• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто зашифровались файлы, расширение wncry

Статус
В этой теме нельзя размещать новые ответы.

Андрей Быков

Активный пользователь
Сообщения
5
Реакции
0
Баллы
81
Добрый день.

Компьютер в организации, стоит обновленная лицензионная windows 10, обновленный лицензионной Kaspersy Endpoint Security 10, по словам пользователя он ничего не скачивал, не запускал. Компьютер обычно не выключается. Сегодняшней ночью все word, excel, db, jpg, pst (это видимо неполный список, просто на первый вгляд) оказались зашифрованными, расширение wncry. Кроме того, в каждой папке появилось текстовое сообщение (оно в приложении). Сканирование drweb cure it не обнаружило ничего похожего на шифровальщик, 1 непонятный троян, по всем поискам - не шифровальщик и конвертера от freemake (лог прилагается), KVRT вообще ничего не обнаружил. Я запустил autologger, результат также прилагаю. Кроме того, у меня есть пример зашифрованного файла и файла оригинала.

Откуда шифровщик мог пролезть? Либо пользователь врет, либо я не знаю что это, снаружи 465 порт закрыт, комп был в сети и другие компы тоже были в сети, тоже были включенные, на них ни малейшего признака заражения. Куда копать? Возможно ли восстановить файлы? Прошу помощи.

Еще раз, в приложении: лог autologger и архив (пароль 123), в котором лог drweb cureit, зашифрованный фал и файл оригинал, а также текстовый файл, который появился в каждой папке где зашифровались файлы.



Заранее спасибо
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,496
Реакции
1,849
Баллы
563
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Unity Web Player
Служба автоматического обновления программ
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{9410D2A2-4D87-4BBB-AFE7-C5922A8F6D1C}.tmp', '');
 QuarantineFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{B77B4EB5-65FB-4843-8383-CBA9A0408F71}.tmp', '');
 QuarantineFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{EF5DBEC6-456F-45AD-A300-4B02A5EC5292}.tmp', '');
 QuarantineFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{2032F507-3348-46DA-A8FC-302638D36B5B}.tmp', '');
 QuarantineFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{96CF5876-76A2-4897-805A-71535FB88105}.tmp', '');
 QuarantineFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{8C2AB551-7AC6-40B6-AA23-287BFDB6AF73}.tmp', '');
 QuarantineFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{55B8D92B-447A-4B05-84DF-0EA0BF6CD0D5}.tmp', '');
 DeleteFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{9410D2A2-4D87-4BBB-AFE7-C5922A8F6D1C}.tmp', '32');
 DeleteFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{B77B4EB5-65FB-4843-8383-CBA9A0408F71}.tmp', '32');
 DeleteFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{EF5DBEC6-456F-45AD-A300-4B02A5EC5292}.tmp', '32');
 DeleteFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{2032F507-3348-46DA-A8FC-302638D36B5B}.tmp', '32');
 DeleteFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{96CF5876-76A2-4897-805A-71535FB88105}.tmp', '32');
 DeleteFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{8C2AB551-7AC6-40B6-AA23-287BFDB6AF73}.tmp', '32');
 DeleteFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{55B8D92B-447A-4B05-84DF-0EA0BF6CD0D5}.tmp', '32');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу