admin_ut 0 Опубликовано 4 января, 2017 Share Опубликовано 4 января, 2017 (изменено) Благодаря нерадивому бухгалтеру подхватили вирус-шифровальщик. Зашифрованы файлы и есть текст требования; "Все файлы на вашем ПК были зашифрованы с помощью криптостойкого алгоритма! Для востановления файлов, Вам необходимо написать на email: nicefi@ya.ru В теме письма необходимо указать ваш id (ID 28481) Стоимость расшифровки - 12500 руб., данное предложение актуально в течении 48ч!" В процессах замечен файл good.exe. Позже найден в временных файлах как good.exe.txt Очень надеюсь на помощь, так как зашифрованы файлы баз 1С, так же архивы (в том числе изменены и в облаке). Прикрепляю оригинальный файл PDF и ссылка на зашифрованый https://drive.google.com/open?id=0B_JeeLGv3BpVdjgtNUVTZGlqSU0 CollectionLog-2017.01.04-11.32.zip КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt 23060105_230601002039_J1201007 Податкова накладна №355 від 31.05.2015_12.06.2015 16-45.pdf Изменено 4 января, 2017 пользователем mike 1 Карантин в теме Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 4 января, 2017 Share Опубликовано 4 января, 2017 (изменено) Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes Anti-Malware\LogsЕсли базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. + Пришлите зашифрованные файлы разных форматов (не более 2-3). Желательно docx, xlsx, jpg и pdf. Изменено 4 января, 2017 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
admin_ut 0 Опубликовано 4 января, 2017 Автор Share Опубликовано 4 января, 2017 пока проводится проверка найдена папка у пользователя загрузившего вирус несколько зашифрованых файлов 95778f0c-827d-4aba-b416-f07dd840fd6a.rar crypted.rar 1 Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 4 января, 2017 Share Опубликовано 4 января, 2017 (изменено) пока проводится проверка найдена папка у пользователя загрузившего вирус Пришлите еще штук 5 xlsx файлов. + зашифрованные PDF файлы поищите. Изменено 4 января, 2017 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
admin_ut 0 Опубликовано 4 января, 2017 Автор Share Опубликовано 4 января, 2017 pdf и xls + docx pdf_xls.rar Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 4 января, 2017 Share Опубликовано 4 января, 2017 В общем что-то получится восстановить, а что-то нет из-за попытки злоумышленников модифицировать исходники вируса под себя. Цитата Ссылка на сообщение Поделиться на другие сайты
admin_ut 0 Опубликовано 4 января, 2017 Автор Share Опубликовано 4 января, 2017 важны файлы dbf. я ин не отправлял. прикрепить? файлы базы данных dbf.rar Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 4 января, 2017 Share Опубликовано 4 января, 2017 Файлы в 8 сообщении похоже несколько раз были зашифрованы. Цитата Ссылка на сообщение Поделиться на другие сайты
admin_ut 0 Опубликовано 4 января, 2017 Автор Share Опубликовано 4 января, 2017 malwarebytes еще проверяет и нашел файлы заражены. Может есть в них смысл, так как название одного crypt.dll. второй inf. пароль на архив 123, антивирус не пускал log malwar 1.rar malware log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 4 января, 2017 Share Опубликовано 4 января, 2017 В MBAM поместите в карантин все, кроме: Папка: 9 PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang, Проигнорировано пользователем, [2332], [351300],1.0.922 PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\License, Проигнорировано пользователем, [2332], [351300],1.0.922 PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data, Проигнорировано пользователем, [2332], [351300],1.0.922 PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater, Проигнорировано пользователем, [2332], [351300],1.0.922 Файл: 21 PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang\crashrpt_lang_DE.ini, Проигнорировано