Внимание! Очередной зловред FTCODEер — Шифрует все файлы пользователя

Вирус FTCODEСегодня, коллеги по цеху сообщили, наткнулись на очередной вирус, который приходит в виде запороленного архива по почте, а рядом с архивом написан пароль для разархивации, ну пользователю естественно интересно, что там такое и открывает архив введя пароль, тем временем на его ПК запускается скрипт *.hta который шифрует все файлы приписывая к ним расширение *.FTCODE.

 

 

 

Пример письма с вирусом FTCODEер

[stextbox id=»black» image=»null»]Добрый день, Меня зовут Александр я представляю ООО «Амбулатория». Мне дали задание отправить благодарственное письмо на компанию ***** за работу в сфере «****************». Мне нужен Ваш почтовый адрес, из моих данных только:
г. Москва, ********
Если Вас не затруднит дополните и уточните данные.

————————————————————-
С Уважением, Александр Юдин
Менеджер по связи с общественностью
ООО «**********»
115114, г. Москва, ул. Летниковская, д. 2, стр.4
Телефон: +7 (496) 2-**-90-** доп

потом архив с файлом благодарственное письмо.rar и паролем 12345. В нем и был зловредный файл.[/stextbox]

Потом на рабочем столе появляется файл read_me_now.txt в котором написано, что все файлы зашифрованы и для расшифровки нужно заплатить 10000 рублей.

Текст файла для примера:

[stextbox id=»black» image=»null»]Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована
с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо
Перейти зайти на страницу в интернете по адресу <ссылка> и следовать инструкциям
Если ссылка выше не работает перейдите по резервным адресам <ссылка> или <ссылка>
При попытке расшифровки без нашей программы файлы могут повредиться!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы![/stextbox]

Во первых, хочу еще раз всех предостеречь: Будьте внимательней при работе в интернет, и не открывайте подозрительные файлы из почты, аськи, скайпа, соц сетей. Кто Вам станет присылать некий архив с паролем? Если не знаете что там — не открывайте, иначе можно потерять много своих данных.

Во вторых, если Вы вдруг уже словили данный вирус и не знаете что делать, для начала можно почитать вот эту тему на сайте касперского, там, уже много людей, которые заразились этим вирусом, отписались о своей проблеме, некоторые даже нашли решение.

Вот описание лечения, которое некоторым помогло:

Ссылка на форум касперского

[stextbox id=»alert» image=»null»]

PS: если вы заразились и у Вас ни чего не получается, лучше обратиться к специалистам, если Вы в Нижнем Новгороде советую их (Компьютерная служба спасения — Нижний Новгород):

Ремонт компьютеров Нижний Новгород, удаление вирусов

У них как раз сейчас идут акции на удаление вирусов

[/stextbox]

Как временное решение, для того чтобы больше не заразиться, у одного из участников форума появилась гениальная мысль:

[stextbox id=»custom» caption=»Пользователь — widmo» collapsing=»false» collapsed=»false» image=»null»]советую всем, у кого домен, на всякий случай создать политику ассоциации hta с блокнотом… 

Настройка
Параметры панели управления
Параметры папок
Открыть с помощью (расширение: hta, программа: %WINDIR%\notepad.exe)
hta (порядок: 1)
Общие
Действие Обновить 
Свойства Расширение файла hta 
Связанная программа %WINDIR%\notepad.exe 
Использовать по умолчанию Включено 

Общие параметры
Параметры Остановить обработку элементов на этом расширении, если на этом элементе возникает ошибка Нет 
Запуск в контексте безопасности текущего пользователя (параметр пользовательской политики) Да 
Удалить этот элемент, если он больше не применяется Нет 
Применить один раз и не применять повторно Нет[/stextbox]

Если компьютер не в домене, т.е. домашний то нужно сделать следующее (windows7, 8):

Пуск > Панель управления > Все элементы панели управления > Программы по умолчанию > Задать сопоставления

Тут находим в большом списке расширение .hta, выделяем его, справа сверху нажимаем кнопку «Изменить программу», в появившемся окне раскрываем список «Другие программы», находим там «Блокнот» и выделяем его, нажимаем ОК, произойдет ассоциация файлов таких скриптов с блокнотом и они перестанут выполнятся — будут просто открываться в блокноте.

вылечить Вирус ftcode

 

Удачи, будьте здоровы!

Оставить комментарий


Примечание - Вы можете использовать эти HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>