зашифровано с расширением .id-{*}_repairfiles365@gmail_com

RSS
Словили сегодня шифровщика, кто что запускал не понятно, зашифровал все что на флешке, диске Д, и кусок диска С. Шифровал все что связано с бухами, ключи банка, электронные подписи, программу для отрпавки отчетов. Такое чувство что я его прервал когда начал базы 1С обновлять.
В архиве пару файлов, пароль virus. Есть варианты расшифровать?
nod32 его не видет, файлы шифруются.
virus.rar зашифрованный файл, пароль virus.
В начале файл становить с расширением gpg, потом он удаляется и вместо него появляется другой

С помоью МВАМ нашел PUP.Optional.PassView Файл D:\Install\!totalcmd\plugins\exe\NhT\PassMaker.exe
Изменено: Сергей Жало - 22.06.2017 09:13:46

Ответы

Цитата
santy написал:
предположительно js
и еще раз напоминаю - проверьте входящую почту менеджера (если конечно он пользуется например оутлуком или thunderbird), который работал на данном компе за 11апреля. обратите внимание на вложения сообщений

и вот это прочитайте
http://chklst.ru/discussion/1481/vault-chto-delat#latest
Читал уже тышу раз( раз даже моя контора попала на шифровщик, но не вытащили нечего.
Я уже чуть ли иголки в пальцы не вставлял когда спрашивал, говорят нечего не трогали, там 3389 открыт, может через него вломились?

У одного пользователя которого я подозреваю,вообще история в браузере девственная. Бред, и права у него обрезанные
Изменено: Сергей Жало - 12.04.2016 18:33:21
Вот что нашел связанное с приватом  
Изменено: Сергей Жало - 12.04.2016 23:33:27
это какие то обрезки инфо. приватный ключ по размеру должен быть порядка 1kbytes
Короче, больше нечего, сейчас поставлю машину еще на скан которая удаленно подключается, может там что то интересное, половину выращил через р-студию
да, пока не от чего оттолкнуться.
нужен исходный файл, с которого был запущен процесс шифрования, чтобы проверить всю цепочку от начала и конца шифрования.
Делаю скан удаленной машины, смотрите что пока наше, это в mbam:
Trojan.WebMoner Key
PUP.Optional.ClientConnect Файл
Изменено: Сергей Жало - 13.04.2016 09:59:31
я уже написал, что интересует в первую очередь по данному шифратору. исходный файл или письмо, адрес, откуда был запущен шифратор.
Наверно закрываем тему до лучшех времен) просканил удаленную машину, вирусов кучу, на почту приходило только два письма в doc и от постоянных клиентов, там все нормально, в загрузках тоже. ну и человек сидит гороскопы читает и гадает в интернете))))
интересно, что и во второй теме:
https://virusinfo.info/showthread.php?t=199536
на компьютере пострадавшего пользователя установлен не_без_известный софт Medoc: C:\ProgramData\Medoc\Medoc_2\ezvitInfo.exe
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, ezvitInfo

возможно, именно через него и было получено "очередное обновление с нагрузкой шифратора"
по второй теме файлы зашифрованы с другим идентификатором
001_0218_2.zip.id-{C4591254}_repairfiles365@gmail_com
но вот какой при этом использовался ключ - неизвестно, нет зашифрованных файлов в этой теме,
Читают тему (гостей: 2)