Технический форум
Вернуться   Технический форум > Компьютерный форум > Форум по вирусам и антивирусам > Безопасность


Ответ
 
Опции темы Опции просмотра
Старый 28.04.2022, 19:56   #1 (permalink)
Stolyar
Member
 
Регистрация: 10.04.2013
Сообщений: 156
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию Классика жанра, бухгалтер запустил файл с налоговой задолженностью

Добрый день. Ну когда же уже бухгалтера начнут вначале думать головой, а потом что-то делать. Всё по классике, бухгалтеру пришло письмо с типа "Налоговой задолженностью" и естественно она скачивает файл из него и пытается открыть. Распаковывает содержимое и запускает из него файл скрипта виндового. И только когда ничего не получается она звонит с вопросом как открыть это файл. Причём она уже умудрилась не просто скачать, но и распаковать содержимое. Правда сказала что когда запустила какая-то ошибка появилась, какая она естественно не помнит. Я проверил, пока зашифрованных файлов нет на компе, но как-то хочется быть уверенным что он таки не успел сработать. Посмотрите пожалуйста образ автозапуска этой системы. Спасибо.
Вложения
Тип файла: 7z DESKTOP-9I7QQUJ_2022-04-28_18-43-18_v4.12.7z (953.3 Кб, 16 просмотров)
Stolyar вне форума   Ответить с цитированием

Старый 28.04.2022, 19:56
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0

Необходимые ответы вы можете найти по этим ссылкам

Запустил файл с вирусом
Сейчас запустил файл, звук есть, видео нет.
Запустил подозрительный файл прошу проверить.
Определение жанра
Однокласники.ру - проект налоговой инспекции..

Старый 29.04.2022, 08:19   #2 (permalink)
Vvvyg
Member
 
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,705
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 8985
По умолчанию

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
Код:
;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
delall %SystemDrive%\PROGRAMDATA\DRIVE.WSF
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.85\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.122\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.85\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.122\PSMACHINE_64.DLL
apply
deltmp
restart
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Vvvyg вне форума   Ответить с цитированием
Старый 29.04.2022, 10:19   #3 (permalink)
Николай_С
Радиоинженер
 
Аватар для Николай_С
 
Регистрация: 25.09.2012
Адрес: г.Дзержинск Нижегородской обл.
Сообщений: 24,638
Записей в дневнике: 7
Сказал(а) спасибо: 284
Поблагодарили 219 раз(а) в 70 сообщениях
Репутация: 107396
По умолчанию

Цитата:
Сообщение от Stolyar Посмотреть сообщение
Ну когда же уже бухгалтера начнут вначале думать головой, а потом что-то делать.
Полагаю тогда, когда будут сами оплачивать восстановление зашифрованных файлов 1С. А это весьма недешевое удовольствие. По-другому никак!
Николай_С вне форума   Ответить с цитированием
Старый 11.05.2022, 11:35   #4 (permalink)
WHS
Механик
 
Аватар для WHS
 
Регистрация: 02.08.2011
Адрес: |30RUS|
Сообщений: 18,163
Записей в дневнике: 3
Сказал(а) спасибо: 382
Поблагодарили 165 раз(а) в 38 сообщениях
Репутация: 91412
По умолчанию

Цитата:
Сообщение от Николай_С Посмотреть сообщение
Полагаю тогда, когда будут сами оплачивать восстановление зашифрованных файлов 1С. А это весьма недешевое удовольствие. По-другому никак!
Всё зависит от сисадмина, я когда работал админом, у меня тоже главбух была "классика жанра" но после пары случаев когда она подцепляла на свою машину вирусню, был у нас с ней разговор, во время которого я ей популярно объяснил чем грозит ей такие необдуманные поступки, после чего она стала либо проверять скачанный файл антивирусом перед запуском, либо вызывала меня прежде чем что-то скачать/открыть по ссылке.
__________________
«Sound. Vision. Soul» ©
WHS вне форума   Ответить с цитированием
Старый 11.05.2022, 12:24   #5 (permalink)
Николай_С
Радиоинженер
 
Аватар для Николай_С
 
Регистрация: 25.09.2012
Адрес: г.Дзержинск Нижегородской обл.
Сообщений: 24,638
Записей в дневнике: 7
Сказал(а) спасибо: 284
Поблагодарили 219 раз(а) в 70 сообщениях
Репутация: 107396
По умолчанию

Вменяемая барышня попалась. В моей практике такое случалось не часто. Чаще всего приносили зашифрованную БД и прочили быстренько расшифровать, т.к. уже надо с ней работать.
Николай_С вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Старый 25.05.2022, 10:31   #6 (permalink)
Max
Компьютерщик
 
Аватар для Max
 
Регистрация: 12.02.2008
Адрес: Регион 86
Сообщений: 11,328
Записей в дневнике: 36
Сказал(а) спасибо: 8
Поблагодарили 1 раз в 1 сообщении
Репутация: 24835
По умолчанию

Цитата:
Сообщение от Stolyar Посмотреть сообщение
Ну когда же уже бухгалтера начнут вначале думать головой, а потом что-то делать. Всё по классике, бухгалтеру пришло письмо с типа "Налоговой задолженностью" и естественно она скачивает файл из него и пытается открыть.
Никогда они не начнут думать, иначе админы и эникеи станут менее востребованы.
В качестве профилактических мер рекомендую сделать следующее:
1. Исключить учетную запись пользователя из группы администраторов;
2. Реализовать политику ограничения использования программ SRP, на локальном уровне (если сетка не доменная), делается через secpol.msc;
3. Установите антивирус и запарольте его, чтобы пользователь не мог его самостоятельно отключить;
4. Позаботьтесь о бэкапах, хотя бы папки профиля пользователя.
__________________
Не задавай вопросов, если не знаешь, что делать с ответом.
Max вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 18:16.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.