Siller
15-01-2023, 14:33
Здравствуйте.
Помогите пожалуйста разобраться. Меня тревожит следующая ситуация:
1. во время работы внезапно вылезло сообщение в области уведомлений - к сожалению уже не помню точно но вроде похоже на "Потеря ключа шифрования" или "Архивация ключа шифрования"
https://recovery-software.ru/wp-content/themes/soft/images/blog/cypher/cypher-message.webp
2. я кликнул на это уведомление и появилось окно похожее на это
https://recovery-software.ru/wp-content/themes/soft/images/blog/cypher/cypher-now.webp
Т.к. я ничего не шифровал то закрыл его. Но после меня одолела тревога - с чего вдруг такое окно вылезло? Может вирус-шифровальщик - помогите пожалуйста прояснить ситуацию и провести действия чтобы выяснить что произошло?
Я нашел похожий вопрос на хабре - там человек, как и я работал в Visual Studio и так же получил сообщение о создании копии ключа шифрования. Если я правильно понял его соседние темы - он нашел трояна ((
Что я уже сделал:
- Просмотрел события в консоли событий - я не специалист, но из непонятного я увидел следующее:
Приложения - почему-то последние пару дней все забито событием - "Запуск сеанса 5..." от RestartManager
167851
Безопасность - много записей:
Выполнен выход учетной записи из системы. Субъект:ИД безопасности: АНОНИМНЫЙ ВХОД
Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: NULL SID
167852
- Провел поиск по всем дискам тотал-коммандером по аттрибуту - зашифрованно - ничего не нашлось.
- Зашифровал папку - папка "позеленела" но предложение о архивации ключа шифрования не выдало.
- Проверил sfc /scannow - все ок
- Открыл - управление сертификатами шифрования файлов - посмотрел сертификат, а он судя по всему недавно созданный! В это же время как раз и вылезло сообщение об архивации ключа! 167850 Может в этом все дело? И что это значит? Я ничего не обновлял! Я к сожалению плохо знаком с сертификатами и их работой.
Пока я не вышел из системы и не перезагрузился - можно как-то подложить соломки? Например перешифровать все файлы если таковы имелись? Как проверить что было зашифровано если вообще было?
ps: нашел схожую тему (http://forum.oszone.net/thread-216330.html) - но понимания нет. Советуют fsutil behavior set disableencryption 1 - не знаю чем это поможет? Теперь уже не знаю - может мне в тему по вирусам надо было писать?
Помогите пожалуйста разобраться. Меня тревожит следующая ситуация:
1. во время работы внезапно вылезло сообщение в области уведомлений - к сожалению уже не помню точно но вроде похоже на "Потеря ключа шифрования" или "Архивация ключа шифрования"
https://recovery-software.ru/wp-content/themes/soft/images/blog/cypher/cypher-message.webp
2. я кликнул на это уведомление и появилось окно похожее на это
https://recovery-software.ru/wp-content/themes/soft/images/blog/cypher/cypher-now.webp
Т.к. я ничего не шифровал то закрыл его. Но после меня одолела тревога - с чего вдруг такое окно вылезло? Может вирус-шифровальщик - помогите пожалуйста прояснить ситуацию и провести действия чтобы выяснить что произошло?
Я нашел похожий вопрос на хабре - там человек, как и я работал в Visual Studio и так же получил сообщение о создании копии ключа шифрования. Если я правильно понял его соседние темы - он нашел трояна ((
Что я уже сделал:
- Просмотрел события в консоли событий - я не специалист, но из непонятного я увидел следующее:
Приложения - почему-то последние пару дней все забито событием - "Запуск сеанса 5..." от RestartManager
167851
Безопасность - много записей:
Выполнен выход учетной записи из системы. Субъект:ИД безопасности: АНОНИМНЫЙ ВХОД
Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: NULL SID
167852
- Провел поиск по всем дискам тотал-коммандером по аттрибуту - зашифрованно - ничего не нашлось.
- Зашифровал папку - папка "позеленела" но предложение о архивации ключа шифрования не выдало.
- Проверил sfc /scannow - все ок
- Открыл - управление сертификатами шифрования файлов - посмотрел сертификат, а он судя по всему недавно созданный! В это же время как раз и вылезло сообщение об архивации ключа! 167850 Может в этом все дело? И что это значит? Я ничего не обновлял! Я к сожалению плохо знаком с сертификатами и их работой.
Пока я не вышел из системы и не перезагрузился - можно как-то подложить соломки? Например перешифровать все файлы если таковы имелись? Как проверить что было зашифровано если вообще было?
ps: нашел схожую тему (http://forum.oszone.net/thread-216330.html) - но понимания нет. Советуют fsutil behavior set disableencryption 1 - не знаю чем это поможет? Теперь уже не знаю - может мне в тему по вирусам надо было писать?