пользователем, [2332], [351300],1.0.922 PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang\crashrpt_lang_EN.ini, Проигнорировано пользователем, [2332], [351300],1.0.922 PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang\crashrpt_lang_ES.ini, Проигнорировано пользователем, [2332], [351300],1.0.922 PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang\crashrpt_lang_FR.ini, Проигнорировано пользователем, [2332], [351300],1.0.922 PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang\crashrpt_lang_IT.ini, Проигнорировано пользователем, [2332], [351300],1.0.922 PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang\crashrpt_lang_JP.ini, Проигнорировано пользователем, [2332], [351300],1.0.922 PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang\crashrpt_lang_RU.ini, Проигнорировано пользователем, [2332], [351300],1.0.922 PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang\\u00d0\u009a\u00d0\u0090\u00d0\u009a \u00d0\u00a0\u00d0\u0090\u00d0\u00a1\u00d0\u00a8\u00d0\u0098\u00d0\u00a4\u00d0\u00a0\u00d0\u009e\u00d0\u0092\u00d0\u0090\u00d0\u00a2\u00d0\u00ac \u00d0\u00a4\u00d0\u0090\u00d0\u0099\u00d0\u009b\u00d0\u00ab.txt, Проигнорировано пользователем, [2332], [351300],1.0.922 PUP.Optional.RAAmmyy, C:\DOCUMENTS AND SETTINGS\KOT-OPER\\u00d0\u00a0\u00d0\u00b0\u00d0\u00b1\u00d0\u00be\u00d1\u0087\u00d0\u00b8\u00d0\u00b9 \u00d1\u0081\u00d1\u0082\u00d0\u00be\u00d0\u00bb\AA_V3.4.EXE, Проигнорировано пользователем, [417], [316623],1.0.922 HackTool.Agent, C:\WINDOWS\SYSTEM32\CRYPT.DLL, Проигнорировано пользователем, [549], [146769],1.0.922 Trojan.Reconyc, C:\WINDOWS\SYSTEM32\COM\SVCHOST.EXE, Проигнорировано пользователем, [153], [233111],1.0.922 PUP.Optional.BundleInstaller.MB, D:\190309\\u00d0\u00b1\u00d0\u00bb\u00d0\u00b0\u00d0\u00bd\u00d0\u00ba\u00d0\u00b8\CLAUDIA-SCHIFFER-KLAUDIA-SHIFFER-SUPERFITNES.TORRENT.EXE, Проигнорировано пользователем, [9081], [85969],1.0.922 HackTool.Agent, D:\PATH2\CRYPTED\DLL.RAR, Проигнорировано пользователем, [549], [146769],1.0.922 Проверьте эти файлы на virustotal C:\WINDOWS\SYSTEM32\COM\SVCHOST.EXE кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. Цитата Ссылка на сообщение Поделиться на другие сайты
admin_ut 0 Опубликовано 5 января, 2017 Автор Share Опубликовано 5 января, 2017 https://www.virustotal.com/ru/file/399d4b8eed157c15e93eaab7b6f9ba523bb768b8fd49d66c1450eb310a813ade/analysis/1483600856/ Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 5 января, 2017 Share Опубликовано 5 января, 2017 Этого файла в карантине антивируса случайно нет? C:\Documents and Settings\GlBuh\Рабочий стол\good.exe Цитата Ссылка на сообщение Поделиться на другие сайты
admin_ut 0 Опубликовано 5 января, 2017 Автор Share Опубликовано 5 января, 2017 нет а где папка карантина Касперского, гляну там Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 5 января, 2017 Share Опубликовано 5 января, 2017 (изменено) Не в папке нужно смотреть, а в самом антивирусе. Кстати, зашли на ваш сервер ребята с Украины. Похоже даже VPN не использовали для захода на сервер. Имя компьютера: SERVER Код события: 1012 Сообщение: Удаленный сеанс от клиента по имени a превысил максимальное число неудачных попыток входа. Сеанс был принудительно завершен. Имя компьютера: SERVER Код события: 1 Сообщение: Connections: disconnected: 79.143.36.45::50148 (Either the username was not recognised, or the password was incorrect) Изменено 5 января, 2017 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
admin_ut 0 Опубликовано 5 января, 2017 Автор Share Опубликовано 5 января, 2017 забавно. это мой айпишник с другой точки есть файлы в карантине касперского. какие дальнейшие действия Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.