Шифровальщик BOMBER

[Voventys]

Здравствуйте, 

 

постигла рабочий компьютер эта грустная участь, прошу помочь в очистке от вируса и расшифровке файлов!

 

У зашифрованных файлов расширение bomber, Касперский обнаружил несколько файлов определяемых как Trojan.Win32.Poweliks.aesg.

 

 

 

 

CollectionLog-2018.09.26-18.07.zip

[mike 1]

Информацию восстанавливайте из резервных копий.

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Voventys]

Во время работы шифратора компьютер был перезагружен, если это конечно имеет какое то значение

лог  FRST

 

test.zip

[mike 1]

2016-01-19 10:28 - 2016-01-19 10:28 - 004594771 _____ () C:\Users\User\AppData\Local\OiXqgfVotWfrd8qw.FILESOS@YAHOO.COM_eO3Lbz

2018-09-19 11:28 - 2018-09-19 11:28 - 000002143 _____ C:\Users\User\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT

Вам не кажется странным, что Вы как минимум 3 раза уже на этом ПК ловите шифровальщика? Может стоит предпринять какие-то меры уже, как думаете?

 

19-09-2018 14:43:25 Установленный Kaspersky Endpoint Security 10 для Windows.

А не подскажите почему на компьютере не было установлено антивируса? Как вообще так получилось и кто в этом как думаете виноват?

 

User (S-1-5-21-3452811854-3616412541-2857693982-1000 - Administrator - Enabled) => C:\Users\User

Почему Ваши пользователи работают под учетной записью Администратора? Как думаете к чему это может привести?

[Voventys]

 

2016-01-19 10:28 - 2016-01-19 10:28 - 004594771 _____ () C:\Users\User\AppData\Local\OiXqgfVotWfrd8qw.FILESOS@YAHOO.COM_eO3Lbz

2018-09-19 11:28 - 2018-09-19 11:28 - 000002143 _____ C:\Users\User\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT

Вам не кажется странным, что Вы как минимум 3 раза уже на этом ПК ловите шифровальщика? Может стоит предпринять какие-то меры уже, как думаете?

 

19-09-2018 14:43:25 Установленный Kaspersky Endpoint Security 10 для Windows.

А не подскажите почему на компьютере не было установлено антивируса? Как вообще так получилось и кто в этом как думаете виноват?

 

User (S-1-5-21-3452811854-3616412541-2857693982-1000 - Administrator - Enabled) => C:\Users\User

Почему Ваши пользователи работают под учетной записью Администратора? Как думаете к чему это может привести?

 

 

третий раз, но каждый раз разный пользователь. Общеобразовательные беседы не помогают пока человек не теряет свои файлы.

Антивирус был 6 версии Касперский обнаружив это я поставил 10.

Администраторские права после лечения будут отобраны (а назначал их не я).

[mike 1]

третий раз, но каждый раз разный пользователь.

Отбирать права нужно значит. 

 

Общеобразовательные беседы не помогают пока человек не теряет свои файлы.

А что под роспись сотрудников ознакомить с регламентом работы в корпоративной локальной сети не получается? Можно вообще сделать что-то типа файлового сервера, на котором будут хранится пользовательские файлы, которые будут архивироваться, а если уж пользователь хранит их на рабочем компьютере и они у него зашифровались, то сам виноват, т.к. был ознакомлен с регламентом работы. 

 

Антивирус был 6 версии Касперский обнаружив это я поставил 10.

Ставьте 11 версию. Всегда нужно стараться использовать актуальное антивирусное ПО. 

 

Администраторские права после лечения будут отобраны (а назначал их не я).

Это не имеет значения когда будут искать виноватых. Я бы вообще на почтовом сервере запретил пропуск сообщений, которые содержат определенные типы исполняемых файлов.