protectdata@inbox.com , файлы зашифрованы protectdata@inbox.com

1
RSS
На электронную почту пришло письмо - "повестка" в суд, при открытии вложенного файла произошло заражение всех документов. Все документы имеют расширение  protectdata@indox. Что делать? Образ автозапуска http://rghost.ru/6pD2TWbLv
по очистке системы
1.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\АРХИВНАЯ ДОКУМЕНТАЦИЯ  О ПРИВЛЕЧЕНИИ  В КАЧЕСТВЕ СВИДЕТЕЛЯ ПО ГРАЖДАНСКОМУ ДЕЛУ №673265.EXE
addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF428CA953E75FBA95E85FAA7A049F46163BF4FEE2E8370CDAB058289EB288C70675F8 8 Win32/Filecoder.CQ [ESET-NOD32]

;------------------------autoscript---------------------------

chklst
delvir

delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru  
------------
2. по расшифровке данных
напишите сообщение в support@esetnod32.ru
добавьте в сообщение несколько зашифрованных файлов, а так же архив ZOO
+
можно указать ссылку на эту тему
Все ваши рекомендации выполнила. Как понять, что система чиста? новый образ автозапуска http://rghost.ru/6vDnqZ7Qj архив ZOO http://rghost.ru/8cF89cvJF
да, заставку надо еще удалить, чтобы не пугала, и не садилась на рабочий стол.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FOXMAIL.BMP
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FOXMAIL.BMP
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru  
------------
все архивы ZOO которые созданы в программе uVS отправьте в почту, сюда
support@esetnod32.ru
Спасибо,  все выполнила.Заставка ушла, новые файлы пока не поражаются. Есть ли риск дальнейшего поражения файлов? Заражены были и сетевые папки. Какие можете дать рекомендации? Спасибо за содействие.
1. на вашем компе шифратор прекратил свою работу, поэтому риска нового шифрования нет.
2. если есть общие папки, которые доступны для записи другим пользователям в вашей сети, тогда возможно шифрование повторится, в случае если другой комп будет заражен подобным шифровальщиком.
рекомендации будут такие:
(можете переслать этот текст вашим коллегам)

Уважаемые руководители и сотрудники!

По прежнему (и далее, скорее всего будет еще более) актуальна проблема заражения локальных и сетевых ресурсов шифраторами.

принцип работы шифраторов:
приходит письмо(составленное по всем правилам соц_инженерии), на первый взгляд будто действительно адресовано Вам и от доверенного (или известного) адресата.
например с таким содержанием:
ознакомьтесь с архивом документации по судебному иску в качестве свидетеля по делу.... и т.п.


сообщение содержит архивное вложение, как правило(rar или zip)
например: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №233669.zip

в архиве может быть документ с длинным наименованием и видимой иконкой (соответственно doc, pdf, xls и др),

на самом деле, в архиве может быть вложен исполняемый файл с расширением: .bat, .cmd,.exe, .com, .js, .hta, .pif, .scr

иногда в письме может быть добавлена ссылка на файл, который необходимо выкачать из сети.
---------------
если уж вы решили все таки запустить (неизвестный вам) исполняемый файл из архива, прежде всего
проверьте его антивирусом, но лучше всего выполнить комплексную проверку на http://virustotal.com
---------------

при открытии этого документа из вложенного архива, (или из архива, скаченного по ссылке из сети)
на самом деле запускается исполняемая программа (с указанным расширением), которая выкачивает из сети необходимые файлы
и запускает процесс шифрования ваших документов.
при этом шифруются документы (doc, docx, xls, xlsx, pdf, jpg, и др.) на вашем персональном компьютере, а так же на всех сетевых и съемных дисках,
которые будут подключены в данный момент.
------------

чтобы этот процесс не случился на вашем компьютере, обратите внимание на следующие моменты:

1. на вашем компьютере обязательно должен быть установлен антивирус.
(если не установлен антивирус - сообщите в вашу техническую поддержку или администратору.)

2. антивирус должен быть в актуальном состоянии, с регулярным обновлением антивирусных баз;

3. вложенные документы, которые приходят в почту (pdf, doc, xls, jpg) не могут быть малого размера, даже в архиве.
4. документы не могут иметь расширение .bat, .cmd,.exe, .com, .js, .hta, .pif, .scr
5. не пересылайте это сообщение вашим коллегам с просьбой посмотреть что там за вложение, которое не открывается на вашем компьютере.
перешлите данное сообщение для проверки в администратору

6. не забываем классику. (песенку персонажей Алисы и Базилио из "Приключения Буратино";)



7. документы зашифрованные (подобными методами) скорее всего не получится расшифровать. (или придется ждать недели и месяцы, пока будет найдено решение по расшифровке).
Если не будет копий ваших документов, вы можете потерять результаты вашей работы в течение нескольких лет.
А значит регулярно выполняйте создание копий ваших документов и храните их во возможности отдельно от вашего компьютера.

8. если вы обнаружили, что ваши файлы не открываются и имеют странное и длинное расширение, то самое опасное уже произошло, и процесс шифрования запущен.
  в этом случае, необходимо сразу выключить компьютер, сообщить об этом (инциденте) администраторам. и ждать проверки вашей системы.
Изменено: santy - 29.01.2015 09:53:24
1
Читают тему (гостей: 1)