maxcrypt@foxmail2.com - Страница 2

dimassam72 · 14.04.2015, 13:42

есть случай когда зашифрованы файлы не в расшареной области ( рабочий стол)

safety · 14.04.2015, 14:03

если зашифрован не в расшаренной области, значит скорее всего на этом компе был запущен шифратор

dimassam72 · 15.04.2015, 08:04

сегодня собрал инфу с зараженных компов. файлы собрал все в один архив.
каждый комп чем-то выделяется по типу и возможности заражения.
http://files.webfile.ru/9a1bee3a793b...520f81c90f6806

safety · 15.04.2015, 08:17

по машине vatutina
эти папки были расшарены?
C:\BANK_KL\*****
C:\КЛ БАНК\*****
это разве необходимо для работы с данными клиентами?

+
по этой машине
Имя компьютера: YAKUBENKO
эта папка расшарена?
C:\USERS\OHRANA-TRUDA\DESKTOP\******

на всех 4 машинах активного шифратора нет.
если все таки в сети продолжается шифрование, то первым делом надо отключить временно шары на компах, чтобы исключить вариант шифрования документов по сети.

dimassam72 · 15.04.2015, 08:22

сейчас прямо на глазах прошел процесс заражения. на компе жигалина ,запустил сразу uvs, на компе целоусова запустили зараженный файл, может быть изза этого и пошел процесс.
http://files.webfile.ru/5fdfd9586dd6...893ebc25c7b01f

safety · 15.04.2015, 08:24

шары отключайте на всех компах, пока не будет устранено заражение.

dimassam72 · 15.04.2015, 08:27

по ватутиной, этот комп используется по удаленке, возможно для работы с ключами клиент банка расшарили эту папку

safety · 15.04.2015, 08:30

на этой машине
Имя компьютера: JIGALINA

этот файл проверьте на http://virustotal.com
D:\КОНСУЛЬТАНТ\АНАЛИЗ ИЗМЕНЕНИЙ ЗАКОНОДАТЕЛЬСТВА 2011-2012\DISK\АНАЛИЗ ИЗМЕНЕНИЙ ЗАКОНОДАТЕЛЬСТВА 2011-2012.EXE

SAFlashPlayer.exe
Adobe Systems Incorporated
Недействительна (файл поврежден/заражен)

safety · 15.04.2015, 08:35

Цитата:

компе целоусова запустили зараженный файл

если имеете ввиду, что запустили зашифрованный файл, то это безопасно пока.

--------
в остальном по этим трем машинам чисто.

dimassam72 · 15.04.2015, 08:50

Цитата:

Сообщение от safety

на этой машине
Имя компьютера: JIGALINA

этот файл проверьте на http://virustotal.com
D:\КОНСУЛЬТАНТ\АНАЛИЗ ИЗМЕНЕНИЙ ЗАКОНОДАТЕЛЬСТВА 2011-2012\DISK\АНАЛИЗ ИЗМЕНЕНИЙ ЗАКОНОДАТЕЛЬСТВА 2011-2012.EXE

SAFlashPlayer.exe
Adobe Systems Incorporated
Недействительна (файл поврежден/заражен)

проверил комодой -чистый, файл лежит давно...никто в последнее время не пользовался и не запускал его. на всякий случай удалили.

---------- Добавлено в 07:46 ---------- Предыдущее сообщение было написано в 07:44 ----------

на технарях ру нашел запись, что др веб начал детектировать зловред, но я вчера скачивал куреит тот ни на одном компе не нашел.

---------- Добавлено в 07:50 ---------- Предыдущее сообщение было написано в 07:46 ----------

если зловред заражает расшареные ресурсы, то почему тогда не все, а выборочно, по какому критерию заражает? у меня расшарены 2 папки, в одной есть зараженные, в другой нет... файлы между собой по формату похожие

safety · 15.04.2015, 08:55

зависит от того, кому дан доступ в данные папки, установлен ли пароль на доступ к шаре, какие права даны: для чтения, для записи, или полные права.
---------
расшарьте у себя одну папочку специально (для всех, с правами записи, изменения файлов), и добавьте в нее документы,
понаблюдайте за ней - будет ли шифроваться или нет.

так же по расшаренным папкам проверьте кто является владельцем зашифрованных документов.
----------
возможно шифратор уже самоудалился после запуска и шифрования.

dimassam72 · 16.04.2015, 13:15

вот что нашел на компе главбуха

13.04.2015 16:44:56
Модуль сканирования файлов, исполняемых при запуске системы
файл Оперативная память = wordpad.exe(6020) модифицированный Win32/Filecoder.DG троянская программа очищен удалением

14.04.2015 8:43:42
Модуль сканирования файлов, исполняемых при запуске системы файл
C:\Users\Buh-7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wordpad.exe
Win32/Filecoder.DG троянская программа очищен удалением (после следующего перезапуска) - изолирован

вот это выдал антивирус на компе Vatutina

14/04/2015 7:56:15
Защита в режиме реального времени файл
D:\np_ul 2012\INPUTDOC\LOG\spiskinp.log20120214GL-INGENER-ПК.txt.id-0180808654_maxcrypt@foxmail2.com
вероятно неизвестный POLY.COM вирус удален VATUTINA\Гость
Событие произошло в модифицированном файле.

а вот это на компе Yakubenko

14.04.2015 11:42:31

Защита в режиме реального времени файл
C:\Users\ohrana-truda\Desktop\Охрана Труда\диск\Books\covers_b\91180181.jpg.id-0180808654_maxcrypt@foxmail2.com
вероятно неизвестный STEALTH.POLY.CRYPT.TSR.DRIVER вирус - изолирован YAKUBENKO\admin
Событие произошло при попытке доступа к файлу следующим приложением:
C:\Users\admin\AppData\Local\Temp\CDC4CDAF-BCAB58A-BDC667E1-FFBDCD97\6fRRISPgY8YI.exe.

safety · 16.04.2015, 13:35

посмотрите этот файл

Цитата:

C:\Users\Buh-7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wordpad.exe
Win32/Filecoder.DG троянская программа очищен удалением (после следующего перезапуска) - изолирован

в карантине антивируса,
если есть там восстановите его, но с другим расширением. например vexe
добавьте его в архив с паролем infected и вышлите в почту safety@chklst.ru
-----------

это скорее всего ложная реакция на зашифрованный файл

Цитата:

14/04/2015 7:56:15
Защита в режиме реального времени файл
D:\np_ul 2012\INPUTDOC\LOG\spiskinp.log20120214GL-INGENER-ПК.txt.id-0180808654_maxcrypt@foxmail2.com
вероятно неизвестный POLY.COM вирус удален VATUTINA\Гость
Событие произошло в модифицированном файле.

Polosatyi · 03.12.2015, 18:14

Всем доброго времени суток. Подскажите пожалуйста - удалось ли расшифровать файлы, зашифрованные maxcrypt@foxmail2.com ?

safety · 03.12.2015, 19:03

возможно, расшифровка есть в ДрВеб

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
maxcrypt@foxmail2.com	kaktys93	Безопасность	20	10.04.2015 20:02
maxcrypt@foxmail2.com	PashaKri	Безопасность	1	09.04.2015 17:19
Появились файлы вида "160-фев.xls.id-4229639946_maxcrypt@foxmail2"	s3df0x	Безопасность	20	06.04.2015 16:54

14.04.2015, 13:42	#16 (ссылка)
dimassam72 Новичок Регистрация: 14.04.2015 Сообщений: 13 Репутация: 0	есть случай когда зашифрованы файлы не в расшареной области ( рабочий стол)

14.04.2015, 14:03	#17 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	если зашифрован не в расшаренной области, значит скорее всего на этом компе был запущен шифратор

15.04.2015, 08:04	#18 (ссылка)
dimassam72 Новичок Регистрация: 14.04.2015 Сообщений: 13 Репутация: 0	сегодня собрал инфу с зараженных компов. файлы собрал все в один архив. каждый комп чем-то выделяется по типу и возможности заражения. http://files.webfile.ru/9a1bee3a793b...520f81c90f6806

15.04.2015, 08:17	#19 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	по машине vatutina эти папки были расшарены? C:\BANK_KL\*** C:\КЛ БАНК\* это разве необходимо для работы с данными клиентами? + по этой машине Имя компьютера: YAKUBENKO эта папка расшарена? C:\USERS\OHRANA-TRUDA\DESKTOP\**** на всех 4 машинах активного шифратора нет. если все таки в сети продолжается шифрование, то первым делом надо отключить временно шары на компах, чтобы исключить вариант шифрования документов по сети.

15.04.2015, 08:22	#20 (ссылка)
dimassam72 Новичок Регистрация: 14.04.2015 Сообщений: 13 Репутация: 0	сейчас прямо на глазах прошел процесс заражения. на компе жигалина ,запустил сразу uvs, на компе целоусова запустили зараженный файл, может быть изза этого и пошел процесс. http://files.webfile.ru/5fdfd9586dd6...893ebc25c7b01f

15.04.2015, 08:24	#21 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	шары отключайте на всех компах, пока не будет устранено заражение.

15.04.2015, 08:27	#22 (ссылка)
dimassam72 Новичок Регистрация: 14.04.2015 Сообщений: 13 Репутация: 0	по ватутиной, этот комп используется по удаленке, возможно для работы с ключами клиент банка расшарили эту папку

15.04.2015, 08:30	#23 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	на этой машине Имя компьютера: JIGALINA этот файл проверьте на http://virustotal.com D:\КОНСУЛЬТАНТ\АНАЛИЗ ИЗМЕНЕНИЙ ЗАКОНОДАТЕЛЬСТВА 2011-2012\DISK\АНАЛИЗ ИЗМЕНЕНИЙ ЗАКОНОДАТЕЛЬСТВА 2011-2012.EXE SAFlashPlayer.exe Adobe Systems Incorporated Недействительна (файл поврежден/заражен)

15.04.2015, 08:55	#26 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	зависит от того, кому дан доступ в данные папки, установлен ли пароль на доступ к шаре, какие права даны: для чтения, для записи, или полные права. --------- расшарьте у себя одну папочку специально (для всех, с правами записи, изменения файлов), и добавьте в нее документы, понаблюдайте за ней - будет ли шифроваться или нет. так же по расшаренным папкам проверьте кто является владельцем зашифрованных документов. ---------- возможно шифратор уже самоудалился после запуска и шифрования.

16.04.2015, 13:15	#27 (ссылка)
dimassam72 Новичок Регистрация: 14.04.2015 Сообщений: 13 Репутация: 0	вот что нашел на компе главбуха 13.04.2015 16:44:56 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = wordpad.exe(6020) модифицированный Win32/Filecoder.DG троянская программа очищен удалением 14.04.2015 8:43:42 Модуль сканирования файлов, исполняемых при запуске системы файл C:\Users\Buh-7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wordpad.exe Win32/Filecoder.DG троянская программа очищен удалением (после следующего перезапуска) - изолирован вот это выдал антивирус на компе Vatutina 14/04/2015 7:56:15 Защита в режиме реального времени файл D:\np_ul 2012\INPUTDOC\LOG\spiskinp.log20120214GL-INGENER-ПК.txt.id-0180808654_maxcrypt@foxmail2.com вероятно неизвестный POLY.COM вирус удален VATUTINA\Гость Событие произошло в модифицированном файле. а вот это на компе Yakubenko 14.04.2015 11:42:31 Защита в режиме реального времени файл C:\Users\ohrana-truda\Desktop\Охрана Труда\диск\Books\covers_b\91180181.jpg.id-0180808654_maxcrypt@foxmail2.com вероятно неизвестный STEALTH.POLY.CRYPT.TSR.DRIVER вирус - изолирован YAKUBENKO\admin Событие произошло при попытке доступа к файлу следующим приложением: C:\Users\admin\AppData\Local\Temp\CDC4CDAF-BCAB58A-BDC667E1-FFBDCD97\6fRRISPgY8YI.exe.

Ads

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

03.12.2015, 18:14	#29 (ссылка)
Polosatyi Новичок Регистрация: 03.12.2015 Сообщений: 7 Репутация: 5	Всем доброго времени суток. Подскажите пожалуйста - удалось ли расшифровать файлы, зашифрованные maxcrypt@foxmail2.com ?

03.12.2015, 19:03	#30 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	возможно, расшифровка есть в ДрВеб