Adam <a.g@poczta.onet.pl> wrote:
> Witajcie!
> Wlazło jakieś dziadostwo, zaszyfrowało pliki (*.xls, *.jpg, *.txt -
> najczęściej używane rozszerzenia).
> Teraz chce, aby zapłacić.
> Problem dotyczy maszyn z Win7 Pro i serwera Win 2008 Std /x64 (SQL +
> serwer plików).
> To, co dziwne:
> starsze backupy sprzed kilu dni mają pliki zaszyfrowane (*.OMG!), zaś
> nowsze (sprzed 2-3 dni) wydają się czyste.
> Jak dziada znaleźć i wypatroszyć?
Jedyny pewny sposób to pełny reset systemu do stanu bez infekcji.
Programy antymalware/antywirusowe mogą nie znać tego konkretnego
zagrożenia i także nie dają gwarancji że usuną wszystko(często jedno
malware pobiera kilka innych). Ewentualnie pozostaje analiza logów
wytworzonych odpowiednim oprogramowaniem (np. FRST[1]) i ręczne
stworzenie skryptu usuwania. Nie da się napisać instrukcji typu usuń
taki wpis w rejestrze, zabij taki proces itd. bo każda infekcja potrafi
być unikalna z losowymi nazwami pliku wykonywalnego i wpisów w
rejestrze.
> Spybot nic nie widzi, Macrofix pokazuje jedynie mało znaczące
> ciasteczka, Comodo antyvir nic nie widzi, Avast Pro - tak samo :(
Comodo o ile miało włączony auto sandbox powinno ochronić przed
zagrożeniem.
1.
http://www.fixitpc.pl/forum-38/announcement-3-ważne-zakładanie-tematu-obowiązkowe-logi/
--
Piotr Borkowski
|