма с шифровальщиком направили Вам на почту mike1@avp.su.