[QUOTE]santy написал:
предположительно js
и еще раз напоминаю - проверьте входящую почту менеджера (если конечно он пользуется например оутлуком или thunderbird), который работал на данном компе за 11апреля. обратите внимание на вложения сообщений

и вот это прочитайте
[URL=http://chklst.ru/discussion/1481/vault-chto-delat#latest]http://chklst.ru/discussion/1481/vault-chto-delat#latest[/URL] [/QUOTE]
Читал уже тышу раз( раз даже моя контора попала на шифровщик, но не вытащили нечего.
Я уже чуть ли иголки в пальцы не вставлял когда спрашивал, говорят нечего не трогали, там 3389 открыт, может через него вломились?

У одного пользователя которого я подозреваю,вообще история в браузере девственная. Бред, и права у него обрезанные

[QUOTE]santy написал:
можно с помощью winhex искать по содержимому всего диска, если позволяет время.[/QUOTE]
Я им некогда не пользовался(

В каких он обычно файлах, шифровщик, идет? может на поиск поставлю что то будет, сейчас р-студия сканирует диск Д, там был обнаружен черт какой то который в карантире, может там что то будет

[QUOTE]santy написал:
key.txt содержит публичный ключ gnupg, для расшифровки он не подойдет.
ищите инфо с таким содержанием:
-----BEGIN PGP PRIVATE KEY BLOCK-----
[/QUOTE]
Искать в txt файлах? По идее если был повторый запуск ночью то файл тоже был на пк?
найти бы этих продолжителей, да в лес елку удобрять

[QUOTE]santy написал:
1.zip уже был в предыдущих сообщениях

по рисунку: пробуйте восстановить то, что выделено на рисунке
только восстановление желательно делать на другой носитель.[/QUOTE]
Не тот архив вытянул, перезалил, в верху txt файлы, а в 123.zip dll и exe, пасс infected

отправил еще раз, посмотрите отправителя [URL=mailto:[email protected]][email protected][/URL]

Не могу теперь негде найти iconv.dll(((

Вот что еще нашел
[IMG WIDTH=960 HEIGHT=768]http://savepic.ru/9310059.jpg[/IMG]

[QUOTE]santy написал:
все таки, проверьте почту менеджеров, что они могли запустить из почты во вчерашний день.
[/QUOTE]
Пользователь BROVARU только в 1С работает, ничего больше не делает

Вот нашел gnupg, там файлы и iconv.dll выложить архив?
По созданным в это время файлам есть c:\Users\office\Documents\кос2015\1Cv8FTxt\changes201604110000­00.log
c:\Windows\Prefetch\1CV7S.EXE-0FA9C8E3.pf
c:\Windows\Prefetch\1CV8.EXE-642834BD.pf
c:\Windows\Prefetch\ATTRIB.EXE-A990CB86.pf
c:\Windows\Prefetch\CIS.EXE-F3F81C94.pf
c:\Windows\Prefetch\CMDUPD.EXE-04AAE8E2.pf
c:\Windows\Prefetch\KEYGEN.EXE-4FE414E3.pf
c:\Windows\Prefetch\PRINTFILTERPIPELINESVC.EXE-1565F6A1.pf
c:\Windows\Prefetch\RUNDLL32.EXE-B321059F.pf
c:\Windows\Prefetch\SOFTWARE_REPORTER_TOOL.EXE-7A4028C5.pf

[QUOTE]santy написал:
вот эти файлы еще добавьте в собщение, можно в архиве.
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
C:\USERS\BROVARU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
судя по образу шифрование было вчера
11.04.2016 в 17:19:22[/QUOTE]
Я все такие файлы по сносил, но эти почему то остались. Шифровка началась в 10:50. Первый файл был создан в это время, в а 17:19 я же сканил все на вирусы. Вообще сижу балдею с людей, все данные тупо на диске С без единого бакапа, спрашиваю сис.админ есть, отвечают что есть, но бакапы настроить не может потому что в 1С 8.2 и два не шарит, шарит только в 7.7

[QUOTE]santy написал:
pub &sec key[/QUOTE]
Так файлы должны называться?
На мыло выслал, лог сюда прикрепил

[QUOTE]santy написал:
похоже GnuPG используют при шифровании.

# off=0 ctb=84 tag=1 hlen=2 plen=140
:pubkey enc packet: version 3, algo 1, keyid 3DEC2AC53ADBF810
   data: [1023 bits]
# off=142 ctb=d2 tag=18 hlen=2 plen=0 partial new-ctb
:encrypted data packet:
   length: unknown
   mdc_method: 2

File: X:\active\shifr\исследовать\730\virus\v1.2.3_NewInConfig_ru.htm.id-{815F73E7}_repairfiles365@gmail_com
-----------
откуда словили? если есть вложение из электронной почты, перешлите в почту  [URL=mailto:[email protected]][email protected][/URL] можно в архиве с паролем infected[/QUOTE]
Говорят что нечего не запускали. нечего не качали, работали с бухгалтерской программой, когда пошло шифрование был запущен процес gpg.exe и keygen.exe, есть карантин который делал через avz может его кинуть?

Я успел сделать бакап основных данных кроме флешки, сидел вечером колупался и эти два процеса уидел уже когда рабочий стол начал шифроваться около 23:00, вот лоиг МВАМ, могу еще скинуть файл с расширением gpg

Словили сегодня шифровщика, кто что запускал не понятно, зашифровал все что на флешке, диске Д, и кусок диска С. Шифровал все что связано с бухами, ключи банка, электронные подписи, программу для отрпавки отчетов. Такое чувство что я его прервал когда начал базы 1С обновлять.
В архиве пару файлов, пароль virus. Есть варианты расшифровать?
nod32 его не видет, файлы шифруются.
virus.rar зашифрованный файл, пароль virus.
В начале файл становить с расширением gpg, потом он удаляется и вместо него появляется другой
[IMG WIDTH=762 HEIGHT=320]http://savepic.ru/9358275.jpg[/IMG]
С помоью МВАМ нашел PUP.Optional.PassView Файл D:\Install\!totalcmd\plugins\exe\NhT\PassMaker.exe