[Проблема] Вирус зашифровал файлы

[Cybersoft]

Файл получили от Mark Letscher <cyclones@duploclique.net>
В письме было вложение - файл с именем freningssparbanken_ab_lsp_8480-6.cab. Оператор дважды кликнул по нему, после чего на рабочем столе сменился фон:

[Abdurohman]

CTB-Locker — новая модификация трояна-шифровальщика FileCoder

Цитата:

Вредоносное ПО CTB-Locker относится к тому типу вымогателей, после деятельности которого невозможно расшифровать файлы без ключа, полученного от злоумышленников. Как мы уже неоднократно подчеркивали, использование резервного копирования является основным методом, который может использоваться для восстановления данных после деятельности такого вредоносного ПО, кроме этого своевременное обновление антивирусных баз также является необходимой мерой для предотвращения заражения.

[Cybersoft]

Цитата:

Сообщение от Abdurohman

своевременное обновление антивирусных баз также является необходимой мерой для предотвращения заражения.

Установленный лицензионный НОД32 с ежедневным обновлением баз пропустил эту гадость молча

[Abdurohman]

Цитата:

Сообщение от Cybersoft

Установленный лицензионный НОД32 с ежедневным обновлением баз пропустил эту гадость молча

Проработав в ИТ больше 10+ лет, пришел к выводу что, Нод, это не антивирус.. К этому списку могу еще пару неАнтивирусов добавить..

[Игорь Ласьков]

Цитата:

Сообщение от Abdurohman

Проработав в ИТ больше 10+ лет, пришел к выводу что, Нод, это не антивирус.. К этому списку могу еще пару неАнтивирусов добавить..

100% защиты ни один антивирус не даёт, так все антивирусы недоарийцами недоделанными считать?

[YUU]

Цитата:

Сообщение от Cybersoft

cab.

так это же не офисный файл... Оператора на повторное обучение отправьте.

[Sean]

Цитата:

Сообщение от Cybersoft

Установленный лицензионный НОД32 с ежедневным обновлением баз пропустил эту гадость молча

Вопрос в том, насколько это вирус в обычном понимании, если вы сами запускаете файл, а он запускает определенный скрипт.

[YUU]

Какой ущерб нанес вирус? Удалены ли важные базы 1С, информация? Смог ли залесть в базы аутлука? Если нет - копируйте pst файл или восстанавливайте файлы из серверного архива почты... Личные фотки, книжки и видео - не восстанавливайте - нечего засорять рабочий комп всяким не связанным с работой мусором.

Цитата:

Сообщение от Cybersoft

Mark Letscher <cyclones@duploclique.net>
В письме было вложение - файл с именем freningssparbanken_ab_lsp_8480-6.cab. Оператор дважды кликнул по нему, после чего на рабочем столе сменился фон:

Какой почтовый сервер используется оператором?

Обычно yahoo, gmail, mail ru yandex уже содержат антивирусы и такие файлы успешно блокируют (если базы поспели, конечно)

Судя по freningssparbanken это запрос на информацию по клиент-банк системе, операторская машина связана с обработкой таких данных? Если запрос пришел не от банка - он должен вызывать подозрения и удаляться.

Цитата:

Сообщение от Abdurohman

ыводу что, Нод, это не антивирус..

Судя по блогу на хабре, ребята работают - и свое дело знают. Другое дело, что нод (старые инсталляции, по крайней мере) были очень плохими (нещадно тормозили ПК) и трудно выпиливались из системы.

[spykee]

Цитата:

Сообщение от Cybersoft

freningssparbanken_ab_lsp_8480-6.cab.

Выложите файл нам тут, для экспериментов

[YUU]

Цитата:

Сообщение от spykee

Выложите файл нам тут, для экспериментов

и пару зашифрованных документов, да.