Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Файлы зашифрованы .DOCM

sketchpack21
 Поделиться

Рекомендуемые сообщения

sketchpack21

sketchpack21

Опубликовано
Опубликовано (изменено)

Добрый день. Включил компьютер, все файлы с расширением DOCM, в каждой папке лежит фаил Restore-My-Files , восстановить не надеюсь, интересует несколько вопросов:


Как можно удалить вирус? (просканировал касперским, скрин прикрепляю) Мог ли он получить доступ к личным данным (паролям например)? Хочу переустановить систему, если загрузиться с установочной флешки и форматировать все диски перед установкой, будет ли этого достаточно для полного его удаления? Нахожусь в студии с общим интернетом от роутера, может ли вирус попасть на другие компьютеры подключенные к этой сети? И попадает ли вирус на флешки подключенные к зараженному компьютеру( на флешке файлы зашифрованы вирусом)


Спасибо! 


CollectionLog-2019.06.21-17.57.zip

post-54588-0-82026300-1561115186_thumb.png

Изменено пользователем sketchpack21
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Хочу переустановить систему

Тогда не было смысла собирать логи.

 

Мог ли он получить доступ к личным данным (паролям например)?

Для верности пароли сменить не помешает.

 

Во время своей "работы" вредонос пытается дотянуться до всего, куда есть доступ на запись (в т.ч. съемные носители, сетевые шары и т.п.).

По окончании он как правило самоуничтожается.

 

форматировать все диски перед установкой, будет ли этого достаточно для полного его удаления?

Да.
sketchpack21

sketchpack21

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Хочу переустановить систему

Тогда не было смысла собирать логи.

 

Мог ли он получить доступ к личным данным (паролям например)?

Для верности пароли сменить не помешает.

 

Во время своей "работы" вредонос пытается дотянуться до всего, куда есть доступ на запись (в т.ч. съемные носители, сетевые шары и т.п.).

По окончании он как правило самоуничтожается.

 

форматировать все диски перед установкой, будет ли этого достаточно для полного его удаления?

Да.

 

Спасибо за ответ! А создавать загрузочную флешку из под зараженной системы не будет опасно? 

Sandor

Sandor

Опубликовано
Опубликовано

Создавать её, конечно, лучше на заведомо чистой системе.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • transdemail
      Файлы зашифрованы Trojan.Encoder.29750
      Автор transdemail
      Приветствую! Шансов мало, но друг?
      FRST.txt kav.zip
      Addition.txt Shortcut.txt
    • ArturKr
      Trojan.Encoder.18000 v2
      Автор ArturKr
      Здравствуйте. проконсультируйте пожалуйста
      CollectionLog-2019.12.16-16.31.zip
    • Андрей Кривуля
      DOCM формат файлов. Восстановление системы из образа до заражения.
      Автор Андрей Кривуля
      Здравствуйте, уважаемая поддержка. 
       
      Сегодня столкнулся с этой проблемой, когда все файлы на жестком диске переименовались и в окончании стоит .DOCM. 
       
      Проверил систему на вирусы - как написано в инструкции.
       
      Затем установил SpyHack 5 и удалил с помощью него все эти шифровальщики или что там может быть =) Было найдено 150 троянов, в том числе 2 шифровальщика под именем malware Globeimposter и .DOCM Ransomware
       
      Все почистил, удалил. Нашел источник заражения - удалил. Был файл с торрента - программы, которую хотел попробовать перед тем, как покупать. 
       
      Затем запустил AutoLogger и сформировал отчет, который прикрепил сюда. 
       
      Теперь вопросы =)
       
      1. Могу ли я восстановить утерянную информацию с помощью Data Recovery Pro ? Я так понял, в дешифровке 1тб информации нет смысла? =) 
      2. Если у меня был образ системы на жестком диске, который подвергся шифрованию - WindowsImageBackup папка, из которой я обычно восстанавливаю систему в прежний вид со всем установленным софтом - есть ли риск заражения DOCM снова, если я сейчас восстановлю с этого образа систему? Просто я проверил эту папку, там DOCM нет, да и Ведь образ создавался задолго до заражения. Или все-таки лучше установить заново все и отформатировать все жесткие диски? =)
      3. Будет ли достаточно SpyHack 5 для защиты системы от новых шифровальщиков, если вдруг их подхвачу? Просто самое интересное, что за 10 лет работы - это первый случай со мной. 
      4. Как защитить систему и избежать нового заражения? =) 

      Благодарю и хорошего Вам дня. 
      С Уважением, Андрей.
      CollectionLog-2019.06.23-13.17.zip
    • Peter R
      Шифровальщик. DOCM
      Автор Peter R
      Добрый день,
      подвергся атаке Trojan.Encoder.11539, но это не точно.
      Краткая хронология:
      - зависание ПК и активная работа хдд насторожила не сразу;
      - перезагрузка и проверка Kaspersky Total Security(тестовая версия);
           - HEUR:Trojan.Win32.Agent.gen 
           - UDS:Backdoor.MSIL.Androm.gen 
           - HackTool.Win32.KMSAuto.i 
      - проверка CureIT:
           - угроза HOST, к сожалению кликнул не посмотрев на вылечить и т.п.;
           - повторная проверка была уже чистой;
      - от 30-50% файлов зашифровано;
       
      Скрипт выдал ошибку при работе.
      Error #5 - Invalid proocedure call or argement
      Касперский был выключен и закрыт при проверке.
       
      Если это действительно 11539, то дешифровка невозможна как я понял?
      И главным становится вопрос - почему это произошло, как произошло заражение? Если логи помогут вам, я буду очень благодарен за ответ.
      Спасибо.
    • MrMeow
      Шифровальщик bomber
      Автор MrMeow
      На Windows XP SP3 открыли письмо, предположительно с которого и началось заражение: ============= "Южанникова Альбина" <frontera5@rambler.ru>:   Добрый день   Никак не могу с вами связаться( Направляю наши новые реквизиты =============
      с вложением "Реквизиты Обновление.src.gz"
      (к этой теме прикреплён запароленный архив virus-src.gz-.7z с этим вложением)
       
      Касперский идентифицирует это вложение, как Trojan.Win32.Poweliks.aesg
      DrWeb - Trojan.Encoder.26361
       
      Затем документы на компьютере переименовывались, как например 6S39+hjSlfkBUHBqHHc с раширением bomber а содержимое файлов становилось зашифрованным или искажённым.
       
      После этого система была перепроверена утилитами DrWeb, FreeKaspersky, KVRT
      В запароленном архиве virus-ti1.exe-.7z найденный FreeKaspersky, как  UDS:DangerousObject.Multi.Generic
       
      В архиве KVRT_reports.zip три лога проверки утилитой KVRT
      В архиве "Рабочий стол-encrypted.zip" зашифрованные документы с рабочего стола, включая два скрытых файла (предположительно это desktop.ini и thumbs.db)
       
      Так же к теме прикреплён файл от шифровальщика "HOW TO RECOVER ENCRYPTED FILES.txt" с инструкцией по расшифровке файлов за криптовалюту
      и лог от утилиты AutoLogger.
       
      Пароль от двух запороленных архивов "virus"
       

      Сообщение от модератора thyrex Вредоносное вложение удалено

      CollectionLog-2018.09.21-23.36.zip
      KVRT_reports.zip
      HOW TO RECOVER ENCRYPTED FILES.TXT
      Рабочий стол-encrypted.zip
×
×
  • Создать...