Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Испорчены файлы Word, Excel и JPG

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

Nion

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Приветствую всех.  
Сегодня днем случилось странное. На шаре 2008 сервера перестали открываться файлы Word, Excel и JPG, со всех машин в офисе. При копировании данных файлов на компьютер тоже самое. Все файлы данного расширения изменены сегодня. Кем не понятно. В журналах пусто, ошибок нет.  
Проверка на вирусы доктор вебом, касперским лайв сиди, никаких результатов не принесла, так же как и проверка диска на ошибки и автоматическое исправление.
Такое ощущение, что сменилась кодировка этих файлов, но как ума не приложу.  
Прошу помощи.
Всего записей: 7 | Зарегистр. 04-07-2006 | Отправлено: 23:53 25-09-2012
9285

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А само тело файла смотрел? Заголовки нормальные?
Проверка на вирусы - факт того что не найдены известные вирусы, но ведь есть и новые.
Да и не обязательно чтобы это был вирус. Если выполнен какой то скрипт изменяющий в файлах например несколько байт, то он и не будет определяться как вирус - мало ли что пользователь хочет делать со своими файлами. Или не со своими но расположенными на доступной шаре.
Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 10:04 26-09-2012
Nion

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Это 100 процентов троян, найдена даже машина у которой была шара подключена как сетевой диск, Симантек как пропустил я незнаю. Но решение пока не найдено =(
На рабочем столе у это машины
http://s2.ipicture.ru/uploads/20120926/pxWW7Z47.png
Всего записей: 7 | Зарегистр. 04-07-2006 | Отправлено: 12:36 26-09-2012
ziz2



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Nion
В своё время помогла программка  RectorDecryptor с принудительной расшифровкой.
http://support.kaspersky.ru/faq/?qid=208638517
Всего записей: 102 | Зарегистр. 11-06-2012 | Отправлено: 12:49 26-09-2012 | Исправлено: ziz2, 12:51 26-09-2012
9285

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Nion
А каково имя трояна?
Если неизвестно, но есть его тело, то проверь его на virustotal.com
Исходя из названий, ищи средства по борьбе с его последствиями.
Пока не известно имя виновника хотелось бы предупредить. В идеале, на этот раздел не надо ничего записывать - причём не только самостоятельно. Не помню имя шифратора, после которого расшифровать файлы невозможно; но он зашифрованные файлы сохранял под другим именем а старый удалял. И именно такой момент позволял восстановить исходные файлы.
 
Если нет пока средств для расшифровки (и особено есл зловред новый) то обратиться в обратиться в техподдержку анивирусников, для поиска алгоритма и т.п.
В идеале - обращение в соотвествующие органы. Ведь это по сути дела шантаж и по сути дела уничтожение информации с использованием программ, а не банальный развод типа блокирования вннды. И за это статья светит.
Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 13:05 26-09-2012
Nion

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ещё один с mail.ru на этот раз с сундуком мертвеца. Чем ловить то их? =(
Всего записей: 7 | Зарегистр. 04-07-2006 | Отправлено: 12:47 27-09-2012
9285

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ещё один с mail.ru на этот раз с сундуком мертвеца. Чем ловить то их? =(

Если кто нибудь понял о чём речь, то обьясните.
Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 15:03 27-09-2012
ziz2



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 Если кто нибудь понял о чём речь, то обьясните

Возможно об этом
Всего записей: 102 | Зарегистр. 11-06-2012 | Отправлено: 15:30 27-09-2012
Nion

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Именно эта хрень =(
Всего записей: 7 | Зарегистр. 04-07-2006 | Отправлено: 09:54 28-09-2012
9285

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Теперь понятно, хотя в некоторой степени было интереснее другое.
Не то, что ещё получили а что с исходной ситуацией. Что за шифровальшик, реально ли файлы или просто заменен небольшой кусок файла (такое уже встречалось как то).
Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 18:12 28-09-2012
Nion

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Письмо какое то с mail.ru но девочка которая словила, толком не помнит.... что и как.
Всего записей: 7 | Зарегистр. 04-07-2006 | Отправлено: 15:10 01-10-2012
MutantSpb

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сегодня на компе словил эту хрень. Зашифровало кучу файлов doc xls и jpeg. До сетевого диска (базы 1с) к счастью не добралась. Пришло писмо с paycrypt@gmail.com о способах избавления (оплаты с высылкой ключа дешифрования). Написал на virusinfo, оплатив  +аккаунт. Пришло сообщение что они в этом случае помочь не могут, и сразу (!) вернули деньги. Завтра буду писать и узнавать сколько хотят денег. В отзывах на форумах каспера и дрВеба пишут что реально присылают и ключ и интрукцию и все приходит в норм состояние, причем даже модеры (!!!) пишут что почти во всех случаях если инфа была важна, придется платить. Цена вопроса плавает и составляет от 150 евро (!) в зависимости от количества зашифрованного. Как с этим бороться пока не ясно. Инфицируется посредством открытия .js и .scr  в архиве, который приложен к письму, часто с известного получателю адреса. Надо ВНИМАТЕЛЬНО смотреть что открываешь (впрочем как всегда), БЭКАПИТЬ ВСЕ ВАЖНОЕ НА НЕСЕТЕВОЙ НОСИТЕЛЬ!!! Сейчас судя по всему начинается настоящая эпидемия этой заразы. Все антивирусные фирмы РЕАЛЬНО засуетились.
Всего записей: 8 | Зарегистр. 11-11-2009 | Отправлено: 22:27 30-10-2014
KLASS



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MutantSpb
Скиньте, пожалуйста, сам скрипт в архиве на klass@bk.ru
Если почта уже не пропускает, то просьба выложить на обменник
Всего записей: 11728 | Зарегистр. 12-10-2001 | Отправлено: 23:19 30-10-2014 | Исправлено: KLASS, 23:46 30-10-2014
MutantSpb

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS Завтра днем выложу, когда доберусь до рабочей почты
Всего записей: 8 | Зарегистр. 11-11-2009 | Отправлено: 01:11 31-10-2014
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Испорчены файлы Word, Excel и JPG


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru