Шифровальщик файлов doc, xls без изменения имени

[kcpr.krsk]

Пользователь получил подозрительное письмо с вложенным архивом. Архив сохранил на диск, проверил Касперским (KES 10 mr3, базы свежие). Касперский вирусы не обнаружил. После этого открыл архив на просмотр -  внутри файл с двойным расширением *.doc.hta.  Разархивировать и запускать файл не стал, архив удалил.  Но позже на машине и в сети еще на одной машине и двух серверах файлы doc и xls перестали открываться (не та кодировка и пр.). Имена файлов остались те же. Изменилось только дата и время на текущие во время кодировки.  На рабочем столе пользователей появился скрытый файл  типа RU3E9-9EERF-AKTAO-EERTG-OTAAG-XTHXO-ZRTXE-EGYYY.key.

На одной из машин обнаружился вирус Trojan-Ransom.Win32.Spora.d . На второй тоже что-то есть.   

На серверах вирусов не обнаружено (там тоже KES 10, также проверили с помощью CureIT)

Выкладываю логи с одной машины.

По серверам делать отдельные темы?

 

CollectionLog-2017.01.18-20.48.zip

[mike 1]

1 компьютер - 1 тема.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Изменено 18 января, 2017 пользователем mike 1

[kcpr.krsk]

Можно сразу делать запрос через корпоративный личный кабинет?

Addition.txt

FRST.txt

Изменено 19 января, 2017 пользователем kcpr.krsk

[mike 1]

Делайте. Часть данных можете вытащить из теневых копий, но данные копируйте на флешку.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  2017-01-18 13:09 - 2017-01-18 13:09 - 00001088 ___RH C:\Users\kcpr57\AppData\Roaming\RU3E9-9EERF-AKTAO-EERTG-OTAAG-XTHXO-ZRTXE-EGYYY.KEY
  2017-01-18 13:09 - 2017-01-18 13:09 - 00001088 ___RH C:\RU3E9-9EERF-AKTAO-EERTG-OTAAG-XTHXO-ZRTXE-EGYYY.KEY
  2017-01-18 12:44 - 2017-01-18 13:10 - 33621560 _____ C:\Users\kcpr57\AppData\Roaming\675088532
  File: C:\Program Files\Talker.exe
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Изменено 19 января, 2017 пользователем mike 1

[kcpr.krsk]

Доброго дня.

Talker.exe - старая-старая программка для чата в локальной сети. Сейчас - не используется.

Fixlog.txt

[mike 1]

Я ее не удалял. Просто вывел в отчете более детальную информацию по этому файлу.