• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Закрыто зашифрованные данные. Определить вирус не получается.

Sergazi

Новый пользователь
Сообщения
14
Симпатии
0
#1
Добрый день, вирус зашифровал файлы, касперский как обычно ничего не нашел. Определить вирус не удается. имеется только текстовый документ и практически все зашифрованные файлы имеют одинаковые названия. Помогите расшифровать пожалуйста.
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
4,090
Симпатии
1,454
#2
Здравствуйте!

Зашифровал или упаковал в архив с паролем?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteRepair(9);
end.
Пожалуйста, перезагрузите компьютер вручную.
 

Sergazi

Новый пользователь
Сообщения
14
Симпатии
0
#3
Зашифровал. после скрипта что сделать? архив вам отправить
 

Sandor

Ассоциация VN/VIP
Сообщения
4,090
Симпатии
1,454
#4
Текстовый файл с требованием выкупа (если есть) и пару зашифрованных документов упакуйте и прикрепите к следующему сообщению.
+
Повторите свежий CollectionLog.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,090
Симпатии
1,454
#6
оригинал и зашифрованные
Размер файлов из этой пары должен совпадать. Предположу, что это Cryakl и расшифровать не удастся.

По первым логам видно было использование известной "дыры".
Поэтому смените важные пароли.
 

Sergazi

Новый пользователь
Сообщения
14
Симпатии
0
#7
Восстановить файлы не удастся я вас правильно понял. Систему установили 15 дней тому назад. вирус проник через одного пользователя. зашифровал файлы только на локальных дисках. Диск с ОС остался не тронут. Только файлы Usera через кого он проник. Возможность "Дыры" исключаю так как в данном случае был бы сменен пароль "Администратора". все пароли не изменены. Файлы имеют разный обьем. я вам скинул одну и ту же папку до шифровки и после шифровки.
Что посоветуете???
 

Sandor

Ассоциация VN/VIP
Сообщения
4,090
Симпатии
1,454
#8
Возможность "Дыры" исключаю так как в данном случае был бы сменен пароль "Администратора"
Не обязательно. В описанном случае злоумышленник получает доступ к системе с правами администратора.

Дождитесь вердикта @thyrex
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,367
Симпатии
2,442
#9
Да, это Cryakl. Зашли по RDP и запустили шифрование.
 

Sergazi

Новый пользователь
Сообщения
14
Симпатии
0
#10
Не удасться что либо сделать?