Не могу сказать что за вирус. Сколько искал не нашел ничего.

[mrl9xx]

Помогите пожалуйста. Вчера люди начали жаловаться что перестали открываться word файлы, и некоторые файлы jpeg. При открытии файла, вылетает либо выбор кодировки, либо файл поврежден. Скрины прилагаю. Кто что знает по этому вопросу, прошу помочь. Если нужна какая то еще инфа, предоставлю. Не знаю просто, что нужно еще приложить. 

Акт на списание.docx

КВАЛИФИКАЦИОННЫЕ ТРЕБОВАНИЯ 2010 год.docx

[thyrex]

Файлы зашифрованы. Скорее всего Spora.

 

Ищите источник шифрования

[mrl9xx]

Где его искать?? и как, чем??? поподробне можно. как то не каждый день с этим сталкиваешься!!!

[thyrex]

Пока на какой-нибудь машине не всплывет сообщение о выкупе, искать бесполезно.

 

Ну или терзать пользователей, имевших доступ со своих машин в папку, где зашифровались данные.

[mrl9xx]

 Trojan.Encoder.10103 . Есть по нему какая нибудь инфа? возможно ли спасти файлы??

[thyrex]

Как и предполагал - Spora. 

 

С расшифровкой помочь не сможем.

[mrl9xx]

нашелся файл, который загрузился на комп это ничем не поможет делу. могу прикрепить его. и скажите пожалуйста, сам этот файл он на одном компе сидит, или может распространятся на другие по сети!?? по сети побил файлы и на других компах. Объясните как он примерно работает, просто нужно на других искать его, или он на изначальном сидит, а на других по сети просто бьет файлы. Жду ответ Заранее спасибо. Просто компьютеров в сети много, вот и спрашиваю, какие действия нужно предпринять!!

[thyrex]

Логи сделайте на компьютере-источнике

[mrl9xx]

http://my-files.ru/eo07pe

Вот. Прикрепил.

Изменено 3 мая, 2017 пользователем mrl9xx

[thyrex]

Я вообще просил логи Autologger

[mrl9xx]

вот сделал.

CollectionLog-2017.05.03-09.40.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[mrl9xx]

прикрепил.

far.rar

[thyrex]

Да, похоже этот компьютер и есть источник.

 

В логах не видно активного вируса, он все зашифровал по сети.

У этого вируса есть функционал сетевого червя, но в логах не обнаружено подмененных им ярлыков на запуск своей копии.

[login1991]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

Я так понял программка очень хорошая, прогнал у себя весьма много полезной информации. можете обяснить как вы поняли что источник вируса по результатом проверки этой программы?