Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано Filecoder.Q , Filecoder.Q / Xorist

RSS
 
Ivan22
Ivan22
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 10.02.2012
Размещено 10.02.2012 13:31:18
стоит ESET Smart Security Business Edition (EAV-17128057) операционка WinXP со всеми последними обновлениями (обновляется регулярно)
вчера перестали на нескольких компьютерах запускаться файлы офиса, т.к. они оказались переименованы и зашифрованы, +появился файл
ДЕБЛОКИРОВКА.txt с текстом

Внимание! На вашем компьютере,обнаружено нелицензионное
программное обеспечение.Доступ к вашим файлам запрещен !
Чтобы восстановить свои файлы и получить к ним доступ,
свяжитесь с нашим отделом безопасности  [email protected]
Идентификатор  29523456467
У вас есть 5 попыток ввода кода. При превышении этого
количества, все данные необратимо испортятся. Будьте
внимательны при вводе кода!

файлы имеют вид *.xls.MICROSOFT
также пострадали файла *.rar, *.pdf, *.doc
файл ДЕБЛОКИРОВКА.txt имеется в каждой вложенной папке

вот пример файлов
http://files.mail.ru/L4KZ1K
Изменено: Ivan22 - 19.01.2017 07:08:13

Ответы

Пред. 1 ... 5 6 7 8 9 ... 21 След.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 20.02.2012 21:13:56
вспоминать где подцепили вирус, пройти туда осторожно и попробовать скачать его еще раз
Правильно заданный вопрос - это уже половина ответа
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 20.02.2012 21:14:41
kurisev-1
Попробуем найти файл вируса.
Выполните скрипт в uVS.
Запускаем uVS еще раз, меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

adddir %Sys32%
adddir .\
CRIMG


Новый образ будет создан автоматически. ( время создание порядка 10-ти минут ) :!:
Получившейся Фал GSRHOST-02_2012-02-20_.TXT - запаковать в архив и прикрепить к данной теме !
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 20.02.2012 21:17:54
RP55 RP55,
сколько я встречал таких шифровальщиков - они все самоуничтожаются после выполнения своего дела. и никуда не копируются - запустил с диска D - он оттуда и удалится
так что искать откуда изначально файл появился в системе
Правильно заданный вопрос - это уже половина ответа
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 20.02.2012 21:20:25
Цитата
Арвид пишет:
RP55 RP55, сколько я встречал таких шифровальщиков - они все самоуничтожаются после выполнения своего дела. и никуда не копируются - запустил с диска D - он оттуда и удалится
Я тоже так думаю - но попробовать можно небольшой шанс есть.
Кроме того - там и другие вирусы могут быть.
Стоит посмотреть.
 
kurisev-1
kurisev-1
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 20.02.2012
Размещено 20.02.2012 21:38:47
вот лог
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 20.02.2012 21:45:09
kurisev-1
Вы прикрепили отчёт.
Нужен Образ: GSRHOST-02_2012-02-20_20-24-31Zip или rar архив.
* Просто в ряде случаев архивация происходит автоматически - а в ряде случаев нет.
** Размер файла в архиве будет порядка 400 - 500 Kb
Изменено: RP55 RP55 - 08.07.2016 07:15:09
 
kurisev-1
kurisev-1
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 20.02.2012
Размещено 20.02.2012 22:01:10
простите, вот он!
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 20.02.2012 22:02:24
Да уже зря все, не надо было скрипт в UVS выполнять...
Вирус был во временной директории.

Проверяйте почту ищите оригинал, иначе помощи не будет.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 20.02.2012 22:16:40
kurisev-1
Цитата
zloyDi пишет:
Вирус был во временной директории.

Вирусов действительно - не найдено.
Но поискать всё равно стоило !
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 20.02.2012 23:10:27
А с чего Вы решили что ЮВС его увидит? И что значит стоило поискать?
Вирус прописывает данные в реестре, вот по ним его и можно было обнаружить, но уже поздно...

Я прошу более в данном разделе помощь не оказывать.
 
Пред. 1 ... 5 6 7 8 9 ... 21 След.
Читают тему