unlock92 2.0 Поймал шифровальщик от unlckr@tutanota.com

[veta_los]

Добрый день. 

 

В четверг отдал ребёнку комп, в субботу уже шифровальщик. Есть версия, что пролез через её игру Roblox, но не факт. Файл-вирус не искал, сразу систему вырубил. Буду делать всё по инструкции. Файлы и лог от Farbar Recovery Scan Tool прилагаю (запускал утилиту из среды восстановления).

 

 

FRST.txt Files.rar

[Sandor]

Здравствуйте!

 

К сожалению, это Unlock92 2.0, расшифровки нет.

[veta_los]

Ясно, грустно, но прогнозируемо.

 

Если позволите, ещё парочку вопросов.

 

1. Это какой-то новый шифровальщик (или новая версия?), или, я мог его и раньше подцепить, а сейчас он просто активировался? Я почему спрашиваю? Данный комп крайний год был почти постоянно выключенный, включался только спорадически, раз в месяц на пару минут для вытаскивания архивной информации, даже без обращения к браузерам, и именно поэтому в четверг был передан ребёнку, чтобы хоть как-то стал использоваться. Посему, хочется понять: это мы успели подцепить зловред сейчас, или могли и раньше?

 

2. Из этого проистекает второй вопрос. В сети есть ещё пару ноутбуков. Данный шифровальщик по сети может прыгать? 

 

3. Диск С мне не жалко, могу отформатировать. Он мог успеть на диск D , или чего хуже, по сети на другие компы перепрыгнуть? Его Kaspersky Rescue Disk обнаруживает? Полечит?

 

4. Важные файлы у меня на счастье забэкаплены на других носителях. Но кое-какие менее приоритетные файлы - нет. А места на харде много, могут лежать хоть до ишачьей пасхи. Имеет ли смысл оставить их зашифрованными, есть ли вероятность того, что данный шифровальщик сейчас кто-то курочит, и когда-то его могут расшифровать, и смогу файлы раскодировать? 

 

Спасибо.

[Sandor]

10 минут назад, veta_los сказал:

Это какой-то новый шифровальщик

Нет. Почитайте описание, там найдете ответы на большинство вопросов.

 

11 минут назад, veta_los сказал:

когда-то его могут расшифровать, и смогу файлы раскодировать?

Скорее всего при условии, что вымогателей арестуют и появится доступ к их серверам или они сами выложат ключи. Такое, хоть и редко, но происходит.

[veta_los]

20 минут назад, Sandor сказал:

Почитайте описание, там найдете ответы на большинство вопросов.

 

Прочитал. Более менее ясно. Но на самый главный вопрос там ответа нет: крайнюю версию Unlock92 2.0 Kaspersky Rescue Disk обнаруживает? Еа странице в списке "обнаружения" версии от 20 ноября 2020 Касперский вообще не упоминается.  Если я прогоню компы данной утилитой, и оставлю на одном зашифрованные файлы на всякий случай, можно будет спать спокойно? Или лучше отформатировать данный комп?

[Sandor]

Цитата

Kaspersky -> Trojan.Win32.Deshacop.cws, Trojan-Ransom.MSIL.Geograph.bv, Trojan-Ransom.Win32.Scatter.hx

То есть, обнаруживает. Названия вредоносов у разных вендоров разные.

Как правило, вымогатель после завершения работы само уничтожается. Можете, конечно, для спокойствия просканировать. Причем, сканировать лучше KVRT, базы там те же, что и у остальных продуктов. Форматировать диск излишне.

 

Дополнительно не помешает проверить узявимые места систем.

На заметку - Рекомендации после удаления вредоносного ПО

[veta_los]

Более-менее всё ясно. За рекомендации спасибо. Не уверен, что зловред завершил работу и удалился, потому что я обрубил систему нештатно, как почуствовал что-то неладное.  Лучше прогоню систему. 

 

 Но вот один момент удивил: а почему KVRT лучше? Я всегда считал,  что с задействованной системы сканирование всегда менее надежно,  чем с другого носителя  (как Kaspersky Rescue Disk) или из под другой, незараженной системы? 

Изменено 30 марта, 2021 пользователем veta_los

[Sandor]

Это в случае файлового заражения лучше. По вашему логу активного заражения не видно.