Зашифрованы и переименованы файлы. В архиве пример файла до и после. В автозагрузке висел ярлык на файл с длинным именем(в архиве) На рабочем столе пользователя был подозрительный файл (вроде "r" тоже в архиве)
@Егор Денисов, это похоже на RotoCrypt, возможно не безнадежный случай, хотя и неизвестно пока есть расшифровка по нему или нет. когда было шифрование? есть ли записка или файл о выкупе? если есть такой файл, так же добавьте его на форум. + если возможно, сделайте образ автозапуска системы из зашифрованной системы, можно из безопасного режима системы, или из под Winpe&uVS
santy написал: @Егор Денисов, это похоже на RotoCrypt, возможно не безнадежный случай, хотя и неизвестно пока есть расшифровка по нему или нет. когда было шифрование? есть ли записка или файл о выкупе? если есть такой файл, так же добавьте его на форум.
К сожалению такого файла не было. Списывался по адресу почты в имени файла. "Взлом" произошел скорее всего в 0:15 сегодня одного из пользователей сервера(ограниченного), что соответственно привело к заражению файлов( не всех, не успел) в шарах локальных компов, но не самого сервера.
Полное имя C:\DOCUMENTS AND SETTINGS\username\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\NCLUJGPW.EXE Имя файла NCLUJGPW.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
Удовлетворяет критериям RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
Сохраненная информация на момент создания образа Статус в автозапуске [Запускался неявно или вручную] File_Id 54514FCD23000 Linker 7.0 Размер 134656 байт Создан 01.11.2016 в 10:32:21 Изменен 31.10.2016 в 00:15:24
TimeStamp 29.10.2014 в 20:36:29 EntryPoint + OS Version 5.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись проверка не производилась
Доп. информация на момент обновления списка SHA1 AF846503643705A6BF9FD8A3CF0CA933CA7049FA MD5 E809C35B5D8C2CECE9A6D895873D98F4
Ссылки на объект Ссылка C:\DOCUMENTS AND SETTINGS\username\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VKVYJETS.LNK
Ссылка HKEY_USERS\S-1-5-21-2052111302-1383384898-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\VKvYJeTs VKvYJeTs "C:\Documents and Settings\username\Local Settings\Application Data\Mozilla\nclujgpW.exe" SHORTCUT C:\DOCUMENTS AND SETTINGS\username\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VKVYJETS.LNK