зашифровано с расширением id-*_paycrypt@inbox.com , Filecoder.DG

Добрый день! У нас такая же проблема! После обеда (по москве 10-11ч) 02.02.2015 пришло письмо "повестка в суд, Вы приглашены в качестве свидетеля по делу № и.т.п. Информация по делу во вложении и т.п." Зашифровал ПК прочитавшего данное письмо, и каким то образом попал на AD зашифровал базы 1С, спустя час или два!!! Файлы в виде: Указ Президента РФ от 28.docx.id-6857914722_paycrypt@inbox! Как быть? Другая версия вируса?
Вячеслав Ефимов,
вышлите в почту safety@chklst.ru файл из вложения в архиве с паролем infected
Изменено: santy - 07.12.2016 13:08:01
Цитата
santy написал:
Вячеслав Ефимов,
вышлите в почту  safety@chklst.ru  файл из вложения в архиве с паролем infected
Отправил с пометкой От Вячеслава Ефимова
Изменено: Вячеслав Ефимов - 07.12.2016 13:08:01
судя по банеру - вариант Encoder.741, "слегка припудрили носик"


поменяли текст, почту.
архивное тело уже недоступно, чтобы проверить на Virustotal, кем оно детектируется на сейчас. если есть возможность - проверьте наличие тела в карантине сканера.
(черви-шифраторы в локальной сети, это уж слишком, хотя механизм размножения шифраторов через почту юзера (отправлялось тело вируса по контактам зараженного пользователя) был использован в бат-энкодере (*paycrypt@gmail.com))
Изменено: santy - 07.12.2016 13:08:01
Добрый день! У нас такая же проблема ! После обеда (по москве 10-11ч) 02.02.2015 пришло письмо "повестка в суд, Вы приглашены в качестве свидетеля по делу № и.т.п. Информация по делу во вложении и т.п." Зашифровал ПК прочитавшего данное письмо, и каким то образом попал на AD зашифровал базы 1С, спустя час или два!!! Файлы в виде: Указ Президента РФ от 28.docx.id-6857914722_paycrypt@inbox! Как быть? Другая версия вируса?
это скорее всего Encoder.741
вышлите тело вируса из сообщения в архиве с паролем infected на адрес safety@chklst.ru
Здравствуйте, помогите нам пожалуйста. Файлы имеют расширение id-4238441465_paycrypt@inbox.
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
Файл залил.
http://rghost.ru/6H2pLLXRz
Изменено: kashi - 12.02.2015 11:51:16
1. восстановление из теневых копий невозможно в вашем случае, поскольку на XP не поддерживается сохранение копий документов. (только критически важные для системы файлы)
Цитата
uVS v3.85.3 [http://dsrt.dyndns.org];: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]

2. по очистке системы:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\SMSS.EXE
delall %SystemRoot%\EKSPLORASI.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
3. по расшифровке данных: если есть лицензия на продукты ESET, обращайтесь в техподдержку support@esetnod32.ru
Изменено: santy - 12.02.2015 12:09:32
Читают тему (гостей: 1)