Пропал поиск и зашифровало файлы

WindowsNT · Отправлено: **12:05, 14-12-2015** | #2

1. Система поражена вирусом-шифровальщиком. Устраняйте. В свойствах созданных файлов можно увидеть две вещи: у кого имеются разрешения на их создание и их владельцев/создателей.
2. Далее доставайте файлы из резервных копий и/или Shadow Copies (теневых копий), которые, по-хорошему, должны создаваться ежечасно.
3. Ищите причину, почему заражение стало возможным, устраняйте её. В 99% случаев этому причиной является плохая работа администратора: раздача прав администратора пользователям, не включена политика Software Restriction Policies. не установлены последние обновления Windows.

kot488 · Отправлено: **12:16, 14-12-2015** | #3

Признаю свою вину, безалаберно отнесся(((

Как найти что именно их зашифровало? малоли оно и дальше лежит у меня на машине и ждет своего часа(

В свойствах нет нечего кто и когда его создавал, контора не большая 2-3 человека бакапы только ночью делались

вот это оно может быть?
https://securelist.social-kaspersky....in32.Scar.lvmb

Angry Demon · Отправлено: **13:13, 14-12-2015** | #4

Цитата kot488:

Как найти что именно их зашифровало?

Обычно на Рабочем столе остаётся обоина или файлик с описанием и предложением "за скромную плату" вернуть всё обратно.

kot488 · Отправлено: **13:28, 14-12-2015** | #5

Цитата Angry Demon:

Обычно на Рабочем столе остаётся обоина или файлик с описанием и предложением "за скромную плату" вернуть всё обратно. »

Пусто

WindowsNT · Отправлено: **16:13, 14-12-2015** | #6

Кто владелец созданных файлов?
Если это не конкретный пользователь, а группа Administrators/Domain Admins, то это сделал сотрудник с привилегиями администратора на этом сервере.
Исходя из владельца, можно искать его рабочую станцию.

kot488 · Отправлено: **17:06, 14-12-2015** | #7

Какая то х*ня с бакапами произошла, бакапы релаж 10 дней, смотрю логи прогр которая бакап делает, она удалила последний бакап за 23.11.2015 а в папке лежит 3 зашифрованых и три от 12.12.2015, где остальный не понятно, да и r-studio молчит(

kot488 · Отправлено: **19:08, 14-12-2015** | #8

к-ыегвшщ не видет созданные и удаленные бакапы созданные в учшдфтв, но зато увидел файлы которые я год назад через форматирование снес(

WindowsNT · Отправлено: **20:18, 14-12-2015** | #9

Нет, вы не можете восстанавливать бэкапы с помощью спецпрограмм типа R-Studio. Они не будут целостными.
Ищите подлинные целостные копии. Разумеется, вы должны проверять качество копирования и отрабатывать процедуру восстановления. Не понял, что с Shadow Copies, их тоже не делалось? Что с владельцами, ничего нет?

Возможно, здесь вам помогут с расшифровкой: http://virusinfo.info/forumdisplay.php?f=46
Но я бы не стал на это делать серьёзных ставок.

pavsem7 · Отправлено: **21:46, 14-12-2015** | #10

Цитата WindowsNT:

или Shadow Copies (теневых копий), которые, по-хорошему, должны создаваться ежечасно. »

Наивная вера в эти копии. Шифровальщики давно научились шифровать и все существующие копии заодно. Не предлагайте, чего не знаете.