arpilot 0 Опубликовано 25 января, 2017 Share Опубликовано 25 января, 2017 (изменено) Доброго времени суток! Я - сисадмин! Не смотря на предупреждения, в офисе наш манагер получил и открыл письмо от знакомого со вложением: (НЕ ОТКРЫВАЙТЕ, ЕСЛИ ВЫ НЕ ЗНАЕТЕ ЧТО ДЕЛАЕТЕ - ТУТ ВИРУС !!!) внутри файл с названием: "Перечень документации _ВАЖНО от 23.01.2017 года. Составлено гл.бухгалтером. Для печати _ 1С.f70a3ee_рdf .hta" он его открыл... После этого все .doc и .xls оказались зашифрованы, в том числе и в сетевой общей папке. Никакого сообщения о выкупе найти не удалось... В корне диска С нашел файл "RU8C8-C1XXE-EKTRO-OTZTX-OFEOT-FFHAH-TXFXO.KEY" (он здесь во вложении: key.zip ) В папке Temp тоже следы работы Sporы: файл fastdyn Собрал логи Autologgerом: CollectionLog-2017.01.25-11.30.zip Помогите, пожалуйста, расшифровать файлы, вот примеры (2 .doc-а) в архиве: encrypted.7z Изменено 25 января, 2017 пользователем Sandor Убрал подозрительный файл Ссылка на сообщение Поделиться на другие сайты
arpilot 0 Опубликовано 25 января, 2017 Автор Share Опубликовано 25 января, 2017 Читаю аналогичные темы - с расшифровкой проблемы ! Кто в курсе- нужен ключ второй и как связаться с вымогателями, spora отработала и никаких сообщений о выкупе... Что сказать начальству? Надежда есть? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 25 января, 2017 Share Опубликовано 25 января, 2017 Здравствуйте! 1. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 2.Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 25 января, 2017 Share Опубликовано 25 января, 2017 @DronUr, у Вас нет права писать в чужой теме. Ссылка на сообщение Поделиться на другие сайты
arpilot 0 Опубликовано 26 января, 2017 Автор Share Опубликовано 26 января, 2017 Всё! Сделал, как написано! Вот логи... ClearLNK-26.01.2017_12-22.log и Addition.txt FRST.txt Shortcut.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 26 января, 2017 Share Опубликовано 26 января, 2017 Включите Восстановление системы. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicy: Restriction ? <======= ATTENTION GroupPolicy\User: Restriction ? <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION BHO: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File 2017-01-23 09:35 - 2017-01-23 09:35 - 00001088 __RHC C:\RU8C8-C1XXE-EKTRO-OTZTX-OFEOT-FFHAH-TXFXO.KEY 2017-01-23 09:35 - 2017-01-23 09:35 - 00001088 ___RH C:\Documents and Settings\Менеджер5\Application Data\RU8C8-C1XXE-EKTRO-OTZTX-OFEOT-FFHAH-TXFXO.KEY 2017-01-23 09:30 - 2017-01-23 09:35 - 15802016 _____ C:\Documents and Settings\Менеджер5\Application Data\1824978333 Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
arpilot 0 Опубликовано 27 января, 2017 Автор Share Опубликовано 27 января, 2017 Сделал! Вот лог...Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 28 января, 2017 Share Опубликовано 28 января, 2017 Адварь и следы вымогателя очищены. С расшифровкой помочь не сможем. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти