Страницы: (1) 1
Пивован
 
  • Group Icon
  • Статус: Надо меньше пить...
  • Member OfflineМужчинаСвободен
Гадость, шифрующая файлы данных и предлагающая их восстановить за денежку, появилась года полтора назад. Раньше это было страшно, но далеко, а теперь увидел это дрянь воочию. Хорошо, что не у себя.
Вирус, как я понял из сбивчивых объяснений, пришел с письмом от якобы судебных приставов: бла-бла-бла, на вас наложен штраф, подробности в прицепе. Прицеп - вроде как вордовский файл. Юзер его попытался открыть и ...ц!
Видимо, файл имел двойное расширение типа doc.exe. Винда - сволочь! заднее расширение никогда не показывает, мол, это не вам, а системе. А юзер, видя знакомое doc, ни о чем не задумывается. И не надо сложных механизмов проникновения.
Вирус, или правильнее - диверсант, прошелся по винту и зашифровал все файлы данных: доки, таблицы, фотки и данные бухгалтерии. Файли переименовались в вид ххх id-{CCDEFGGGHIJKKLLMMNOPPPQRRSTUUUVWWXYY-18.12.2014 11@26@405895325}-email-mserbinov@aol.com-ver-6.1.0.0.b.cbf
На десктопе предложение прислать письмо на указанное мыло, вам сообщат, на сколько вы попали. После оплаты, возможно, пришлют дешифратор.

Катим дальше.
Поиски в сети показали, что это один из многих случаев. Рапостраняются с письмами во вложениях. Отличаются картинкой десктопа и почтой, на какую писать вымогателю. Ну и, видимо, чем-то внутри.
Каспер на убитом винте ничего не нашел. Мне не понравился каталог Program Files\SUD INFORMER\ROS INFORM SOFT, в котором лежат ехешники svchost и update, явно с левой начинкой.

Это сообщение отредактировал shambambukly - 19-12-2014 - 14:15
Пивован
 
  • Group Icon
  • Статус: Надо меньше пить...
  • Member OfflineМужчинаСвободен
Восстановление данных.
Касперские после умных объяснений по оформлению заявки отказываются дешифровывать.
Др.Веб принимает заявы только от тех, у кого есть лицензия на его продукты. Первоначально как-то помогали, сейчас попритихли.
Всякие панацеи от перечисленных авторов и некоторые другие не спасли.
Есть мнение, что в шифровке использован алгоритм RSA с длиной ключа 1024 байта. Вскрыть - нереально. Ключ шифровки - свой для каждого компа.
В общем, картина Репина. Идти на поклон к вымогателю. Я - решил попробовать восстановление предыдущих версий файлов. В удаленных уже поиск сделал - голяк. После этого - формат С: и новая жизнь.

По предыдущим версиям по прошло - точка восстановления была в 2012 г. Все, формат.
Тем, кто еще не пострадал:
1. Бекап, бекап и еще раз ... На флешки, DVD, а не тот же винт. Дважды не забекапленная информация потеряна априори.
2. Для продвинутых - смотрите, что ташите. Сохранили на диск - посмотрели. Использование более адекватных файл-менеджеров может избавить от нежданной гадости. Тот же FAR спокойно отобразит все подленько спрятанные расширения, да еще и разукрасит. Ну и кнопочка F3 для просмотра сомнительного файла. Четко видно MZ в начале программ. Если в доке видишь такое - это не док. В общем, учите матчасть.

Это сообщение отредактировал shambambukly - 19-12-2014 - 14:16
multiman3
 
  • *
  • Статус:
  • Member OfflineМужчинаСвободен
раньше не слышал про такие пакости. спасибо!
Ugols.law
 
  • *
  • Статус: Хочу познакомиться.
  • Member OfflineМужчинаВ поиске
(Пивован @ 19.12.2014 - время: 07:57)
1. Бекап, бекап и еще раз ... На флешки, DVD, а не тот же винт. Дважды не забекапленная информация потеряна априори.
2. Для продвинутых - смотрите, что ташите. Сохранили на диск - посмотрели. Использование более адекватных файл-менеджеров может избавить от нежданной гадости. Тот же FAR спокойно отобразит все подленько спрятанные расширения, да еще и разукрасит. Ну и кнопочка F3 для просмотра сомнительного файла. Четко видно MZ в начале программ. Если в доке видишь такое - это не док. В общем, учите матчасть.

1. Воистину - если есть бекап важной информации, то дальше все просто, хоть винт об стену и новый ставить 00003.gif

2 Почему для продвинутых, это следует делать всем! Главное не стереть расширение =)) И не обязательно использовать спец. программы, тем более их как правило все равно надо настраивать под себя. Достаточно в проводнике нажать кнопку "alt" -> сервис -> параметры папок -> вид -> снять галку с "скрывать расширения для зарегистрированных типов файлов".

П.с.: Так лично сам пользуюсь total commander, настроенную под мои предпочтения, но она платная, но если не хочешь платить, то вначале придется нажать одну и трех цифр, которые прога попросит =))))
СтавСтас
 
  • *
  • Статус: Не жалею, не зову, не плачу...
  • Member OfflineМужчинаСвободен
Полезная информация, спасибо. К счастью не сталкивался и, надеюсь, не столкнусь с подобной пакостью.
Важные файлы, тем более данные по финансам и т.д. - всегда храню вне компа, при необходимости подключаю. Ну и бэкап тоже присутствует.
Кетцаль
 
  • Group Icon
  • Статус: ............
  • Member OfflineМужчинаЖенат
Проблема уже не новая, в середине прошлого года сталкивался у одного клиента. От какого-то клиента пришло письмо с таким сюрпризом. Расшифровать самому - в некоторых случаях нереально, в некоторых случаях занимает недели. В бизнесе столь длительное отсутствие доступа к важным документам - недопустимо. Решение очень простое. Юзеры научены хранить всё самое важное на файловой шаре, которая бэкапится раз в сутки. Ничего критического и важного не ушло. Можно конечно заморачиваться с более серьёзными системами бэкапа, но дома или в малом бизнесе ничего такого обычно нет :)
Просто бэкапим важное - и всё. Например на внешний носитель с переключателем режима rw/ro, как на моднявых активных кейсах от Zalman. Либо на какую нибудь хранилку. Домашние варианты стоят копейки.

Ах да, стоял Каспер, с действующей лицензией но достаточно старой версией самого Каспера - 10ка. Но я уверен, что ни более новый Каспер, ни Нод32, ни другие антивирусы - данный сюрприз бы не обнаружили. Уже несколько раз сталкивался с подобными вещами на компах где стояли Nod, Др Веб..

Это сообщение отредактировал Кетцаль - 13-02-2015 - 18:16
Пивован
 
  • Group Icon
  • Статус: Надо меньше пить...
  • Member OfflineМужчинаСвободен
13-е, пятница.
Ездил любоваться на очередные проделки каки. Кроме доков и фото, зашифровалась база 1С магазина. Бекапов не было...
Пивован
 
  • Group Icon
  • Статус: Надо меньше пить...
  • Member OfflineМужчинаСвободен
Очередную дрянь поймали дома. Якобы, при поиске учебников. Тоже зашифровала все подряд. В названии файлов почтового адреса нет, расширение .xtbl
А вот Readme:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
******
на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Кетцаль
 
  • Group Icon
  • Статус: ............
  • Member OfflineМужчинаЖенат
(Пивован @ 13.02.2015 - время: 19:54)
13-е, пятница.
Ездил любоваться на очередные проделки каки. Кроме доков и фото, зашифровалась база 1С магазина. Бекапов не было...

Надеюсь юзеры урок усвоили? :) Задумались о нормальных бэкапах?
С мозгами хуже, если люди любят открывать палёные ссылки или почтовые вложения - это тоже конечно в большинстве случаев "лечится", но дольше и сложнее. Для начала надо бэкап - потеря дня не так страшна, как потеря вообще всего.
Пивован
 
  • Group Icon
  • Статус: Надо меньше пить...
  • Member OfflineМужчинаСвободен
Вновь посмотрел на работу нетонушей у чела дома. Поймал ребенок в Инете, внятно не знает, где. Все как в февральском посте. Мужик сразу форматировать винт отказался. Сказал ему, что восстановиться реально только через бабки вымогателю. Думает, на что-то надеется...
Tapochka
 
  • Group Icon
  • Статус: На самом деле я злой!
  • Member OfflineМужчинаСвободен
За деньги обычно восстанавливают. если речь идёт о юр.лице и сумме не менее 20000 руб. Сам был дважды свидетелем. Зацепить шифровщик случайно - бред. Люди, что на этом зарабатывают, знают о жертве ВСЁ. Рассылается он целенаправленно по конкретную операционку.
Пивован
 
  • Group Icon
  • Статус: Надо меньше пить...
  • Member OfflineМужчинаСвободен
В том-то и дело, что период целенаправленного бомбления прошел. Или исходники пошли в массы. Цепляют дома, самые простые челы, с которых особо ничего не поимеешь.
По расшифровке идет реклама конторок, которые за это берутся. Как они борят криптосотйкие алгоритмы с достаточно длинным ключом - не въезжаю. Сами вирусняк и распространяют?
Пивован
 
  • Group Icon
  • Статус: Надо меньше пить...
  • Member OfflineМужчинаСвободен
Очередная инновация называется spora. Пошла с конца января. Шифрует документы, картинки, базы 1С, архивы. Расшифровка только за деньги - порядка $280. Но, есть мнение, что, во-первых, срабатывает не на 100%, и во-вторых, после 20-го февраля вымогатели снизили активность и ложатся на дно, т.е. деньги берут, а расшифровщик могут не прислать.
Распространяется в письмах от социальных сетей, типа "Ответ на заявку" и т.п. В письме вкладыш с двойным расширением. Первое PDF вопросов не вызывает, а второе HTA по доброй традиции Винды скрывается ей, т.к. оно ей знакомо. При попытке открыть вирус запускается и извольте бриться!
В корне дисков создается скрытый исполняемый файл со случайным именем размером примерно 770 кб, и HTML с именем вида RUxxx-xxx.. xxx - ID юзера, а в файле - инструкция по утрате денег.
Лезет на сетевые папки/диски. Заменяет ярлыки на ссылки на себя. Так что при попытке открыть сетевую папку на чистой машине получаем еще одну радость. Антивирусы его видят постфактум, деятельности не препятствуют, впрочем, левую ссылку на сетевой папке обнаруживают и лечат, не давая распространяться дальше.
Удалить не фокус руками, но толку, если расшифровать нельзя? Я вылечил зараженную машину полной перестановкой системы с форматированием дисков, перезаписью MBR и прочими танцами.
Совет:
1. постоянный бекап всего важного
2. не тянуть и не открывать всякую непонятную каку
3. если уж не втерпеж - песочница антивируса, просмотр полных расширений скачанного, тела файла вьювером кода (напр., в FARе все это есть просто по умолчанию, а PDF отличается от чего-то левого на ура)
Вот таких бы гадов ловили реально, а не Васю П. за "левую" Винду!
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)

Страницы: (1) 1



Интересные топики

Google запустил бесплатные международные звонки

Объявление

Tomb Raider Underworld

цветной лазерный принтер

Red Orchestra 2