Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[18.222.148.124] |
|
Сообщ.
#1
,
|
|
|
Симптомы:
1. Файлы приличного списка расширений (jpg, pdf, xls*, doc*, xml) переименованы в filename.ext.AFRICA@TOKE.COM_120 и как-то повреждены, например, файл xlsx всё ещё распознается как zip-архив, однако распаковывается из него только начало, дальше crc error итп. 2. Вирус умеет лазать на сетевые диски, но не умеет их сканировать. Дополнительные сложности: 1. У меня нет возможности администрировать рабочие станции - косяк клиента, а сделать надо ессно вчера. 2. Админ (точнее, ихний эникейщик) в отпуске 3. Бэкапы есть, но нежелательно их использовать. 4. Поиск по такой сигнатуре ничего не дал - то есть мне придется ловить вирус за хвост (больше просто некому) и отправлять в каспера, и ждать пока они тулзень нарисуют для расшифровки файлов. Подходящей тулзы не нашел, хотя возможно, прокатит использовать RannohDecryptor. Чего-чего, а оригинал ОДНОГО файла найти более чем реально. Пожалуйста, помогите найти подходящее описание. На большее, думаю, Интернет-сообщества не хватит без дополнительных данных от меня. |
Сообщ.
#2
,
|
|
|
0) попробуй заслать на https://www.virustotal.com/ru/ и посмотреть что антиблохи скажут
1) посмотреть с помощью AVZ что да как, может чего и найдет (запускать в режиме максимальной паранойи) 2 опционально) оно как отладчиком пройтись по тушке блохи? |
Сообщ.
#3
,
|
|
|
Добрый кот, было бы хорошо, если бы сначала кто-то дал мне выполнить пункт -1 - получить исполняемый файл вируса. Без админских прав и запуска в safe mode/загрузки со стороны фигу мне, а не вирь.
|
Сообщ.
#4
,
|
|
|
какая ОС то стоит?
|
Сообщ.
#5
,
|
|
|
Win7/WinVista, смотря какой именно комп мне всё зафлудил. Я даже не могу из-за специфики клиента это вычислить Вирь при переименовании владельца файла не поменял, аудит на изменение файлов не был включен. Правильно было бы приехать и на месте всё разобрать, но и на это нет прав! Потому и ищу описание, а не советы по тому, что делать с вирем, когда поймаю.
|
Сообщ.
#6
,
|
|
|
ЕМНИП Avz для запуска админских прав не требует, зато может показать подозрительную активность. Vesper, скажи по человечески, ты хоть удаленным рабочим столом до зараженного компа с правами обычного юзера зацепиться можешь?
|
Сообщ.
#7
,
|
|
|
Только TeamViewer, но перебирать 30 компов довольно проблематично. К тому же пока выпрашивал админа, ихняя ТП перезалила системник с вирем целиком. Обидно.
Добавлено Да, данные успешно подняли с бэкапа от предыдущего числа. |
Сообщ.
#8
,
|
|
|
Если кому надо, это оказался Trojan.Encoder.267
Но пока-а ещё докторвебы под него дешифратор напишут... Самому можно бы было написать, но я не силен в реверсах асма а вирь у меня есть, таки достал. |