Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

[ Закрыто ] Зашифрованы файлы

1 2 След.
RSS
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 29.04.2015 11:26:46
Alexey Klochko,
1. удалите все вложенные файлы с форума
2. добавьте в архив несколько зашифрованных файлов и выложите на http://rghost.ru
и добавьте ссылку на данный архив здесь.
3. добавьте образ автозапуска зараженной системы.
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
Alexey Klochko
Alexey Klochko
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 29.04.2015
Размещено 29.04.2015 13:07:11
Ссылка на файлы
Образ
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 29.04.2015 16:03:30
по образу все чисто,
добавьте ссылки на зашифрованные файлы
[ Как создать образ автозапуска? ]
 
Alexey Klochko
Alexey Klochko
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 29.04.2015
Размещено 29.04.2015 17:05:52
первая ссылка там зашифрованные файлы...
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 30.04.2015 05:38:56
напишите подробнее о характере заражения.
какие файлы были зашифрованы,
[ Как создать образ автозапуска? ]
 
Alexey Klochko
Alexey Klochko
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 29.04.2015
Размещено 30.04.2015 09:46:49
Архивы повреждены, текстовые файлы вида открываются но шифрованы( к примеру те что я скидывал ) начинаются с FcF, системный диск не шифрован, только локальные. Файлы 1с7 которые использовались пользователем( сервер терминальный с 1с7) одной базы зашифровались частично. ЕХЕ-файлы выкидывают ошибку "NTVDM has encoutered hard error" при открытии.

Вирусня пролезла через rdp сессию, на сервере стоит nod 4 business, его он выключил, подобрал пароль к учётке administrator(1234qwer) , создал доменную учётку с правами администратора домена, начал закачивать и устанавливать остальную вирусню, попутно вещать в сеть искать открытые rdp и лезть туда же, пролез на другой сервер там где стоит nod 5 endpoint, но был сразу же заблокирован.
Могу дать rdp.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 30.04.2015 09:52:58
судя по файлам, которые в архиве по ссылке - расширения не были изменены. хотя файлы сами повреждены или зашифрованы.
[ Как создать образ автозапуска? ]
 
Alexey Klochko
Alexey Klochko
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 29.04.2015
Размещено 30.04.2015 09:58:28
Так и есть, расширения не менялись, менялось содержимое( шифровалось, судя по всему, все файлы начинаются одинаково)
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 30.04.2015 10:42:02
Код
FcF
FcF

отправьте в вирлаб [email protected] файлы в архиве, если вы являетесь лицензионным пользователем ESET
[ Как создать образ автозапуска? ]
 
Alexey Klochko
Alexey Klochko
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 29.04.2015
Размещено 30.04.2015 11:07:03
Выслал,файлы вирусов могу восстановить и прислать, делать?
 
1 2 След.
Читают тему