14.04.2015, 07:59 | #2 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
сколько компов в сети?
шифрование на всех уже завершилось или продолжается? источник заражения определили? откуда: флэшки, электронная почта, сайт из интернета? добавьте по одной из проблемных машин образ автозапуска. http://pchelpforum.ru/showpost.php?p=293738&postcount=2 на форуме ESET это ваше было обращение? незачем бегать по форумам, надо начинать работу по очистке систем. |
14.04.2015, 08:29 | #3 (ссылка) |
Новичок
Регистрация: 14.04.2015
Сообщений: 13
Репутация: 0
|
так нигде никакой информации нет, все что смог найти от 6 апреля, вирусу еще недели походу нет.определить откуда появился пока невозможно, компов около 50, но не все заражены. которые на первый взгляд чистые отключил от сети.
---------- Добавлено в 07:29 ---------- Предыдущее сообщение было написано в 07:22 ---------- чтобы вам файл отправить не отвечает сервер zalil.ru |
14.04.2015, 08:36 | #4 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
образ запишите на http://rghost.ru
смотрите точки восстановления (или теневые копии) на системах Vista и выше. возможно в них сохранились чистые документы. если копий документов нет, то последний шанс - это восстановление из теневых копий. для XP эти копии не создаются, расшифровки на сегодня по maxcrypt@foxmail.com нет. скорее всего для каждой машины нужен будет свой ключ расшифровки --------- по maxcrypt неизвестно, есть у них функционал сетевого червя или нет. Последний раз редактировалось safety; 14.04.2015 в 08:42. |
14.04.2015, 09:20 | #5 (ссылка) |
Новичок
Регистрация: 14.04.2015
Сообщений: 13
Репутация: 0
|
самое странное что заражаются не все компы.. думал сначала что зависит от прав доступа, оказалось нет, заражаются и с правами админа и с пользователями...
---------- Добавлено в 08:20 ---------- Предыдущее сообщение было написано в 08:18 ---------- на http://rghost.ru не получается закинуть образ... секунду моргает и все, тишина. http://файлообменник.рф/job9kcn2ykix.html |
14.04.2015, 09:52 | #7 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
+
желательно все таки выяснить причину заражения: с флэшек через autorun, через почту, через браузер. где-то уже мелькала информация, что возможно этот шифратор maxcrypt (если он висит в памяти) может записаться на флэшку и запуститься через autorun при подключении флэшки к компу. |
14.04.2015, 10:58 | #8 (ссылка) |
Новичок
Регистрация: 14.04.2015
Сообщений: 13
Репутация: 0
|
при загрузке файла на http://exfile.ru выдает ошибку
Ошибка добавления файла в базу данных! INSERT INTO file (`ip`, `id_client`, `file_name`, `size`, `id_category`, `count_load`, `upload_date`, `status`) VALUES ('31.13.177.53', '0', '555-PK_2015-04-14_10-54-48.rar', '685421', 0, 0, now(), 0) |
Ads | |
14.04.2015, 11:57 | #12 (ссылка) |
Новичок
Регистрация: 14.04.2015
Сообщений: 13
Репутация: 0
|
1. я так понял из интернета, что дешифратора еще нет....
2.как можно определить если комп был заражен через флешку? 3. инфицирование на каждом компе происходит по своему, варианты могут быть такие 3а. зараженными оказываются файлы в общей папке, и диск D, C- чистый 3б. да диске D могут быть заражены одни папки, а другие нет... заражены файлы на рабочем столе ---------- Добавлено в 10:55 ---------- Предыдущее сообщение было написано в 10:52 ---------- а как может тогда выглядеть файл шифратора? ---------- Добавлено в 10:57 ---------- Предыдущее сообщение было написано в 10:55 ---------- я так понял вам желательно бы такие файлы со всех зараженых компов? |
14.04.2015, 12:03 | #13 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
признаки такие:
1. может быть заставка в автозапуске maxcrypt.bmp 2. если шифратор активен, то в памяти может висеть левый процесс svchost.exe вот от этого производителя:Exhedra Solutions, Inc. от этого производителя может быть еще один файл в темпе, возможно с расширением tmp, скорее всего он является загрузчиком шифратора. --------- про заражение через флэшку - это предположение. но можно проверить флэшки у сотрудников, которыми они пользуются. ---------- поняли правильно, дешифратора еще нет. выглядеть может так -------------- т.е. непонятна причина столько массового заражения этим шифратором в локальной сети. (впервые пока столько массовое заражение шифратором) или все заразились с одного сайта, или он шифрует открытые шары, т.е. запустился на одном, а зашифровал все шары, которые были доступны, либо есть компонент червя. (предположение) Последний раз редактировалось safety; 14.04.2015 в 12:10. |
14.04.2015, 12:22 | #14 (ссылка) |
Новичок
Регистрация: 14.04.2015
Сообщений: 13
Репутация: 0
|
у сотрудника файлы на рабочем столе и которые там в папках лежат заражены, вот еще один вариант....причем,ситуация такая.....в папке заражены файлы типа ворд *.doc...в соседней папке лежат файлы *.doc незараженные....а заражены *.docx
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
maxcrypt@foxmail2.com | kaktys93 | Безопасность | 20 | 10.04.2015 20:02 |
maxcrypt@foxmail2.com | PashaKri | Безопасность | 1 | 09.04.2015 17:19 |
Появились файлы вида "160-фев.xls.id-4229639946_maxcrypt@foxmail2" | s3df0x | Безопасность | 20 | 06.04.2015 16:54 |