Witam na dysku sieciowym pojawił się wirus szyfrujący dane proszę o sprawdzenia danych czy mogło być z tego komputera
Jeżeli z tego to masz w HKCU ⁄ Software ⁄ klucz “cryptolocker”. Chyba że od infekcji minęło 72 godziny to klucz się automatycznie usuwa i już nie stwierdzisz z jakiego komputera była infekcja. Chyba że w wiadomościach e-mail znajdziesz przysłany plik w którym znajduje się ten trojan. Jeżeli wiesz kiedy była infekcja wyłącz wszystkie komputery na 72 godziny to trojan sam się zdezaktywuje. Co do odzyskania plików to na 99% się nie da chyba że zapłacisz.
W kluczu RUN i RunOne tez powinno być cryptolocker
Możesz podesłać screena drzewa kluczy HKCU ⁄ Software to zobaczymy.
Infekcja była w piątek a log jest z soboty czyli na tym co podesłałem komputerze mógł być wirus?
Mógł ale poszukaj w poczcie. To nie jest wirus który wchodzi z neta. To jest plik który trzeba otworzyć i przychodzi w poczcie.
Tylko teraz czy od soboty wystarczy ze będą wyłączone komputery to będzie wystarczające by wirus nie infekowal dalej a w poniedziałek firma musi działać czyli najlepiej namierzyć jest na którym komputerze został otworzony załącznik
Firma powinna zatrudnić osobę, która będzie utrzymywała komputery w odpowiednim stanie, bo system zaśmiecony programami typu adware.
Mogę Ci napisać, że nie widać wirusa szyfrującego pliki.
A jak w logach FRST rozpoznać wirusa szyfrującego? Mam jeszcze kilka logów z kilku komputerów.
Na razie nie wiadomo jaki to jest wirus, bo istnieje kilka odmian tego typu infekcji.
Trzeba szukać w autostarcie jakiś podejrzanych plików.
Powinno to być widoczne w sekcji Registry (Whitelisted) lub Scheduled Tasks (Whitelisted).
Odpiąłem i skanowałem ten dysk sieciowy na komputerze odłączonym od sieci i żadnymi programami nie wykrywa czegokolwiek.
W jednym z logów w sekcji co Pan wskazał znalazłem takie coś
FRST wskazało jako attention.
Zawsze jest attention gdy brakuje pliku (No Task File) do którego odnosi się zaplanowane zadanie.
To nie jest wirus szyfrujący.
Tylko teraz jakie podjąć działania by wirus nie poszedł dalej i jak się chronić na przyszłość jeżeli w firmie mamy pocztę imap do której sporo ludzi ma dostęp?
Wirus szyfruje pliki, a następnie kasuje oryginalne pliki.
Niektóre odmiany dodatkowo nadpisują skasowane pliki, żeby uniemożliwić przywrócenie plików za pomocą programów do odzyskiwania danych.
Rozumiem dzisiaj rozszyfrowaliśmy dysk (przysłali program) tyle zrobiłem log FRST i zauważyłem dziwne wpisy
DEC i CONFIG przysłali a te pliki wyżej widocznie stworzyły się po uruchomieniu
2015-07-16 07:03 - 2015-07-16 07:06 - 00000000 _____ C:\Windows\windowstempinformation.txt
2015-07-16 07:03 - 2015-07-16 07:06 - 00000000 _____ C:\Windows\system32windowsappdata.txt
2015-07-16 07:03 - 2015-07-16 07:06 - 00000000 _____ C:\Windows\numofgoodtempvaluesystem32.txt
2015-07-16 07:03 - 2015-07-16 07:06 - 00000000 _____ C:\Windows\appnumberwindowssystem.txt
2015-07-16 07:02 - 2015-07-16 07:02 - 00001278 _____ C:\Users\DTL1W4J\Downloads\Config.txt
2015-07-16 07:02 - 2015-07-16 07:02 - 00000000 _____ C:\Users\DTL1W4J\Desktop\dec.jpg.2zi61ct.partial
Całość logu
Addition
FRST