[QUOTE]santy написал:
Microsoft Ransom:Win32/Genasom
но информации пока мало о нем.[/QUOTE]
Хотелось бы периодически получать от Вас информацию, в какой стадии находится борьба между вашей антивирусной лабораторией и этим вирусом.
А то создаётся впечатление, что сигнатуры просто добавили в антивирусную базу, и на этом успокоились.
Что делать тем, у кого вирус зашифровал данные, жизненно важные для работы организации? Как лечить компьютеры и восстанавливать базы 1С?

[QUOTE]santy написал:
на xtbl не похоже:
судя по hex конечный блок повторяется во всех файлах с одним ID, за исключением заголовка файла.

6B00650079006700700067002E00720061007200000030303656474C50CC­ ­9C69FB4CD37B6CC8B78E0CD4CCF10A0047351AEFFAC1C0E8A81390EE484­1 ­72438A41080000000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAF­F ­72F767ED5C1E43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72­D ­385765735BA6118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EF­D ­A5736E1695612402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53­E ­93D8D5579E22D3C6CDB2D113F693736A16000000

72006500610064006D0065002E00740078007400000030303656474C50CC­ ­9C69FB4CD37B6CC8B78E0CD4CCF10A004735589FDEF8FF6105F8DAD13CA­7 ­4107F0DC070000000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAF­F ­72F767ED5C1E43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72­D ­385765735BA6118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EF­D ­A5736E1695612402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53­E ­93D8D5579E22D3C6CDB2D113F693736A16000000

69006E0066002E00740078007400000030303656474C50CC9C69FB4CD37B­ ­6CC8B78E0CD4CCF10A004735AD2F9B44EB3C3BDDAB8EB04D3451DAB9090­0 ­00000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAFF72F767ED5C1­E ­43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72D385765735BA­6 ­118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EFDA5736E16956­1 ­2402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53E93D8D5579E2­2 ­D3C6CDB2D113F693736A10000000[/QUOTE]
попалось в сети:
Трояны-вымогатели (ransomware) типа KEYHolder, CryptoLocker и CryptoWall  получили широкое распространение в последнее время. Некоторые из них  сильно лажают в плане криптографии, так что файлы можно расшифровать без всякого выкупа.
Например, троян-вымогатель DirCrypt записывает ключ RC4 в конец каждого зашифрованного файла.

Очень похоже.

Кстати, в моих зашифрованных файлах тоже присутствуют одинаковые сигнатуры в конце.

[QUOTE]santy написал:
Олег,
этот файл был в автозапуске, и после перезагрузки мог выполнить дошифрование новых файлов.
%Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
на момент создания вами образа автозапуска он был уже удален.
-----------
восстановление документов имеет смысл делать только после полной очистки системы.

ок, ждем ответ вирлаба.[/QUOTE]
Интересное кино получается. Антивирус NOD32 всё-таки опознал в этом файле трояна и переместил его в карантин. Так почему же он не запретил его запуск в тот момент, когда бухгалтер тыкнула по нему в письме? В чём тогда смысл антивируса, если он разрешает запускать заражённые программы?

[QUOTE]santy написал:
Олег,
этот файл был в автозапуске, и после перезагрузки мог выполнить дошифрование новых файлов.
%Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
на момент создания вами образа автозапуска он был уже удален.
-----------
восстановление документов имеет смысл делать только после полной очистки системы.

ок, ждем ответ вирлаба.[/QUOTE]
Если быть совсем точным, то указанный файл практически сразу был помещён антивирусом в карантин, а шифрованием скорее всего занимались "потомки" этой гадости, сидевшие в одной из папок C:\Users\1\AppData\Roaming\Microsoft\Installer\{*******}\ и тоже подключенные к автозапуску.

Я понимаю, что процесс исследования новых вирусов небыстрый, но хотелось бы узнать хоть какую-то информацию - есть смысл надеяться, или уже сносить всё и ставить чистую систему?

[QUOTE]santy написал:
Олег,
выполните скрипт очистки, без перезагрузки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE]
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE

regt 27
deltmp
delnfr
;-------------------------------------------------------------

QUIT
[/CODE]
без перезагрузки, пишем о старых и новых проблемах.

+
добавьте выполните этот reg файл, этот ключ будет защищать от запуска исполняемых файлов из архивов. для win7
[URL=http://rghost.ru/7GFPTJtyv]http://rghost.ru/7GFPTJtyv[/URL]
для XP
[URL=http://rghost.ru/6QNlh54PX]http://rghost.ru/6QNlh54PX[/URL] [/QUOTE]
Выполнил скрипт. судя по тому, что при копировании файлов в каталоги с базой 1С шифрование прекратилось, скорее всего автозапуск троянов больше не происходит. Написал вчера письмо в техподдержку, приложил все подозрительные файлы, несколько зашифрованных файлов и их чистые копии. Пока что ответа нет, сижу, жду.
Теневых копий нет, бэкапов теперь тоже нет, потому как при попытке восстановить базы вирус зашифровал и их тоже :(

[QUOTE]santy написал:
добавьте образ автозапуска системы с рабочего стола
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

или из под Winpe&uVS
[URL=http://chklst.ru/forum/discussion/61/winpeuvs]http://chklst.ru/forum/discussion/61/winpeuvs[/URL]
+
для таких бухгалтеров надо  настроить политики ограничения запуска исполняемых файлов из архивов.[/QUOTE]
насчет политики согласен, ещё бы знать как это сделать...
uVS нашла четыре явно вирусных файла, ничего лечить/удалять не стал, жду дальнейших инструкций.

Похоже, у нас такая же проблема.
Файлы переименовываются в *[URL=mailto:[email protected]][email protected][/URL], шифруются только базы 1С.
Запрос в техподдержку через форму уже отправили, нашли чистые копии нескольких зашифрованных файлов. Сейчас компьютеры стоят выключенные, что дальше делать, не знаю. Надо как-то побороть заразу, она ещё сидит в памяти и шифрует файлы при попытке восстановить из копий.
Некоторое время назад антивирус (NOD32) не хотел обновляться, позавчера наконец-то починили его (ввели логин и пароль, присланный от техподдержки), а вчера бухгалтер умудрилась запустить вложение из письма якобы из налоговой, и угробить все базы 1С.
Подскажите, как быть дальше?