Перейти к содержанию

Зашифрованы файлы без смены расширения

_Василий_
 Share

Рекомендуемые сообщения

_Василий_ Новичок

_Василий_

Опубликовано
Опубликовано (изменено)

Пользователю пришло письмо, был запущен файл "Заявка на участие_условие тендера.zip"

прилагаю файл  - упакован rar  с паролем virus

   Прошло шифрование файлов на машине и на серверной папке, подключенной как сетевой диск к его машине. Убедительные просьбы не заходить в серверную папку действий не возымели и еще 1 user забрал оттуда нужные ему файлы, что привело к заражению и его машины.

В папке C:\users\A.Lohmakov\appdata\roaming появились 3 файла датированные одним временем

1 из них размером 75Mb, он не сжимается архивом, и размер остается примерно таким же, 2 других прилагаю roaming.rar (пароль virus)

Также  - образец зашифрованного документа Корректировочная_спецификация_УУКБ00406_От_19_декабря.rar (пароль virus)

 

Проверка kaspersky endpoint security 10.2.5.3201 ничего не обнаружил

Kaspersky virus removal tool 2015 Также ничего не обнаружил

Утилита Autologger запущена - результат прилагаю

Котировочная_спецификация_УУКБ00406_От_19_декабря.rar

CollectionLog-2017.02.09-11.23.zip

Изменено пользователем Sandor
Убрал подозрительные файлы
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Startup: C:\Users\A.Lohmakov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU5FE-DFXXZ-FOATX-GARKE-TKZOT-XKXHX-TFREK-RTFAE-HYYYY.html [2017-02-08] ()
CHR Extension: (No Name) - C:\Users\A.Lohmakov\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-08-01]
CHR Extension: (No Name) - C:\Users\A.Lohmakov\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-08-01]
CHR Extension: (No Name) - C:\Users\A.Lohmakov\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-08-01]
CHR Extension: (No Name) - C:\Users\A.Lohmakov\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-08-01]
CHR Extension: (No Name) - C:\Users\A.Lohmakov\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-08-01]
CHR Extension: (No Name) - C:\Users\A.Lohmakov\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-08-01]
CHR Extension: (Яндекс) - C:\Users\A.Lohmakov\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcabopfgniaacoiagjfdoiicncehagda [2016-08-02]
CHR Extension: (No Name) - C:\Users\A.Lohmakov\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-08-01]
2017-02-08 10:11 - 2017-02-08 10:11 - 00016727 _____ C:\Users\A.Lohmakov\AppData\Roaming\RU5FE-DFXXZ-FOATX-GARKE-TKZOT-XKXHX-TFREK-RTFAE-HYYYY.html
2017-02-08 10:11 - 2017-02-08 10:11 - 00001088 _____ C:\Users\A.Lohmakov\AppData\Roaming\RU5FE-DFXXZ-FOATX-GARKE-TKZOT-XKXHX-TFREK-RTFAE-HYYYY
2017-02-08 09:53 - 2017-02-08 12:46 - 00040049 _____ C:\Users\A.Lohmakov\Downloads\Kotirovochnaya_spetsifikatsiya_UUKB00407_Ot_19_dekabrya.xlsx
2017-02-08 09:35 - 2017-02-08 10:11 - 77333392 _____ C:\Users\A.Lohmakov\AppData\Roaming\1592413099
FirewallRules: [{02242F9C-AFCF-4C42-9E7E-08A1D169265B}] => C:\Users\A.Lohmakov\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{FA54A29E-1AD2-4300-92CF-E8F772BC7E26}] => C:\Users\A.Lohmakov\AppData\Local\MediaGet2\mediaget.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
_Василий_ Новичок

_Василий_

Опубликовано
  • Автор
Опубликовано

Контроль активности был включен, без указанных расширений файлов


Зарегистрировался в личном кабинете Kaspersky Company Account меню другое совсем, подскажите как отправить запрос на расшифровку

 

Контроль активности был включен, без указанных расширений файлов


справился

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

Зарегистрировался в личном кабинете Kaspersky Company Account меню другое совсем, подскажите как отправить запрос на расшифровку

Ну, видимо придётся методом тыка искать, поскольку у меня нет учетки там. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...