• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто зашифровались файлы, расширение wncry

Статус
В этой теме нельзя размещать новые ответы.

Андрей Быков

Новый пользователь
Сообщения
5
Реакции
0
Добрый день.

Компьютер в организации, стоит обновленная лицензионная windows 10, обновленный лицензионной Kaspersy Endpoint Security 10, по словам пользователя он ничего не скачивал, не запускал. Компьютер обычно не выключается. Сегодняшней ночью все word, excel, db, jpg, pst (это видимо неполный список, просто на первый вгляд) оказались зашифрованными, расширение wncry. Кроме того, в каждой папке появилось текстовое сообщение (оно в приложении). Сканирование drweb cure it не обнаружило ничего похожего на шифровальщик, 1 непонятный троян, по всем поискам - не шифровальщик и конвертера от freemake (лог прилагается), KVRT вообще ничего не обнаружил. Я запустил autologger, результат также прилагаю. Кроме того, у меня есть пример зашифрованного файла и файла оригинала.

Откуда шифровщик мог пролезть? Либо пользователь врет, либо я не знаю что это, снаружи 465 порт закрыт, комп был в сети и другие компы тоже были в сети, тоже были включенные, на них ни малейшего признака заражения. Куда копать? Возможно ли восстановить файлы? Прошу помощи.

Еще раз, в приложении: лог autologger и архив (пароль 123), в котором лог drweb cureit, зашифрованный фал и файл оригинал, а также текстовый файл, который появился в каждой папке где зашифровались файлы.



Заранее спасибо
 

Вложения

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Unity Web Player
Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{9410D2A2-4D87-4BBB-AFE7-C5922A8F6D1C}.tmp', '');
 QuarantineFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{B77B4EB5-65FB-4843-8383-CBA9A0408F71}.tmp', '');
 QuarantineFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{EF5DBEC6-456F-45AD-A300-4B02A5EC5292}.tmp', '');
 QuarantineFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{2032F507-3348-46DA-A8FC-302638D36B5B}.tmp', '');
 QuarantineFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{96CF5876-76A2-4897-805A-71535FB88105}.tmp', '');
 QuarantineFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{8C2AB551-7AC6-40B6-AA23-287BFDB6AF73}.tmp', '');
 QuarantineFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{55B8D92B-447A-4B05-84DF-0EA0BF6CD0D5}.tmp', '');
 DeleteFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{9410D2A2-4D87-4BBB-AFE7-C5922A8F6D1C}.tmp', '32');
 DeleteFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{B77B4EB5-65FB-4843-8383-CBA9A0408F71}.tmp', '32');
 DeleteFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{EF5DBEC6-456F-45AD-A300-4B02A5EC5292}.tmp', '32');
 DeleteFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{2032F507-3348-46DA-A8FC-302638D36B5B}.tmp', '32');
 DeleteFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{96CF5876-76A2-4897-805A-71535FB88105}.tmp', '32');
 DeleteFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{8C2AB551-7AC6-40B6-AA23-287BFDB6AF73}.tmp', '32');
 DeleteFile('C:\Users\C057~1\AppData\Local\Temp\{D10C5B19-6A72-479F-970F-C84CD9067C72}\{55B8D92B-447A-4B05-84DF-0EA0BF6CD0D5}.tmp', '32');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу