213 ответов в этой теме

[v.martyanov]

Заражения других машин можно избежать не открывая их файлы всем машинам в сети, например. Расшифровка - это в техподдержку...

[luckyatt]

комп от сети отключили, был единственный файл xls с параметрами общего редактирования. 

Подскажите, с зараженным то компом что лучше сделать?

Сообщение было изменено luckyatt: 21 Август 2013 - 12:40

[v.martyanov]

комп от сети отключили, был единственный файл xls с параметрами общего редактирования. 

Подскажите, с зараженным то компом что лучше сделать?

Если данные не нужны и хочется надежности - форматировать.

[HHH]

Если данные нужны, но всё равно хочется надежности. То данные забрать, тщательно проверить, чтобы в них не было заразы, а потом форматирование.

 

Правда если там backdoor, то он уже мог осесть на любой уязвимой машине в сети.

[KaptilovS]

как я понимаю.. утешительных новостей пока нет..

[v.martyanov]

Сделана полноценная расшифровка для SOS@AUSI.com_AU1 и стало понятно, что для файлов больше 1 кб она принципиально возможна при наличии приватного ключа из авторского дешифровщика. Сделан значительный шаг для частичного восстановления файлов, но сделать осталось многое. В понедельник будут сделана расшифровка для всех вариантов, для которых у нас были расшифровщики, сегодня уже совсем не успеваю.

Сообщение было изменено v.martyanov: 23 Август 2013 - 19:40

[Bamusik]

Подобная ситуация как описана выше произошла.

 

А именно, пришло  сотруднику письмо в архиве от якобы от судебного пристава где было в архиве 2 файла:

obrazec_jalobi.doc

обращаем ваше внимание на правильность заполнения жалобы.EXE <===

По любопытности, сотрудник конечно нажал и эксешник. Далее все файлы с расширением .doc переименовались в с расширением .doc.sos@ausi.com_IQ106

 

Как быть? Куча файлов в полетело у сотрудника. Тем у кого бесплатный антивирь на дешифратор надеется не следует? А за деньги купить можно будет?

[mrbelyash]

Подобная ситуация как описана выше произошла.

 

А именно, пришло  сотруднику письмо в архиве от якобы от судебного пристава где было в архиве 2 файла:

obrazec_jalobi.doc

обращаем ваше внимание на правильность заполнения жалобы.EXE <===

По любопытности, сотрудник конечно нажал и эксешник. Далее все файлы с расширением .doc переименовались в с расширением .doc.sos@ausi.com_IQ106

 

Как быть? Куча файлов в полетело у сотрудника. Тем у кого бесплатный антивирь на дешифратор надеется не следует? А за деньги купить можно будет?

 

С почты можете скачать этот файл и отправить в вирлаб?

[v.martyanov]

Сотрудник уже написал заявление на увольнение из-за неполного служебного соответствия?

[Fireleo]

Приветствую, имеются фалы "*.sos@ausi.com_IQ103". Как я понял по нему ключа нет. В связи с этим вопрос - может ли кто-нибудь посоветовать программу для восстановления поврежденных DBF-файлов, в частности базы 1С 7.7?

[Bamusik]

С почты можете скачать этот файл и отправить в вирлаб?

на сайт касперского? или куда? можете дать ссылку, я отправлю.

Сотрудник уже написал заявление на увольнение из-за неполного служебного соответствия?

к сожалению, сотрудник не того поля ягода.

 

Отправлю текст письма.:

 

ИСПОНИТЕЛЬНОE ПРОИЗВОДСТВO

Увeдомляем вaс о тoм ,чтo в отнoшeнии вaс на август 2013 г. зaпланировано провeдение мeр принудительного исполнения согласно ст.64 ФЗ " Об исполнительном производстве" судебный пристав - исполнитель с разрешения в письменной форме старшего судебного пристава исполнителя  имеет право входить в жилое помещение,занимаемое должником без согласия должника.В настоящее время решается вопрос о получении указанного разрешения и привлечении сил и средств судебных приставов по ОУПДС для совершения исполнительных действий.В случае воспрепятствования исполнению решению суда ваше помещение может быть вскрыто в установленным законом порядке.За невыполнение требований судебнеого пристава-исполнителя предупреждаем Вас об ответственности  ст 17.14.17.15 КОАП РФ. Рассмотрение жалоб на постановление ,действие (бездействие) должностных лиц службы судебных приставов поданных в порядке подчиннености в соответствии с главой 18 ФЗ от 02.10.2007 № 229-ФЗ " Об исполнительном производстве" будет рассмотрено согласно прилагаемому образцу в прикреплённом документе.                                  

  Судебный пристав-исполнитель Лебедев А.Н.

 

 

ВНИМАНИЕ, посмотрел только что, т.к. машина находится домене, и к машине подключены сетевые диски, в некоторых папках сетевых дисков произошло такое же изменение файло. Примерно в одно и то же время....

[mrbelyash]

на сайт касперского?

чойта?

 

 

https://vms.drweb.com/sendvirus/?lng=ru

[Bamusik]

Отправил!

[mrbelyash]

номер тикета на почту пришел?

озвучьте.

[Bamusik]

В данный момент никаких действий от Вас не требуется.
Вашему запросу назначен идентификатор [drweb.com #4312795].
Пожалуйста, включайте строку:
[drweb.com #4312795].
в поле Subject всей Вашей корреспонденции по данной теме.
Для этого вы можете просто ответить на это или любое
другое письмо по данной теме.
Спасибо за сотрудничество.
To reсeive notifications in English, send a blank email to lang@rt-web.dev.drweb.com
-------------------Запрос------------------------------------------------
Hello,

User sent us a suspicious file.
User ip:
User agent: Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.16
User comment: Подозрение на вирус. Экзешник в архиве шифрует файлы с расширением doc, для которого требуется дешифратор.
User language: ru
Original file name: virus.exe
File size: 484711
MD5: daf593461fa6609f328330eda98e0c2b
--
WBR, send-suspic-file.pl v2

[Bamusik]

Так, а дешифратор то можно как-то получить?

[maxic]

Alexlogin, прекращаем рекламу на форуме. В противном случае перейдете на премодерацию.

[v.martyanov]

А вот и запилил восстановление doc и jpg. Заявки на другие форматы - через техподдержку.

[Пользователь 2013]

Уважаемый Virus Analysts. Подскажите пожалуйста как можно получить, дешифратор или какие процедуры нужно провести что бы восстановить файлы на зараженной машине. Я являюсь зарегистрированным частным пользователем. Компьютер с зараженными файлами сейчас выключен. И включать я его если честно побаиваюсь, что бы файлы не удалились. Ибо грозное предупреждение с сомалийскими пиратами на экране об удалении файлов в течении 35 часов есть. И времени прошло уже гораздо больше. Заранее спасибо и извиняюсь, за свое малое знакомство с правилами и традициями этого форума. Я первый раз оказался в такой ситуации, и честно говоря был слегка в шоке, что на компьютере на котором установлен Доктор Веб могла произойти такая фигня. Еще раз спасибо вам большое.

[SergM]

Я являюсь зарегистрированным частным пользователем

Для Вас проблем нету. Прочитайте первое сообщение этой темы и обратитесь в техническую поддержку.