Размещено 08.04.2016 08:27:19
| Цитата |
|---|
| santy написал: работает или нет данный шифратор вы можете увидеть по наличию зашифрованных файлов на дисках по наличию в памяти вот такого процесса csrss.exe, запущенного от имени учетной записи пользователя. по наличию в автозапуске такой записи: HKEY_USERS\S-1-5-21-1993962763-1390067357-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE "C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe" но алгоритм может быть такой. запуститься и шифровать может файл с любым именем, и висеть в памяти, но свою копию он создает в виде CSRSS.EXE и прописывает ее в автозапуск, на тот случай если будет перезагрузка, и шифрование еще не завершилось. тело шифратора запускаться может либо из внедренного в офисный документ объекта, либо скачиваться из сети после запуска js. js как правило прилетает из почты в архивном вложении. ---------- если нужно проверить компы, зайдите в тему обнаружение вредоносного кода |
Техпод не отвечает что то. Компьютер тот изолировал. Жду решения.