#21
Отправлено 18 Июнь 2012 - 16:37
#22
Отправлено 18 Июнь 2012 - 16:40
Ну почему!? Почему, если это криптор!?Уведомление о взыскание долга.exe
Угроза: BackDoor.Poison.686
А вы проверяли, он файлы шифрует?
Личный сайт по Энкодерам - http://vmartyanov.ru/
#23
Отправлено 18 Июнь 2012 - 16:50
Не проверял. Судя поА вы проверяли, он файлы шифрует?Ну почему!? Почему, если это криптор!?Уведомление о взыскание долга.exe
Угроза: BackDoor.Poison.686
Заслан же именно этот файл?По почте пришло письмо. По наивности бухгалтер открыл и запустил аттач. В итоге все пользовательские файлы были зашифрованы
Борис А. Чертенко aka Borka.
#24
Отправлено 18 Июнь 2012 - 17:07
#25
Отправлено 18 Июнь 2012 - 17:15
Прикрепленные файлы:
#26
Отправлено 18 Июнь 2012 - 17:18
Борис А. Чертенко aka Borka.
#27
Отправлено 18 Июнь 2012 - 17:19
сделайте на больной машине лог cureit по Правилам, но ничего не лечить и не удалять из того, что он найдет.
#28
Отправлено 18 Июнь 2012 - 17:26
#29
Отправлено 18 Июнь 2012 - 18:44
Ну почему!? Почему, если это криптор!?Уведомление о взыскание долга.exe
Угроза: BackDoor.Poison.686
Видимо не он. NOD32 - Win32/Poison.AJQS trojan
#30
Отправлено 19 Июнь 2012 - 09:53
Скорее всего там есть детектор виртуалки или еще что-нибудь более экзотическое (проверка на наличие 1С), так что сомнительно, что выловите что-нибудь.оставлю на некорторое время подключенным к сети.
Если есть возможность, то лучше на реальной машине тестить.
#31
Отправлено 19 Июнь 2012 - 10:27
ВЫ правы, на виртуалке ничего не получается - запуск вири ничего не дает, хотя прописывает себя в автозагрузку. Но на свякий случай проверил CureIt. Отключил DEP на машине - тоже безрезультатно.
Но, при первом запуске CureIt, через 5 мин система пошла на перезагрузку... Обычно загружается без экрана приветствия, но на этот раз рапросила имя пользователя. После ввода имени снова попал на станицу приветсвия. Просмотрел реестр-удалены ключи userinit.exe и shell. После редактирования вход стал нормальный.
Попробую на больной машине.
Прикрепленные файлы:
#32
Отправлено 19 Июнь 2012 - 12:24
Образ с неё сделайте перед экспериментами.Попробую на больной машине.
#33
Отправлено 19 Июнь 2012 - 14:07
Сам файл не несет вирусной угрозы.
Прикрепленные файлы:
#34
Отправлено 19 Июнь 2012 - 14:13
Сообщение было изменено openhus: 19 Июнь 2012 - 14:14
#35
Отправлено 19 Июнь 2012 - 14:34
Ну тут вроде и не кажется... Хотя за честность поручиться нельзя.Мне кажется (наивно предполагаю), что декриптор находится у вирусописателя и он, по логике, отправит его после получения денег....
#36
Отправлено 19 Июнь 2012 - 14:35
1С 8.2 не тронул.
ННН, как в воду глядел...
Сообщение было изменено openhus: 19 Июнь 2012 - 14:38
#37
Отправлено 19 Июнь 2012 - 15:37
#38
Отправлено 20 Июнь 2012 - 11:30
Ну почему!? Почему, если это криптор!?Уведомление о взыскание долга.exe
Угроза: BackDoor.Poison.686
#39
Отправлено 20 Июнь 2012 - 14:38
Массово ставят backdoor и через него заливают шифровальщик.Заслан же именно этот файл?
Причем, судя по названию файла, охота идет именно на бухгалтерские компы. В расчете на то, что оганизации (админу) дешевле заплатить, чем восстанавливать данные (терять работу).
#40
Отправлено 20 Июнь 2012 - 15:03
Сообщение было изменено Borka: 20 Июнь 2012 - 15:04
Борис А. Чертенко aka Borka.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых