На работе словили шифровальщика.

кот Бегемот
На сайте с 07.12.2009
Offline
278
6965

Бухгалтер получил письмо якобы от котрагента с просьбой проверить правильность чего-то там, щёлкнул и в результате запустился шифровальщик-вымогатель.

оказались зашифрованными все файлы в форматах майкрософт офиса и база 1С. Txt и проч текстовые форматы остались не тронутыми.

Расширения у файлов не поменялись.

Ценного на компе таблицы в экселе и база 1С.

Куда обращаться, что делать? В общес что есть фирмы, занимающиеся расшифровкой, знаю, по интернету уже полазил, вызывает некоторое недоверие тот факт что у компаний, которая "14 лет на рынке IT" домен от августа 2016, сайт на джумле и нулевые показатели входящих исходящих ссылок, ТИЦ и прочего..

Если у кого есть опыт решения аналогичной проблемы, поделитесь плз..

Яндекс Директ, Гугд адворс, не дорого и ответственно. Телеграмм @H_Ilin
moldu
На сайте с 27.04.2006
Offline
Модератор425
#1

garik77, начни поиск "таблетки" на сайтах антивирусных компаний, бывает что лекарства оттуда помогают и удается самому все исправить.

https://blog.kaspersky.ru/ransomware-for-dummies/13579/

Глаза боятся, а руки-крюки.
IndexSa
На сайте с 23.12.2005
Offline
209
#2

Ничего не поможет.

Нужно делать копии и включить и настроить теневое копирование.

Что у бухгалтерши было, виндус7?

мозг находится в мире, а мир находится в мозгу
кот Бегемот
На сайте с 07.12.2009
Offline
278
#3

IndexSa, Сейчас воппос не в том как защититься, а в том как восстановить утраченную информацию.

На компе Win-8.1 лицензионный.

IndexSa
На сайте с 23.12.2005
Offline
209
#4
garik77:
IndexSa, Сейчас воппос не в том как защититься, а в том как восстановить утраченную информацию.
На компе Win-8.1 лицензионный.

Поэтому то я и спрашиваю, было ли включено теневое копирование.

Если да, то можно вернуть все файлы в исходное (вчерашнее) состояние, до того, как началась шифровка.

вот тут почитай

http://windowsnotes.ru/windows8/vosstanavlivaem-predydushhie-versii-fajlov-v-windows-8/

Только смотреть надо быстро, возможно шифровальщик будет работать и после перезагрузки.

кот Бегемот
На сайте с 07.12.2009
Offline
278
#5
IndexSa:
Только смотреть надо быстро, возможно шифровальщик будет работать и после перезагрузки.

Я вчера удалил шифровальщика и все его следы зачистил.

---------- Добавлено 07.04.2017 в 14:51 ----------

Уфф, я сейчас дома, комп за городом, поробую выяснить.

impossible
На сайте с 12.01.2008
Offline
175
#6

Заплатить вымогателям, сумму вычесть из ЗП виновных: бухгалтера и админа (т.к. не было антивируса, ну если он есть по бюджету компании, если не было то только бухгалтера, хотя встает другой вопрос к руководству почему его не было)

Хостинг для ваших клиентов (https://www.reg.ru/domain/new/?rlink=reflink-37457) Промокод на скидку в 5% в REG.RU BAC8-940C-492F-032D
кот Бегемот
На сайте с 07.12.2009
Offline
278
#7
impossible:
Заплатить вымогателям, сумму вычесть из ЗП виновных

Очень глупый совет. Никогда вымогатели не восстанавливают зашифрованные файлы. Это всё равно что выбросить деньги в сортир и смыть за собой.

да и кого виновным назначить?

Мы работали с фирмой "Атолл". Письмо пришло якобы от их имени. Бухгалтер не специалист по компьютерной безопасности.

---------- Добавлено 07.04.2017 в 15:25 ----------

impossible:
т.к. не было антивируса

Это не ловится антивирусом.

Lord Maverik
На сайте с 15.04.2003
Offline
467
#8

вложение какого формата было? doc, rar, exe?

RedMall.Ru (https://redmall.ru) - Товары из Китая (Таобао, Tmall) с проверкой качества, скидка для форумчан 7% Партнерская программа 2 уровня: 5% + 5%. Подробнее. (https://redmall.ru/about/partner/)
IndexSa
На сайте с 23.12.2005
Offline
209
#9

Lord Maverik, там только ссылка была и текст письма.

Защиты от этого нет.

При нажатии ссылки запускается скрипт скачивающий компоненты шифровальщика и запускающий на выполнение файл

кот Бегемот
На сайте с 07.12.2009
Offline
278
#10

Совершенно верно, письмо и как я понял из разъяснений бухгалтера, какая-то ссылка, типа на документ сверки.

---------- Добавлено 07.04.2017 в 16:03 ----------

У меня остался образец html файла вымогателя, я заархивировал его, в теле полно 64base кода.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий