Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи Сергей Кот
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 2 3 4 След.
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 18:26:09
Цитата
santy написал:
предположительно js
и еще раз напоминаю - проверьте входящую почту менеджера (если конечно он пользуется например оутлуком или thunderbird), который работал на данном компе за 11апреля. обратите внимание на вложения сообщений

и вот это прочитайте
http://chklst.ru/discussion/1481/vault-chto-delat#latest
Читал уже тышу раз( раз даже моя контора попала на шифровщик, но не вытащили нечего.
Я уже чуть ли иголки в пальцы не вставлял когда спрашивал, говорят нечего не трогали, там 3389 открыт, может через него вломились?

У одного пользователя которого я подозреваю,вообще история в браузере девственная. Бред, и права у него обрезанные
Изменено: Сергей Жало - 12.04.2016 18:33:21
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 18:13:41
Цитата
santy написал:
можно с помощью winhex искать по содержимому всего диска, если позволяет время.
Я им некогда не пользовался(

В каких он обычно файлах, шифровщик, идет? может на поиск поставлю что то будет, сейчас р-студия сканирует диск Д, там был обнаружен черт какой то который в карантире, может там что то будет
Изменено: Сергей Жало - 12.04.2016 18:14:57
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 17:58:02
Цитата
santy написал:
key.txt содержит публичный ключ gnupg, для расшифровки он не подойдет.
ищите инфо с таким содержанием:
-----BEGIN PGP PRIVATE KEY BLOCK-----
Искать в txt файлах? По идее если был повторый запуск ночью то файл тоже был на пк?
найти бы этих продолжителей, да в лес елку удобрять
Изменено: Сергей Жало - 12.04.2016 18:06:39
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 17:42:35
Цитата
santy написал:
1.zip уже был в предыдущих сообщениях

по рисунку: пробуйте восстановить то, что выделено на рисунке
только восстановление желательно делать на другой носитель.
Не тот архив вытянул, перезалил, в верху txt файлы, а в 123.zip dll и exe, пасс infected

отправил еще раз, посмотрите отправителя [email protected]
Изменено: Сергей Жало - 12.04.2016 17:44:00
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 17:28:53
Не могу теперь негде найти iconv.dll(((

Вот что еще нашел
Изменено: Сергей Жало - 12.04.2016 17:37:01
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 16:38:58
Цитата
santy написал:
все таки, проверьте почту менеджеров, что они могли запустить из почты во вчерашний день.
Пользователь BROVARU только в 1С работает, ничего больше не делает

Вот нашел gnupg, там файлы и iconv.dll выложить архив?
По созданным в это время файлам есть c:\Users\office\Documents\кос2015\1Cv8FTxt\changes201604110000­00.log
c:\Windows\Prefetch\1CV7S.EXE-0FA9C8E3.pf
c:\Windows\Prefetch\1CV8.EXE-642834BD.pf
c:\Windows\Prefetch\ATTRIB.EXE-A990CB86.pf
c:\Windows\Prefetch\CIS.EXE-F3F81C94.pf
c:\Windows\Prefetch\CMDUPD.EXE-04AAE8E2.pf
c:\Windows\Prefetch\KEYGEN.EXE-4FE414E3.pf
c:\Windows\Prefetch\PRINTFILTERPIPELINESVC.EXE-1565F6A1.pf
c:\Windows\Prefetch\RUNDLL32.EXE-B321059F.pf
c:\Windows\Prefetch\SOFTWARE_REPORTER_TOOL.EXE-7A4028C5.pf
Изменено: Сергей Жало - 12.04.2016 16:46:36
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 16:28:12
Цитата
santy написал:
вот эти файлы еще добавьте в собщение, можно в архиве.
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
C:\USERS\BROVARU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
судя по образу шифрование было вчера
11.04.2016 в 17:19:22
Я все такие файлы по сносил, но эти почему то остались. Шифровка началась в 10:50. Первый файл был создан в это время, в а 17:19 я же сканил все на вирусы. Вообще сижу балдею с людей, все данные тупо на диске С без единого бакапа, спрашиваю сис.админ есть, отвечают что есть, но бакапы настроить не может потому что в 1С 8.2 и два не шарит, шарит только в 7.7
Изменено: Сергей Жало - 12.04.2016 16:31:10
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 15:51:46
Цитата
santy написал:
pub &sec key
Так файлы должны называться?
На мыло выслал, лог сюда прикрепил
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 13:33:32
Цитата
santy написал:
похоже GnuPG используют при шифровании.

# off=0 ctb=84 tag=1 hlen=2 plen=140
:pubkey enc packet: version 3, algo 1, keyid 3DEC2AC53ADBF810
   data: [1023 bits]
# off=142 ctb=d2 tag=18 hlen=2 plen=0 partial new-ctb
:encrypted data packet:
   length: unknown
   mdc_method: 2

File: X:\active\shifr\исследовать\730\virus\v1.2.3_NewInConfig_ru.htm.id-{815F73E7}_repairfiles365@gmail_com
-----------
откуда словили? если есть вложение из электронной почты, перешлите в почту  [email protected]  можно в архиве с паролем infected
Говорят что нечего не запускали. нечего не качали, работали с бухгалтерской программой, когда пошло шифрование был запущен процес gpg.exe и keygen.exe, есть карантин который делал через avz может его кинуть?

Я успел сделать бакап основных данных кроме флешки, сидел вечером колупался и эти два процеса уидел уже когда рабочий стол начал шифроваться около 23:00, вот лоиг МВАМ, могу еще скинуть файл с расширением gpg
Изменено: Сергей Жало - 12.04.2016 14:04:24
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 13:16:24
Словили сегодня шифровщика, кто что запускал не понятно, зашифровал все что на флешке, диске Д, и кусок диска С. Шифровал все что связано с бухами, ключи банка, электронные подписи, программу для отрпавки отчетов. Такое чувство что я его прервал когда начал базы 1С обновлять.
В архиве пару файлов, пароль virus. Есть варианты расшифровать?
nod32 его не видет, файлы шифруются.
virus.rar зашифрованный файл, пароль virus.
В начале файл становить с расширением gpg, потом он удаляется и вместо него появляется другой

С помоью МВАМ нашел PUP.Optional.PassView Файл D:\Install\!totalcmd\plugins\exe\NhT\PassMaker.exe
Изменено: Сергей Жало - 22.06.2017 09:13:46
Перейти
Пред. 1 2 3 4 След.