Троян в офисе

Question

[Alexander Kryuchkov]

Добрый день, буду краток. В офисе схватили троян — сперва на рабочий стол высветил табло, что хочет 100евро за удаление себя с экрана.
Я тупо перезагрузил комп в safe mode и с помощью cureit удалил гадость. Однако вместо документов есть сотни и тысячи файлов с именем типа LikfoihpioufpiUGFIOP и не открываются ничем.
Пробовал пару утилит от DrWeb — не помогает.

Кто попадал на эту гадость?
Что делать?

Пишу сумбурно сюда, одновременно делаю бекап всего на флешки.

Comments

[Nickel3000]

На вирусинфо писали? Какой троян CureIt определил?

[Alexander Kryuchkov]

Еще не писал — гораздо важнее сделать актуальные бекапы сперва =) Найду лог cureit — выложу в топик.

[Alexander Kryuchkov]

Хех. Лог cureit тоже теперь зашифрован. Похоже заразу то все не удалил.
По-моему был encoder

Answer 1

[ash_kgd]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ и HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\, большинство программ записываются в эти два ключа.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

HKEY_LOCAL_MACHINE\System \CurrentControlSet\Services\VxD\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries и ее подветки…
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices\ загружаются как драйвера устройств.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit\ при загрузке любого пользователя.

Посмотрите внимательно данные ключи реестра!

Comments

[ash_kgd]

Ах да, забыл, если система не грузится, вариант:
загрузка через F8, либо с Live CD

[Alexander Kryuchkov]

Система работает. Ветки реестра нормальные, без лишнего. Просто файлы все зашифрованы.
Система после cureit работает нормально.

Answer 2

[Zharskiy]

или ограничьте права юзерам и ставьте патчи
или будьте готовы встречаться с ним регулярно

Answer 3

[sergof]

мне приносили ноут с похожей бедой: вымогалка + шифрованые файлы на десктопе. которые на деле оказались не шифроваными а просто порченными: в первых 12кб каждого файла был просто рандомный мусор, дешифрованию не подлежит (во всяком случае решения не нашлось). резервное копирование выручает (если оно было сделано, конечно. хотя практика показваент что никто не заботится о резервно копировании пока не станет слишком поздно)

Comments

[Alexander Kryuchkov]

Нужные файлы были в бекапе, но не совсем актуальные.
То, что не поддается дешифрации, это. конечно же, плохо.(

[sergof]

увы, да.
но хочу пожелать вам найти все же способ восстановить данные

попробуйте с помощью notepad++ (либо лучше с ромощью winhex) сравнить любой порченный файл с оригинальным (если найдется) — буде случится что различаются они на адресах 0000-3000 то можно не тратить время на поиски противоядия

[S1ashka]

оно может прятать в потоки ntfs или просто делать их скрытыми и системными (как делала зараза с ярлыками на флешке)
стоит написать на вирусинфо и ждать обновлений антивируса

Answer 4

[Николай Турнавиотов]

1. регулярное обновление честно купленной операционной системы, драйверов, офисного пакета, броузеров, флеша, жавы и другого п/о,
2. регулярные автоматические ежедневные бекапы, дублирование критических систем и виртуализация,
3. а так же разделение ролей по своим учётным записям,
4. отрезание прав всем, кому они не нужны — реально это админ, хелпдеск, 1-с бухгалтера с устаревшими клиентбанками и сервисники,
5. отрезание соцсетей, асек/скайпов, файлопомоек, торрентов, фриварных почтовиков всем, кому они не нужны
6. документирование всего и вся, и утверждение всех процедур на уровне периказа по компании

спасут отца-админа от 99% проблем.

У меня в компании после раскатывания банального всуса на все рабочие станции решило проблемы с вирусами где-то за неделю. сапорт уже забыл, что такое cureit

Answer 5

[asterisk]

создай LIVECD support.kaspersky.ru/viruses/rescuedisk?level=2 удалит твою заразу, только нужно после загрузки с диска настроить сеть и обновить базу антивируса.
Желаю успехов