DrDop 0 Опубликовано 19 июля, 2019 Share Опубликовано 19 июля, 2019 Залетел шифровальщик. DrWeb.CureIT опознал его как "trojan.encoder.3953". Дело было на сервере. Стоиn Kaspersky Endpoint Security для бизнеса - почему не защитил не знаю. Расширение у зашифрованных файлов "id-2C0F9F11.[mecrypt@aol.com].html" Проделал действия как в https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Лог прилагаю. Прошу помощи. CollectionLog-2019.07.19-10.27.zip Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 19 июля, 2019 Share Опубликовано 19 июля, 2019 Здравствуйте, Если ориентироваться на расширение, то у вас какой-то новый тип шифровальщика. На данный момент сказать сложно, если возможно будет расшифровать. - Уточните пожалуйста ваш основной антивирус был приостановлен или выключен? - Вам удалось понять как это произошло, взломали сервер или пользователь запустил сам вредоносное ПО? - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. При наличие лицензии на продукты Лаборатории Касперского, выполните следующие инструкции: https://forum.kasperskyclub.ru/index.php?showtopic=48525 Ссылка на сообщение Поделиться на другие сайты
DrDop 0 Опубликовано 19 июля, 2019 Автор Share Опубликовано 19 июля, 2019 Kaspersky Endpoint Security для бизнесаСкорее всего взломали FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
mvs 258 Опубликовано 19 июля, 2019 Share Опубликовано 19 июля, 2019 (изменено) По разным причинам KES мог не опознать шифровальщика. Ради статистики - KSN у вас включен? ну и на будущее - рассмотрите вариант настройки защиты согласно статье - https://support.kaspersky.ru/14742 Изменено 19 июля, 2019 пользователем mvs Ссылка на сообщение Поделиться на другие сайты
DrDop 0 Опубликовано 19 июля, 2019 Автор Share Опубликовано 19 июля, 2019 Ради статистики - KSN у вас включен? Kaspersky оказался выключен. Запустить сейчас его нет возможности, т.к. тоже зашифрован, так что не знаю. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 19 июля, 2019 Share Опубликовано 19 июля, 2019 Несколько небольших зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
DrDop 0 Опубликовано 19 июля, 2019 Автор Share Опубликовано 19 июля, 2019 (изменено) Вот примеры файлов id-2C0F9F11.mecrypt@aol.com.zip Изменено 19 июля, 2019 пользователем DrDop Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 19 июля, 2019 Share Опубликовано 19 июля, 2019 Увы, это Dharma (.cezar Family), расшифровки нет. Проверьте уязвимые места: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. 1 Ссылка на сообщение Поделиться на другие сайты
DrDop 0 Опубликовано 19 июля, 2019 Автор Share Опубликовано 19 июля, 2019 Всем спасибо за усилия и информацию. Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 20 июля, 2019 Share Опубликовано 20 июля, 2019 Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского". Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения