Логин: 

Пароль: 


Регистрация       

Предупреждение о вирусах-шифровальщиках

(разговоры на отвлеченные темы)

Предупреждение о вирусах-шифровальщиках

Непрочитанное сообщение andrejd » Пт окт 09, 2015 9:37 am

Участились случаи заражения вирусами-шифраторами файлов, будьте осторожны.

Случилась у нас в конторе недавно серьезная проблема - заражение шифровальщиком, который кодирует все полезные файлы: документы, изображения, архивы и др. на локальных дисках. Восстановить их самостоятельно нельзя, только у разработчика вируса есть дешифратор, причем именно на конкретный случай заражения, неуниверсальный.
Наименование файлов и расширение меняется на набор символов, и в названии указывается некий email для связи, примерно так:

-------------------
email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-ADEGIKMNPQRTVWXZACDEGIJKMNPRRTVWYZAC-05.10.2015 9@33@322834287.randomname-CILLNOPPQRRSTUUVWWXYYZAABCCDEF.GHJ.cbf
-------------------

У нас началось с того, что пришло в приемную вроде бы обычное письмо с небольшим текстом, что-то вроде "высылаем новый подписанный договор, просьба ознакомиться" и ссылка (не вложение!). Секретарь сама ткнула, думает, что-то ничего не открывается, надо отправить в бухгалтерию, вроде для них письмо. Пересылает. Бухгалтер тоже щелкает по ссылке не глядя... Хотя в письме, если приглядеться, какой-то странный эл. адрес отправителя, текст про неизвестную для нас организацию, и еще более странная ссылка - если на неё навести, всплывает белиберда, а не понятный адрес url.

Короче, зашифровались у них все нужные локальные файлы. Антивирус стоял MSE, не помог. Ладно там в приемной, а вот у бухгалтера: сертификаты для отправки электронной отчетности, сами отчеты и всё такое без чего не жить. :) Хорошо еще, что базы 1С были не тронуты и другие документы, которые сетевые. Только локальные диски пострадали и подключенные через сеть.

Плакала-плакала бухгалтер, но решения кроме как написать по указанному email не нашли. Там мне ответили, что надо в этот же день перечислить 20 000 р. (на след. день уже 25 т.р.), тогда они высылают дешифратор. Думали, совещались с директором, с полицией (у той секретарши муж из МВД) решили оплатить, потому как отчет сдавать бухгалтерии через 2 дня...

После еще нескольких сообщений переписки выяснился порядок оплаты, они тоже не дураки оказались, принимают только bitcoins. Пришлось конвертировать на лету (есть такой ресурс) рубли в биткоины и отправлять на их кошелек. В итоге прислали дешифратор, не обманули, удалось вернуть всё как было. Но как уже говорил, он работает только с конкретным ключом, исправились документы у бухгалтера, для расшифровки данных секретаря не подошел. Ну что ж, урок ей...

Так что будьте очень внимательны при получении подозрительных писем! Они как правило приходят на официальные почтовые ящики организаций от каких-то неизвестных контрагентов, судебных органов и т.д. Но могут и на частные ящики попасть. Если в письме ссылка - лучше сразу не открывать, внимательно изучить куда ведёт. Имейте на компьютере хороший и обновленный антивирус, и обязательно резервные копии важных файлов на сетевых ресурсах или в облаке. Потому как в случае заражения, решения без получения оригинального дешифратора, а то есть без оплаты - пока нет...
Андрей
Аватара пользователя
andrejd
Постоянный член клуба
Постоянный член клуба
 
Сообщения: 231
Зарегистрирован: Ср окт 13, 2010 2:13 pm
Откуда: Центральный, Ворошиловский, Советский
Благодарил (а): 37 раз.
Поблагодарили: 14 раз.
Авто: FF1, 2004, 1.6i

Непрочитанное сообщение VladF » Пт окт 09, 2015 5:55 pm

Удивительно - у нас как раз сегодня единственная секретарша на это дело налетела. Выключили пока ее комп и оставили до понедельника - до возвращения начальника из командировки (для принятия решения).
Аватара пользователя
VladF
Староста клуба
Староста клуба
 
Сообщения: 2335
Зарегистрирован: Вт фев 12, 2008 12:00 am
Откуда: Волгоград, Дзержинский
Благодарил (а): 9 раз.
Поблагодарили: 55 раз.
Авто: FF2-2008, hatch, 1.6, comfort+sport, FW

Непрочитанное сообщение Диагност » Пт окт 09, 2015 9:37 pm

К понедельнику как раз полтинник запросят Робины хорошие.
Изображение
Решаю чужие проблемы. Тел. 14BA3B75AD (Hex)
Владимир
Аватара пользователя
Диагност
Мастер
Мастер
 
Сообщения: 4224
Зарегистрирован: Чт янв 01, 1970 3:00 am
Откуда: Волгоград, Советский/Ворошиловский.
Благодарил (а): 42 раз.
Поблагодарили: 271 раз.
Авто: FM'93/2.0/Ghia/газ, FF'07/1.6/A\T/Ghia

Непрочитанное сообщение andrejd » Сб окт 10, 2015 10:19 am

VladF, если успели вовремя выключить, может и не все файлы зашифровались. Я думаю лучше отдельно диск снять и на другом компе попробовать скопировать еще "целые" данные. Только на компе должен быть рабочий антивирус, он заодно прибьет шифровальщика. Их кстати уже много версий развелось, некоторые имеют способность прописываться в планировщик заданий Windows и запускаться потом опять. Так что проверку полную сделайте или систему переустановите с нуля.

Диагност, кстати, читал что с ними можно поторговаться, они обычно жадные, им хоть что-нить получить, чем ничего. :) Иногда ведь юзеру проще проститься с данными, чем платить.
Андрей
Аватара пользователя
andrejd
Постоянный член клуба
Постоянный член клуба
 
Сообщения: 231
Зарегистрирован: Ср окт 13, 2010 2:13 pm
Откуда: Центральный, Ворошиловский, Советский
Благодарил (а): 37 раз.
Поблагодарили: 14 раз.
Авто: FF1, 2004, 1.6i

Непрочитанное сообщение Ralf » Вс окт 11, 2015 9:18 pm

этому разводу уже более 4 лет. к сожалению универсального лекарства от него нет. антивирусы пропускают это действие. по сути идет шифрование файлов ключом что не является операцией с системными файлами и антивирус не видит в этом криминала. проблема серьезная и бьет точно в цель, раньше получалось чудом вытащить данные, подобрать код, но теперь все чаще случаи когда приходится или платить и расставаться с данными.

раньше покупал код за 3000 руб (года 3 назад), сейчас просят до 1000 баксов (было что просили 3 или 4 биткоина).

главное лекарство от этой беды - делать резервные копии важной информации и хранить их в недоступном месте.
Аватара пользователя
Ralf
Инспектор
Инспектор
 
Сообщения: 1681
Зарегистрирован: Вт авг 05, 2008 11:00 pm
Откуда: Волгоград
Благодарил (а): 2 раз.
Поблагодарили: 16 раз.
Авто: Nissan X-Trail

Непрочитанное сообщение -Евгенич- » Пн ноя 30, 2015 2:31 pm

от имени прокуратуры рассылают

https://news.mail.ru/incident/24127344
Homo Homini Non Lupus Est
Аватара пользователя
-Евгенич-
Инспектор
Инспектор
 
Сообщения: 3489
Зарегистрирован: Чт янв 01, 1970 3:00 am
Откуда: Волгоград, ЗКО
Благодарил (а): 0 раз.
Поблагодарили: 59 раз.
Авто: Тига 2.0 + Тига 2.0

Непрочитанное сообщение Focus063 » Пн ноя 30, 2015 5:22 pm

Моей жене от имени Сбербанка прислали письмо, якобы что у вас просрочка кредита, т.к. она партнёр сбера поспешила открыть не глядя, хорошо антивирус справился, загнал всё в карантин. Ещё приходила мне смс тоже якобы от сбера, о долге, позвоните по тел № ...... и всё узнайте, ага сейчас, я сам с безопасности сбера , знаю куда звонить. Удивляюсь странному бездействию полиции в выше приведёнными коллегами примерах, ведь это мошенничество, а они советуют платить. Во пока писал жене пришло письмо на почту якобы от прокуратуры, антивирус показал файл заражён. Опять развод.
Аватара пользователя
Focus063
Желанный член клуба
Желанный член клуба
 
Сообщения: 772
Зарегистрирован: Ср июл 11, 2012 8:38 pm
Благодарил (а): 136 раз.
Поблагодарили: 62 раз.
Авто: Focus 3, 2011, 1.6 white

Непрочитанное сообщение Алекс » Вт дек 01, 2015 10:06 pm

Эта тема знакома мне до боли. В общем на почту пришёл именно такой файл. Кто уже его открыл я или жена не определишь, но вирус успел зашифровать огромного количество фотографий и документов word. Короче вляпались мы конечно, отдавал комп спецам,ничего не сделали. Говорят подожди несколько лет, может лекарство найдут. Вирус на компе уничтожил, файлы зашифрованы.
Изображение
Александр
Аватара пользователя
Алекс
Желанный член клуба
Желанный член клуба
 
Сообщения: 647
Зарегистрирован: Чт июн 03, 2010 11:04 pm
Откуда: г. Волгоград. Красноармейский район
Благодарил (а): 19 раз.
Поблагодарили: 9 раз.
Авто: Kia Sportage 2,0 АТ 4wd Luxe

Непрочитанное сообщение Parallax » Вс июн 05, 2016 12:06 pm

У меня на работе бухгалтер открыла письмо и почти все файлы превратились в формат .cbf. Чего я только не пробовал, разные антивирусы от ДокторВеб до Ркил, на эти (http://itsecurity-ru.com/viruses/locky) инструкции по ручному удалению потратил не один час – толку мало, писал в поддержку Касперского – не помогли, так как не было лицензии. Помогла только програма ShadowExplorer - восстановила где-то 30% файлов. Теперь сидим и думаем что делать дальше - забить или платить...
Последний раз редактировалось Parallax Вт июн 07, 2016 10:54 pm, всего редактировалось 1 раз.
Parallax
Гость клуба
Гость клуба
 
Сообщения: 1
Зарегистрирован: Вс июн 05, 2016 12:01 pm
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.
Авто: FF-2 2008, VW Passat 2009

Непрочитанное сообщение Копаты4Ъ » Пн июн 06, 2016 8:10 pm

Parallax Вы кто? :shock:
Аватара пользователя
Копаты4Ъ
Инспектор
Инспектор
 
Сообщения: 3205
Зарегистрирован: Чт янв 01, 1970 3:00 am
Благодарил (а): 137 раз.
Поблагодарили: 69 раз.
Авто: FOCUS 're' 2.0AT, sedan (ИльКо)

Непрочитанное сообщение Lonely » Пн июн 06, 2016 8:11 pm

Parallax
такая же фигня на бывшей работе....
только вот платить смысла никакого нет.... как говорят сис админы оригиналы стираются... на их место встают зашифрованные файлы...
Аватара пользователя
Lonely
Старейшина клуба
Старейшина клуба
 
Сообщения: 2790
Зарегистрирован: Пн окт 17, 2011 3:36 pm
Откуда: Волгоград
Благодарил (а): 106 раз.
Поблагодарили: 68 раз.
Авто: Kia Koup 2.0 МТ+Hyundai IX35 2.0 AT


Вернуться в Болталка

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron