При работе с программами 1С и другими приложениями Windows, есть вероятность заражения компьютера вирусами. В этой небольшой статье хотелось бы предостеречь читателей от, наверное, самого опасного вируса на сегодняшний день — Trojan.Encoder.xxx

Данный вид шифрует файлы на ПК пользователя. С 2014 г. не поддается расшифровке по причине замены метода шифрования на более современный.

Основной метод распространения прост — письмо приходит на рабочую электронную почту пользователя с содержимым типа:

При беглом взгляде на письмо, пользователю вначале не сразу понятно от какой оно организации. Но ссылка внизу дает «ответ», что письмо якобы от ростелеком.рф. Вот здесь и заключается первый обман, потому как в суете рабочего дня, пользователь нажимает по ссылке, не смотря, что находится там на самом деле. Смотрим на примере Google Chrome: наведя курсор на ссылку, но не нажимая на неё, переносим взгляд в левый нижний угол окна браузера и видим следующее:Ссылки различаются и это должно уже вызвать подозрение.

Внимание!Не скачивайте и не запускайте файлы из писем такого вида и всегда проверяйте ссылки методом описанным выше.

Если ПК уже заражен, вирус шифрует в данный момент, то нужно в срочном порядке отыскать заветный файл, который запускает процесс шифрования. С машиной работать только из другой ОС, потому как зараженная будет шифровать файлы в реальном времени. Если антивирус ничего не нашел, ниже приведу самые наиболее часто встречающиеся по практике места где были найдены файлы шифровальщика вручную (обязательно включить в проводнике отображение скрытых и системных файлов). Смотреть следует в основном папку пользователя зараженной системы. Искать .exe файлы не на своих местах с причудливыми названиями(fhyegdtf.exe) или наоборот простыми(system.exe).

Далее на скриншотах приведу еще примеры, где следует внимательно посмотреть:

В папке local для нас, кроме корня каталога, интересует папка Temp. Это временная папка пользователя, куда система кидает остатки файлов и программ при работе. Её можно и нужно регулярно чистить. Удалять в ней можно всё, без исключения. Не страшно, если некоторые файлы не удалятся.
Вернемся в папку AppData и видим там папку Roaming:

После просмотра этой папки идем в Microsoft и далее в Windows:

Главное меню, программы, автозагрузка:

Отсюда система автоматически запускает приложения. Удаляем тоже всё!
Далее проверим встроенную утилиту msconfig.
Для этого нужно нажать клавишу windows (с флажком, между ctrl и alt) и R.
Затем ввести там msconfig и нажать enter.

В утилите msconfig проверяем вкладку «автозагрузка»
Если возникли трудности с пониманием, что отключить, а что нет, отключайте всё… так как ОС хуже не будет, а вероятность, что вы отключили запуск вируса — большая.

Добавить комментарий