Вирус шифровальщик

[AndrewKirikoff]

Ситуация следующая.
Начал тормозить АМИКОН и СПЕД сбербанка.
В итоге посоветовали загрузить версию 4.6.
Я ее скачал и установил, после этого я обнаружил что СПЕД вообще не работает , ошибка 22.

Оказалось, что большая часть файлов на компьютере стали зашифрованы вирусом-шифровальщком (1С, все документы и тп. закодированы и не работают), антивирусы беспомощны. Тех помощь тоже, потому как есть риск, что не все файлы будут восстановлены без второй половины ключа , который имеется только у мошенников.

В общем пытался востановить систему и обнаружил следующие точки востановления
12:37 Установка драйверов: Infocrypt - я так понял это и есть вирус
12:43 Установка драйверов: Infocrypt
12:47 Установка драйверов: АМИКОН

Грешу на Вашу загрузку, потому как она устанвливалась порядка 10 минут. Просто очень странно почему установка вируса и вашей программы в столь близком временном промежутке.
Хотя может и дырка какая то в Системе была, а установка вашей программы лишь только спровацировала установку вируса. В общем много загадок пока.

 

[Dmitriy]

<r>Добрый день,
в случае, если Вы скачивали установщик с формы на нашем сайте <URL url="https://amicon.ru/update_client.php">https://amicon.ru/update_client.php</URL>, наличие вирусного ПО в дистрибутиве исключено. В противном случае сверяйте размер, хеши с эталонными значениями.
<SPOILER><s>

Спойлер

</s>К примеру, для ОС Windows они следующие:
FILE = AmiVPN_4_6_for_Windows.exe
SIZE = 1207344
HASH = 8CF9FB73E30B45B3F49B27267408C1D9FED81533FB0E24A466DAE75780B87C92
MD5 = 9f595ce17f2b9e81515fb7d2480f7c85<e>

</e></SPOILER>
Также можно проверить дистрибутив через сервис virustotal.com.
<URL url="https://www.virustotal.com/ru/file/e8c61c0f59703da8bc57bb25e5a6a561b22c4c8194742448108b1451b6604a84/analysis/"><s></s>Результат проверки.<e></e></URL></r>

 

[AndrewKirikoff]

ну я тоже надеюсь что с вашим дистрибутивом вирус не мог проникнуть , но хочу разобраться просто какова связь между установкой вашего софта и драйверов Infocrypt.
как оказалось данные вирусы шифровальщики не определяются антивирусами вообще , у других людей даже касперский их не определяет на стадии установки или загрузки ... антивирусы начинают их определять только тогда, когда уже файлы зашифрованы

 

[Dmitriy]

<r>Компания <URL url="http://infocrypt.ru/"><s></s>"ИнфоКрипт"<e></e></URL> разрабатывет драйверы для устройств типа VPN-Key, которые включены в состав нашего дистирибутива. В написании вирусов они не были замечены.
<URL url="https://www.virustotal.com/ru/file/17e1fe260572b51cad1d892c97709054961493016ae9fd5bd1c1ee1ade2c5d31/analysis/1344784584/"><s></s>Вот так<e></e></URL> определяется шифровальщик антивирусным ПО.</r>

 

[AndrewKirikoff]

при установке вашей программы , так же загружаются два драйвера Infocrypt или один должен быть?

 

[Dmitriy]

Да, драйвера два: VpnKey.sys и VKLoad.sys.

 

[AndrewKirikoff]

а подскажите в чем проблема
файлы от вируса расшифровали

IP-client обновлен 4.6
значек в трее есть,но он не активен, я даже правой кнопкой мыши нажимаю и меню не раскрывается

при нажатии на значек на рабочем столе IP-Клиент появляется сообщение что "FPSU .... already loaded"

 

[Roman_Sein]

<r>Добрый день!
<QUOTE author="AndrewKirikoff"><s>

</s>значек в трее есть,но он не активен<e>

</e></QUOTE>
Очевидно вирус повредил файлы ip-клиента и, соответственно, программа работает не корректно. Переустановите ФПСУ-IP/Клиент.</r>

 

[AndrewKirikoff]

я переустановил
обновлял до 4.6 была 4.1

а ключ он не мог повредить?

 

[Roman_Sein]

Неактивный "серый" значек ip-клиента в системном трее никак не связан с самим ключем, это именно программная ошибка, а не аппартаная. Также это говорит о том, что не запускается сервис. Уточните, пожалуйста, при установке версии 4.6 были ли какие-нибудь ошибки? Или покажите лог установки (C:\Program Files\Amicon\Client FPSU-IP\Install.log).