Размещено 28.01.2015 13:40:25
На электронную почту пришло письмо - "повестка" в суд, при открытии вложенного файла произошло заражение всех документов. Все документы имеют расширение protectdata@indox. Что делать? Образ автозапуска
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
[email protected] , файлы зашифрованы [email protected]
1
Размещено 28.01.2015 14:33:54
по очистке системы
1.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту ,
------------
2. по расшифровке данных
напишите сообщение в
добавьте в сообщение несколько зашифрованных файлов, а так же архив ZOO
+
можно указать ссылку на эту тему
1.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\АРХИВНАЯ ДОКУМЕНТАЦИЯ О ПРИВЛЕЧЕНИИ В КАЧЕСТВЕ СВИДЕТЕЛЯ ПО ГРАЖДАНСКОМУ ДЕЛУ №673265.EXE addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF428CA953E75FBA95E85FAA7A049F46163BF4FEE2E8370CDAB058289EB288C70675F8 8 Win32/Filecoder.CQ [ESET-NOD32] ;------------------------autoscript--------------------------- chklst delvir delnfr ;------------------------------------------------------------- czoo restart |
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту ,
------------
2. по расшифровке данных
напишите сообщение в
добавьте в сообщение несколько зашифрованных файлов, а так же архив ZOO
+
можно указать ссылку на эту тему
Размещено 29.01.2015 02:33:17
Все ваши рекомендации выполнила. Как понять, что система чиста? новый образ автозапуска архив ZOO
Размещено 29.01.2015 05:47:20
да, заставку надо еще удалить, чтобы не пугала, и не садилась на рабочий стол.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту ,
------------
все архивы ZOO которые созданы в программе uVS отправьте в почту, сюда
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FOXMAIL.BMP delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FOXMAIL.BMP CZOO restart |
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту ,
------------
все архивы ZOO которые созданы в программе uVS отправьте в почту, сюда
Размещено 29.01.2015 07:22:09
Спасибо, все выполнила.Заставка ушла, новые файлы пока не поражаются. Есть ли риск дальнейшего поражения файлов? Заражены были и сетевые папки. Какие можете дать рекомендации? Спасибо за содействие.
Размещено 29.01.2015 08:32:04
1. на вашем компе шифратор прекратил свою работу, поэтому риска нового шифрования нет.
2. если есть общие папки, которые доступны для записи другим пользователям в вашей сети, тогда возможно шифрование повторится, в случае если другой комп будет заражен подобным шифровальщиком.
рекомендации будут такие:
(можете переслать этот текст вашим коллегам)
Уважаемые руководители и сотрудники!
По прежнему (и далее, скорее всего будет еще более) актуальна проблема заражения локальных и сетевых ресурсов шифраторами.
принцип работы шифраторов:
приходит письмо(составленное по всем правилам соц_инженерии), на первый взгляд будто действительно адресовано Вам и от доверенного (или известного) адресата.
например с таким содержанием:
ознакомьтесь с архивом документации по судебному иску в качестве свидетеля по делу.... и т.п.
сообщение содержит архивное вложение, как правило(rar или zip)
например: Архивная документация о привлечении в качестве свидетеля по гражданскому делу №233669.zip
в архиве может быть документ с длинным наименованием и видимой иконкой (соответственно doc, pdf, xls и др),
на самом деле, в архиве может быть вложен исполняемый файл с расширением: .bat, .cmd,.exe, .com, .js, .hta, .pif, .scr
иногда в письме может быть добавлена ссылка на файл, который необходимо выкачать из сети.
---------------
если уж вы решили все таки запустить (неизвестный вам) исполняемый файл из архива, прежде всего
проверьте его антивирусом, но лучше всего выполнить комплексную проверку на
---------------
при открытии этого документа из вложенного архива, (или из архива, скаченного по ссылке из сети)
на самом деле запускается исполняемая программа (с указанным расширением), которая выкачивает из сети необходимые файлы
и запускает процесс шифрования ваших документов.
при этом шифруются документы (doc, docx, xls, xlsx, pdf, jpg, и др.) на вашем персональном компьютере, а так же на всех сетевых и съемных дисках,
которые будут подключены в данный момент.
------------
чтобы этот процесс не случился на вашем компьютере, обратите внимание на следующие моменты:
1. на вашем компьютере обязательно должен быть установлен антивирус.
(если не установлен антивирус - сообщите в вашу техническую поддержку или администратору.)
2. антивирус должен быть в актуальном состоянии, с регулярным обновлением антивирусных баз;
3. вложенные документы, которые приходят в почту (pdf, doc, xls, jpg) не могут быть малого размера, даже в архиве.
4. документы не могут иметь расширение .bat, .cmd,.exe, .com, .js, .hta, .pif, .scr
5. не пересылайте это сообщение вашим коллегам с просьбой посмотреть что там за вложение, которое не открывается на вашем компьютере.
перешлите данное сообщение для проверки в администратору
6. не забываем классику. (песенку персонажей Алисы и Базилио из "Приключения Буратино"
7. документы зашифрованные (подобными методами) скорее всего не получится расшифровать. (или придется ждать недели и месяцы, пока будет найдено решение по расшифровке).
Если не будет копий ваших документов, вы можете потерять результаты вашей работы в течение нескольких лет.
А значит регулярно выполняйте создание копий ваших документов и храните их во возможности отдельно от вашего компьютера.
8. если вы обнаружили, что ваши файлы не открываются и имеют странное и длинное расширение, то самое опасное уже произошло, и процесс шифрования запущен.
в этом случае, необходимо сразу выключить компьютер, сообщить об этом (инциденте) администраторам. и ждать проверки вашей системы.
2. если есть общие папки, которые доступны для записи другим пользователям в вашей сети, тогда возможно шифрование повторится, в случае если другой комп будет заражен подобным шифровальщиком.
рекомендации будут такие:
(можете переслать этот текст вашим коллегам)
Уважаемые руководители и сотрудники!
По прежнему (и далее, скорее всего будет еще более) актуальна проблема заражения локальных и сетевых ресурсов шифраторами.
принцип работы шифраторов:
приходит письмо(составленное по всем правилам соц_инженерии), на первый взгляд будто действительно адресовано Вам и от доверенного (или известного) адресата.
например с таким содержанием:
ознакомьтесь с архивом документации по судебному иску в качестве свидетеля по делу.... и т.п.
сообщение содержит архивное вложение, как правило(rar или zip)
например: Архивная документация о привлечении в качестве свидетеля по гражданскому делу №233669.zip
в архиве может быть документ с длинным наименованием и видимой иконкой (соответственно doc, pdf, xls и др),
на самом деле, в архиве может быть вложен исполняемый файл с расширением: .bat, .cmd,.exe, .com, .js, .hta, .pif, .scr
иногда в письме может быть добавлена ссылка на файл, который необходимо выкачать из сети.
---------------
если уж вы решили все таки запустить (неизвестный вам) исполняемый файл из архива, прежде всего
проверьте его антивирусом, но лучше всего выполнить комплексную проверку на
---------------
при открытии этого документа из вложенного архива, (или из архива, скаченного по ссылке из сети)
на самом деле запускается исполняемая программа (с указанным расширением), которая выкачивает из сети необходимые файлы
и запускает процесс шифрования ваших документов.
при этом шифруются документы (doc, docx, xls, xlsx, pdf, jpg, и др.) на вашем персональном компьютере, а так же на всех сетевых и съемных дисках,
которые будут подключены в данный момент.
------------
чтобы этот процесс не случился на вашем компьютере, обратите внимание на следующие моменты:
1. на вашем компьютере обязательно должен быть установлен антивирус.
(если не установлен антивирус - сообщите в вашу техническую поддержку или администратору.)
2. антивирус должен быть в актуальном состоянии, с регулярным обновлением антивирусных баз;
3. вложенные документы, которые приходят в почту (pdf, doc, xls, jpg) не могут быть малого размера, даже в архиве.
4. документы не могут иметь расширение .bat, .cmd,.exe, .com, .js, .hta, .pif, .scr
5. не пересылайте это сообщение вашим коллегам с просьбой посмотреть что там за вложение, которое не открывается на вашем компьютере.
перешлите данное сообщение для проверки в администратору
6. не забываем классику. (песенку персонажей Алисы и Базилио из "Приключения Буратино"
7. документы зашифрованные (подобными методами) скорее всего не получится расшифровать. (или придется ждать недели и месяцы, пока будет найдено решение по расшифровке).
Если не будет копий ваших документов, вы можете потерять результаты вашей работы в течение нескольких лет.
А значит регулярно выполняйте создание копий ваших документов и храните их во возможности отдельно от вашего компьютера.
8. если вы обнаружили, что ваши файлы не открываются и имеют странное и длинное расширение, то самое опасное уже произошло, и процесс шифрования запущен.
в этом случае, необходимо сразу выключить компьютер, сообщить об этом (инциденте) администраторам. и ждать проверки вашей системы.
Изменено: santy - 29.01.2015 09:53:24
1
Читают тему