Сообщение было изменено v.martyanov: 05 Октябрь 2015 - 14:19
Убран вирь
Шифровальщик, расширение .Crypt
#1
Отправлено 05 Октябрь 2015 - 14:02
#2
Отправлено 05 Октябрь 2015 - 14:02
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
#3
Отправлено 05 Октябрь 2015 - 14:05
Уберите с сообщения вирус! Выкладывать вирус сюда нельзя!
#6
Отправлено 05 Октябрь 2015 - 14:41
Там про другой crypt, это потому что ТС решил не указывать полное добавочное расширение.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#7
Отправлено 05 Октябрь 2015 - 14:45
Там про другой crypt, это потому что ТС решил не указывать полное добавочное расширение.
Новый случай или известный?
#8
Отправлено 05 Октябрь 2015 - 14:50
Там про другой crypt, это потому что ТС решил не указывать полное добавочное расширение.
Новый случай или известный?
Скорее всего известный.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#9
Отправлено 05 Октябрь 2015 - 15:23
Там про другой crypt, это потому что ТС решил не указывать полное добавочное расширение.
Новый случай или известный?
Скорее всего известный.
Надо сказать что уже встречались с такой ситуацией, в прошлый раз сервер зашифровался и файлы стали .ROTO. Сделали выводы: поменяли пароли на удаленном доступе, настроили резервное копирование в сети (Acronis). Так эта зараза и в сети все архивы зашифровала. Непонятно как она проникает в сеть, прошлый раз все вроде проверили.
#10
Отправлено 05 Октябрь 2015 - 15:25
А между тем злоумышленник похоже один и тот же - в прошлый раз такое же письмо получили:
#11
Отправлено 05 Октябрь 2015 - 15:45
Надо сказать что уже встречались с такой ситуацией, в прошлый раз сервер зашифровался и файлы стали .ROTO. Сделали выводы: поменяли пароли на удаленном доступе, настроили резервное копирование в сети (Acronis).
А не надо с правами админа работать.
А насчёт Acronis и т.п. - Acronis работает от системы, поэтому лично я оставил у каталога с бэкапами админу и пользователям права только на чтение.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#12
Отправлено 05 Октябрь 2015 - 18:10
В общем, расшифровка вполне возможна. Посему - в саппорт.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#13
Отправлено 05 Октябрь 2015 - 18:14
сегодня сутра файл как вирус определялся только тремя антивирусами. Сейчас уже 7 определяет как вредоносный.
ему - в саппорт.
ОК спасибо
#14
Отправлено 06 Октябрь 2015 - 01:34
dimkapavlov, у нас такая же история, вот лог антивируса (не др.веб)
05.10.2015 5:09:24 Модуль сканирования файлов, исполняемых при запуске системы файл C:\Users\Consultant\AppData\Local\Temp\OdTSZIis.exe модифицированный Generik.IICSDJJ троянская программа очищен удалением - изолирован
Причем у юзера консультант права пользовательские, как зашифровались файлы не ясно. Благо самые нужные вирус не тронул.
Вывод, что вирус принес сотрудник обновляющий систему консультант плюс.
#15
Отправлено 09 Октябрь 2015 - 00:30
Создал запрос в ТП - 5.10.2015 - пока ответа не поступило. Не подскажите через сколько обычно отвечает ТП после создания запроса?
Сообщение было изменено dimkapavlov: 09 Октябрь 2015 - 00:30
#16
Отправлено 17 Октябрь 2015 - 22:13
Создал запрос в ТП - 5.10.2015 - пока ответа не поступило. Не подскажите через сколько обычно отвечает ТП после создания запроса?
На сайте написано, что максимально допустимое время реакции на запрос — 48 часов.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых