maxcrypt@foxmail2.com

dimassam72 · 14.04.2015, 07:28

у меня такая же проблема, заражены не все компы в сети....каспер не видит, сомодо тоже, др веб тоже...что делать не знаю... HELP!!!!!

safety · 14.04.2015, 07:59

сколько компов в сети?
шифрование на всех уже завершилось или продолжается?
источник заражения определили? откуда: флэшки, электронная почта, сайт из интернета?

добавьте по одной из проблемных машин образ автозапуска.
http://pchelpforum.ru/showpost.php?p=293738&postcount=2

на форуме ESET это ваше было обращение? незачем бегать по форумам, надо начинать работу по очистке систем.

dimassam72 · 14.04.2015, 08:29

так нигде никакой информации нет, все что смог найти от 6 апреля, вирусу еще недели походу нет.определить откуда появился пока невозможно, компов около 50, но не все заражены. которые на первый взгляд чистые отключил от сети.

---------- Добавлено в 07:29 ---------- Предыдущее сообщение было написано в 07:22 ----------

чтобы вам файл отправить не отвечает сервер zalil.ru

safety · 14.04.2015, 08:36

образ запишите на http://rghost.ru

смотрите точки восстановления (или теневые копии) на системах Vista и выше. возможно в них сохранились чистые документы.
если копий документов нет, то последний шанс - это восстановление из теневых копий.
для XP эти копии не создаются,
расшифровки на сегодня по maxcrypt@foxmail.com нет.
скорее всего для каждой машины нужен будет свой ключ расшифровки
---------
по maxcrypt неизвестно, есть у них функционал сетевого червя или нет.

dimassam72 · 14.04.2015, 09:20

самое странное что заражаются не все компы.. думал сначала что зависит от прав доступа, оказалось нет, заражаются и с правами админа и с пользователями...

---------- Добавлено в 08:20 ---------- Предыдущее сообщение было написано в 08:18 ----------

на http://rghost.ru не получается закинуть образ... секунду моргает и все, тишина.

http://файлообменник.рф/job9kcn2ykix.html

safety · 14.04.2015, 09:49

этот обменник тоже не нужен.
с большим временем ожидания.
залейте образ сюда
http://exfile.ru

safety · 14.04.2015, 09:52

+
желательно все таки выяснить причину заражения: с флэшек через autorun, через почту, через браузер.
где-то уже мелькала информация, что возможно этот шифратор maxcrypt (если он висит в памяти) может записаться на флэшку и запуститься через autorun при подключении флэшки к компу.

dimassam72 · 14.04.2015, 10:58

при загрузке файла на http://exfile.ru выдает ошибку
Ошибка добавления файла в базу данных!
INSERT INTO file (`ip`, `id_client`, `file_name`, `size`, `id_category`, `count_load`, `upload_date`, `status`) VALUES ('31.13.177.53', '0', '555-PK_2015-04-14_10-54-48.rar', '685421', 0, 0, now(), 0)

safety · 14.04.2015, 10:59

да, есть ошибка,
то же мутный webfile
пробуйте еще раз на rghost.ru, у меня нормально он работает

dimassam72 · 14.04.2015, 11:03

http://files.webfile.ru/6ecd76420fbc...4e8152a8fdec2c

safety · 14.04.2015, 11:19

этот чистый комп. нет шифратора.

dimassam72 · 14.04.2015, 11:57

1. я так понял из интернета, что дешифратора еще нет....
2.как можно определить если комп был заражен через флешку?
3. инфицирование на каждом компе происходит по своему, варианты могут быть такие
3а. зараженными оказываются файлы в общей папке, и диск D, C- чистый
3б. да диске D могут быть заражены одни папки, а другие нет... заражены файлы на рабочем столе

---------- Добавлено в 10:55 ---------- Предыдущее сообщение было написано в 10:52 ----------

а как может тогда выглядеть файл шифратора?

---------- Добавлено в 10:57 ---------- Предыдущее сообщение было написано в 10:55 ----------

я так понял вам желательно бы такие файлы со всех зараженых компов?

safety · 14.04.2015, 12:03

признаки такие:
1. может быть заставка в автозапуске
maxcrypt.bmp
2. если шифратор активен, то в памяти может висеть левый процесс svchost.exe
вот от этого производителя:Exhedra Solutions, Inc.
от этого производителя может быть еще один файл в темпе, возможно с расширением tmp, скорее всего он является загрузчиком шифратора.
---------
про заражение через флэшку - это предположение.
но можно проверить флэшки у сотрудников, которыми они пользуются.
----------
поняли правильно, дешифратора еще нет.

выглядеть может так

--------------
т.е. непонятна причина столько массового заражения этим шифратором в локальной сети.
(впервые пока столько массовое заражение шифратором)

или все заразились с одного сайта,

или он шифрует открытые шары, т.е. запустился на одном, а зашифровал все шары, которые были доступны,

либо есть компонент червя. (предположение)

dimassam72 · 14.04.2015, 12:22

у сотрудника файлы на рабочем столе и которые там в папках лежат заражены, вот еще один вариант....причем,ситуация такая.....в папке заражены файлы типа ворд *.doc...в соседней папке лежат файлы *.doc незараженные....а заражены *.docx

safety · 14.04.2015, 12:29

dimassam72,
если нужна помощь в очистке по зараженным компам - добавляйте образ автозапуска.
+
проверьте наличие расшаренных ресурсов. есть ли случае, когда зашифрованы только расшаренные папки.

14.04.2015, 07:28	#1 (ссылка)
dimassam72 Новичок Регистрация: 14.04.2015 Сообщений: 13 Репутация: 0	maxcrypt@foxmail2.com у меня такая же проблема, заражены не все компы в сети....каспер не видит, сомодо тоже, др веб тоже...что делать не знаю... HELP!!!!!

14.04.2015, 08:36	#4 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	образ запишите на http://rghost.ru смотрите точки восстановления (или теневые копии) на системах Vista и выше. возможно в них сохранились чистые документы. если копий документов нет, то последний шанс - это восстановление из теневых копий. для XP эти копии не создаются, расшифровки на сегодня по maxcrypt@foxmail.com нет. скорее всего для каждой машины нужен будет свой ключ расшифровки --------- по maxcrypt неизвестно, есть у них функционал сетевого червя или нет. Последний раз редактировалось safety; 14.04.2015 в 08:42.

14.04.2015, 09:49	#6 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	этот обменник тоже не нужен. с большим временем ожидания. залейте образ сюда http://exfile.ru Последний раз редактировалось safety; 14.04.2015 в 10:09.

14.04.2015, 12:03	#13 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	признаки такие: 1. может быть заставка в автозапуске maxcrypt.bmp 2. если шифратор активен, то в памяти может висеть левый процесс svchost.exe вот от этого производителя:Exhedra Solutions, Inc. от этого производителя может быть еще один файл в темпе, возможно с расширением tmp, скорее всего он является загрузчиком шифратора. --------- про заражение через флэшку - это предположение. но можно проверить флэшки у сотрудников, которыми они пользуются. ---------- поняли правильно, дешифратора еще нет. выглядеть может так -------------- т.е. непонятна причина столько массового заражения этим шифратором в локальной сети. (впервые пока столько массовое заражение шифратором) или все заразились с одного сайта, или он шифрует открытые шары, т.е. запустился на одном, а зашифровал все шары, которые были доступны, либо есть компонент червя. (предположение) Последний раз редактировалось safety; 14.04.2015 в 12:10.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
maxcrypt@foxmail2.com	kaktys93	Безопасность	20	10.04.2015 20:02
maxcrypt@foxmail2.com	PashaKri	Безопасность	1	09.04.2015 17:19
Появились файлы вида "160-фев.xls.id-4229639946_maxcrypt@foxmail2"	s3df0x	Безопасность	20	06.04.2015 16:54

14.04.2015, 07:59	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	сколько компов в сети? шифрование на всех уже завершилось или продолжается? источник заражения определили? откуда: флэшки, электронная почта, сайт из интернета? добавьте по одной из проблемных машин образ автозапуска. http://pchelpforum.ru/showpost.php?p=293738&postcount=2 на форуме ESET это ваше было обращение? незачем бегать по форумам, надо начинать работу по очистке систем.

