Вирус postal.surgut@danwin1210.me

21 ноября, 2017

Добрый день.

Сегодня утром обнаружил, что на компьютере все файлы стали размером 0 кб.

В папке появились два текстовых файла

Содержимое:

ЕСЛИ ВАМ НУЖНЫ ФАЙЛЫ ПИШИТЕ__

postal.surgut@danwin1210.me

К сожалению программы по восстановлению не помогают.

Стоял антивирус Avast - ничего не обнаружил не в момент атаки, ни после.

Сейчас Касперский установил, также ничего не нашёл (касаемо данного вирус)

Подскажите есть ли шанс защититься от подобной проблемы в будущем.

Потерял очень много важных файлов (документы, фотографии) - всё 0 кб.

Может быть кто то знает способ откатить версии файлов?

Сообщение от модератора kmscom

тема перемещена из раздела Компьютерная помощь

21 ноября, 2017

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

21 ноября, 2017

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

История переписки:

postal.surgut@danwin1210.me

Я - "Нужны файлы"

Ответ: - 25000 руб.

Я - "Для подтверждения, что файлы возможно восстановить. Восстановите один файл и пришлите"

Ответ: - "текущий ip компьютера напишите"

Я - "Как узнать?"

Ответ: - "сmотрите на сайте 2ip.ru"

Я: "100.90.80.70" - IP был выслан реальный.

Ответ: "4 файла с моего компьютера"

Я - "Один файл из конкретной папки можете восстановить. Интересуют *** файлы.?"

Ответ - "нет физически файлы у Вас, после оплаты Вы получаете программу которая все вернет на места, можем выгрузить список всех текущих файлов которые у вас с размерами"

Я - "Давай так"

Ответ: - "Файл - список" (директории - размер файла - Название

Я - "Куда оплачивать?"

Ответ: "оплата только через киви кошелек. 1 создаете кошелек на сайту qiwi.ru. 2 пополняете его. 3 после будете делать оплату со своего кошелька"

Я - "Не понял, что нужно сделать? Новый кошелёк создать?"

Ответ "создать новый кошелек. после пополнить его с карты или через терминал оплаты"

Думаю, что дело было так:

Запустив вирус, он сканирует файлы и папки. Всё это пишет в файлик. Отправляет злоумышленнику. Файл со списком, а также случайные файлы (понятное дело, что попросят продемонстрировать, а тут раз и как по волшебству восстановили несколько файлов. НЕТ!!! Они сначала были отправлены злоумышленнику, а потом стёрты с Вашего ПК).

После чего файл стираются безвозвратно до 0 кб (несмотря на фразочку "физически файлы у Вас" - проблема в том, что сложно скрыть 12 гб информации, если на диске занято 0,5 ГБ.

Ни в коем случае не ведитесь на аналогичные проблемы.

P.S. прикрепил анализ ПК.

Хотелось бы всё такие разобраться, остался ли доступ к ПК

CollectionLog-2017.11.21-12.14.zip

report1.log

report2.log

22 ноября, 2017

Здравствуйте!

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

Скрипт закроет уязвимости в IE.

Доступ в общую папку

D:\SHARE

под паролем?

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

14 декабря, 2017

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Addition.txt

FRST.txt

Shortcut.txt

14 декабря, 2017

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction <==== ATTENTION
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Вирус postal.surgut@danwin1210.me

Рекомендуемые сообщения

Ромик Комлев 1

Ссылка на сообщение

Поделиться на другие сайты

kmscom 2 356

Ссылка на сообщение

Поделиться на другие сайты

Ромик Комлев 1

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 286

Ссылка на сообщение

Поделиться на другие сайты

Ромик Комлев 1

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 286

Ссылка на сообщение

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum