Форум esetnod32.ru [тема: protectdata@inbox.com] http://forum.esetnod32.ru Новое в теме protectdata@inbox.com форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Tue, 28 Apr 2026 03:58:26 +0300 protectdata@inbox.com protectdata@inbox.com файлы зашифрованы protectdata@inbox.com в форуме Обнаружение вредоносного кода и ложные срабатывания.
1. на вашем компе шифратор прекратил свою работу, поэтому риска нового шифрования нет.
2. если есть общие папки, которые доступны для записи другим пользователям в вашей сети, тогда возможно шифрование повторится, в случае если другой комп будет заражен подобным шифровальщиком.
рекомендации будут такие:
(можете переслать этот текст вашим коллегам)

Уважаемые руководители и сотрудники!

По прежнему (и далее, скорее всего будет еще более) актуальна проблема заражения локальных и сетевых ресурсов шифраторами.

принцип работы шифраторов:
приходит письмо(составленное по всем правилам соц_инженерии), на первый взгляд будто действительно адресовано Вам и от доверенного (или известного) адресата.
например с таким содержанием:
ознакомьтесь с архивом документации по судебному иску в качестве свидетеля по делу.... и т.п.

Пользователь добавил изображение
сообщение содержит архивное вложение, как правило(rar или zip)
например: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №233669.zip

в архиве может быть документ с длинным наименованием и видимой иконкой (соответственно doc, pdf, xls и др),

на самом деле, в архиве может быть вложен исполняемый файл с расширением: .bat, .cmd,.exe, .com, .js, .hta, .pif, .scr

иногда в письме может быть добавлена ссылка на файл, который необходимо выкачать из сети.
---------------
если уж вы решили все таки запустить (неизвестный вам) исполняемый файл из архива, прежде всего
проверьте его антивирусом, но лучше всего выполнить комплексную проверку на http://virustotal.com
---------------

при открытии этого документа из вложенного архива, (или из архива, скаченного по ссылке из сети)
на самом деле запускается исполняемая программа (с указанным расширением), которая выкачивает из сети необходимые файлы
и запускает процесс шифрования ваших документов.
при этом шифруются документы (doc, docx, xls, xlsx, pdf, jpg, и др.) на вашем персональном компьютере, а так же на всех сетевых и съемных дисках,
которые будут подключены в данный момент.
------------

чтобы этот процесс не случился на вашем компьютере, обратите внимание на следующие моменты:

1. на вашем компьютере обязательно должен быть установлен антивирус.
(если не установлен антивирус - сообщите в вашу техническую поддержку или администратору.)

2. антивирус должен быть в актуальном состоянии, с регулярным обновлением антивирусных баз;

3. вложенные документы, которые приходят в почту (pdf, doc, xls, jpg) не могут быть малого размера, даже в архиве.
4. документы не могут иметь расширение .bat, .cmd,.exe, .com, .js, .hta, .pif, .scr
5. не пересылайте это сообщение вашим коллегам с просьбой посмотреть что там за вложение, которое не открывается на вашем компьютере.
перешлите данное сообщение для проверки в администратору

6. не забываем классику. (песенку персонажей Алисы и Базилио из "Приключения Буратино";)

Пользователь добавил изображение

7. документы зашифрованные (подобными методами) скорее всего не получится расшифровать. (или придется ждать недели и месяцы, пока будет найдено решение по расшифровке).
Если не будет копий ваших документов, вы можете потерять результаты вашей работы в течение нескольких лет.
А значит регулярно выполняйте создание копий ваших документов и храните их во возможности отдельно от вашего компьютера.

8. если вы обнаружили, что ваши файлы не открываются и имеют странное и длинное расширение, то самое опасное уже произошло, и процесс шифрования запущен.
  в этом случае, необходимо сразу выключить компьютер, сообщить об этом (инциденте) администраторам. и ждать проверки вашей системы.
29.01.2015 08:32:04, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11579/message82102/ http://forum.esetnod32.ru/messages/forum6/topic11579/message82102/ Thu, 29 Jan 2015 08:32:04 +0300 Обнаружение вредоносного кода и ложные срабатывания protectdata@inbox.com protectdata@inbox.com файлы зашифрованы protectdata@inbox.com в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо,  все выполнила.Заставка ушла, новые файлы пока не поражаются. Есть ли риск дальнейшего поражения файлов? Заражены были и сетевые папки. Какие можете дать рекомендации? Спасибо за содействие.
29.01.2015 07:22:09, Виктория Лучина.]]> http://forum.esetnod32.ru/messages/forum6/topic11579/message82100/ http://forum.esetnod32.ru/messages/forum6/topic11579/message82100/ Thu, 29 Jan 2015 07:22:09 +0300 Обнаружение вредоносного кода и ложные срабатывания protectdata@inbox.com protectdata@inbox.com файлы зашифрованы protectdata@inbox.com в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, заставку надо еще удалить, чтобы не пугала, и не садилась на рабочий стол.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

====code==== 
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FOXMAIL.BMP
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FOXMAIL.BMP
CZOO
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru  
------------
все архивы ZOO которые созданы в программе uVS отправьте в почту, сюда
support@esetnod32.ru
29.01.2015 05:47:20, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11579/message82097/ http://forum.esetnod32.ru/messages/forum6/topic11579/message82097/ Thu, 29 Jan 2015 05:47:20 +0300 Обнаружение вредоносного кода и ложные срабатывания protectdata@inbox.com protectdata@inbox.com файлы зашифрованы protectdata@inbox.com в форуме Обнаружение вредоносного кода и ложные срабатывания.
Все ваши рекомендации выполнила. Как понять, что система чиста? новый образ автозапуска http://rghost.ru/6vDnqZ7Qj архив ZOO http://rghost.ru/8cF89cvJF
29.01.2015 02:33:17, Виктория Лучина.]]> http://forum.esetnod32.ru/messages/forum6/topic11579/message82096/ http://forum.esetnod32.ru/messages/forum6/topic11579/message82096/ Thu, 29 Jan 2015 02:33:17 +0300 Обнаружение вредоносного кода и ложные срабатывания protectdata@inbox.com protectdata@inbox.com файлы зашифрованы protectdata@inbox.com в форуме Обнаружение вредоносного кода и ложные срабатывания.
по очистке системы
1.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

====code==== 
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\АРХИВНАЯ ДОКУМЕНТАЦИЯ  О ПРИВЛЕЧЕНИИ  В КАЧЕСТВЕ СВИДЕТЕЛЯ ПО ГРАЖДАНСКОМУ ДЕЛУ №673265.EXE
addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF428CA953E75FBA95E85FAA7A049F46163BF4FEE2E8370CDAB058289EB288C70675F8 8 Win32/Filecoder.CQ [ESET-NOD32]

;------------------------autoscript---------------------------

chklst
delvir

delnfr
;-------------------------------------------------------------

czoo
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru  
------------
2. по расшифровке данных
напишите сообщение в support@esetnod32.ru
добавьте в сообщение несколько зашифрованных файлов, а так же архив ZOO
+
можно указать ссылку на эту тему
28.01.2015 14:33:54, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11579/message82079/ http://forum.esetnod32.ru/messages/forum6/topic11579/message82079/ Wed, 28 Jan 2015 14:33:54 +0300 Обнаружение вредоносного кода и ложные срабатывания protectdata@inbox.com protectdata@inbox.com файлы зашифрованы protectdata@inbox.com в форуме Обнаружение вредоносного кода и ложные срабатывания.
На электронную почту пришло письмо - "повестка" в суд, при открытии вложенного файла произошло заражение всех документов. Все документы имеют расширение  protectdata@indox. Что делать? Образ автозапуска http://rghost.ru/6pD2TWbLv
28.01.2015 13:40:25, Виктория Лучина.]]> http://forum.esetnod32.ru/messages/forum6/topic11579/message82076/ http://forum.esetnod32.ru/messages/forum6/topic11579/message82076/ Wed, 28 Jan 2015 13:40:25 +0300 Обнаружение вредоносного кода и ложные срабатывания