14.04.2015, 08:29	#3 (ссылка)
dimassam72 Новичок Регистрация: 14.04.2015 Сообщений: 13 Репутация: 0	так нигде никакой информации нет, все что смог найти от 6 апреля, вирусу еще недели походу нет.определить откуда появился пока невозможно, компов около 50, но не все заражены. которые на первый взгляд чистые отключил от сети. ---------- Добавлено в 07:29 ---------- Предыдущее сообщение было написано в 07:22 ---------- чтобы вам файл отправить не отвечает сервер zalil.ru

14.04.2015, 09:20	#5 (ссылка)
dimassam72 Новичок Регистрация: 14.04.2015 Сообщений: 13 Репутация: 0	самое странное что заражаются не все компы.. думал сначала что зависит от прав доступа, оказалось нет, заражаются и с правами админа и с пользователями... ---------- Добавлено в 08:20 ---------- Предыдущее сообщение было написано в 08:18 ---------- на http://rghost.ru не получается закинуть образ... секунду моргает и все, тишина. http://файлообменник.рф/job9kcn2ykix.html

14.04.2015, 09:52	#7 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	+ желательно все таки выяснить причину заражения: с флэшек через autorun, через почту, через браузер. где-то уже мелькала информация, что возможно этот шифратор maxcrypt (если он висит в памяти) может записаться на флэшку и запуститься через autorun при подключении флэшки к компу.

14.04.2015, 10:58	#8 (ссылка)
dimassam72 Новичок Регистрация: 14.04.2015 Сообщений: 13 Репутация: 0	при загрузке файла на http://exfile.ru выдает ошибку Ошибка добавления файла в базу данных! INSERT INTO file (`ip`, `id_client`, `file_name`, `size`, `id_category`, `count_load`, `upload_date`, `status`) VALUES ('31.13.177.53', '0', '555-PK_2015-04-14_10-54-48.rar', '685421', 0, 0, now(), 0)

14.04.2015, 10:59	#9 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	да, есть ошибка, то же мутный webfile пробуйте еще раз на rghost.ru, у меня нормально он работает

14.04.2015, 11:03	#10 (ссылка)
dimassam72 Новичок Регистрация: 14.04.2015 Сообщений: 13 Репутация: 0	http://files.webfile.ru/6ecd76420fbc...4e8152a8fdec2c

14.04.2015, 11:19	#11 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	этот чистый комп. нет шифратора.

14.04.2015, 11:57	#12 (ссылка)
dimassam72 Новичок Регистрация: 14.04.2015 Сообщений: 13 Репутация: 0	1. я так понял из интернета, что дешифратора еще нет.... 2.как можно определить если комп был заражен через флешку? 3. инфицирование на каждом компе происходит по своему, варианты могут быть такие 3а. зараженными оказываются файлы в общей папке, и диск D, C- чистый 3б. да диске D могут быть заражены одни папки, а другие нет... заражены файлы на рабочем столе ---------- Добавлено в 10:55 ---------- Предыдущее сообщение было написано в 10:52 ---------- а как может тогда выглядеть файл шифратора? ---------- Добавлено в 10:57 ---------- Предыдущее сообщение было написано в 10:55 ---------- я так понял вам желательно бы такие файлы со всех зараженых компов?

14.04.2015, 12:22	#14 (ссылка)
dimassam72 Новичок Регистрация: 14.04.2015 Сообщений: 13 Репутация: 0	у сотрудника файлы на рабочем столе и которые там в папках лежат заражены, вот еще один вариант....причем,ситуация такая.....в папке заражены файлы типа ворд .doc...в соседней папке лежат файлы .doc незараженные....а заражены *.docx

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

14.04.2015, 12:29	#15 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	dimassam72, если нужна помощь в очистке по зараженным компам - добавляйте образ автозапуска. + проверьте наличие расшаренных ресурсов. есть ли случае, когда зашифрованы только расшаренные папки.