PDA

Просмотр полной версии : Вирус шифровальщик в эл.почте. Что делать?


AvtoSteklo
03-09-2015, 15:23
У товарища проблема. С утра на работе разбирал почту, среди всего попалось с вирусом. Гугл выводит решения, ни одно не действует. Может сталкивался кто? Методы и способы решения данной проблемы?
http://cs627119.vk.me/v627119576/14ede/cZ4ce3t1rhw.jpg

Neyron
03-09-2015, 17:50
1) немедленно выключить компьютер
2) загрузиться с вншнего носителя и попробовать восстановить удаленную информацию.
3) проверить компьютер антивирусом. так же загрузившись с внешнего носителя.
переустановить ос и программы так как зловред мог не отловиться до конца.

если данные ну очень ценные то иного выхода как просить злодеев расшифровать нет. вышеописанный способ годиться для востановления лишь части инфы.

Kolos
03-09-2015, 17:53
чота прям беда последнее время с этими шифраторами

boco
04-09-2015, 16:19
написано же: "отправь один зашифрованный файл на почту ..." =)

Кот, гуляющий сам...
04-09-2015, 16:37
Платить

Маркин
04-09-2015, 16:40
Напиши ему шалом йегудон тиль нун тэт леха ба тахат

Talibi
04-09-2015, 16:43
и что норм решили?

astromouse
04-09-2015, 16:43
некоторые шифровальщиков dr web может расшифровать

Neyron
04-09-2015, 17:08
такие шифровальщики прошлый век. давным давно перешли на стойкие шифры и асимметричные ключевые системы.

AvtoSteklo
04-09-2015, 17:26
Ассиметрию один раз спалил только,в виде документа-прайса, не ленюсь проверять скачанные файлы, качаю редко.

Кот, гуляющий сам...
04-09-2015, 17:33
да, других вариантов НЕ СУЩЕСТВУЕТ.
ну просто по алгоритму, ибо ключ расшифрования тока у злоумышленника.

а ну и в другой конторе бэкап все спас, хотя жалели...

The Joker
04-09-2015, 18:21
может ему на почту тож вирус послать что б у него все зашифровалось?)

The Joker
04-09-2015, 18:22
у нас в конторе ловили такой вирус тоже, добавлял ко всем файлам офисным свое расширение vault, после чего они не открывались. предлагали выкуп за определенную сумму.

Hameleon
04-09-2015, 18:47
одна знакомая заплатила денег на какой то номер Билайна. ничего в ответ не получила. потом меня позвала в гости на чай - я ей ручками этот вирус в компе нашел и удалил. и посоветовал не открывать файлы от незнакомых не проверенных личностей.

AvtoSteklo
04-09-2015, 19:53
Инструкцию может предоставите? Удалили 9 файлов, бесполезно, спец утилиты тоже не помогли от касперского

Кот, гуляющий сам...
04-09-2015, 19:54
ахаха...

Михалыч Уфимский
04-09-2015, 20:43
у моего знакомого жещще прикол был, поймал вирусняк, в виде всплывающего/неубирающегося окна с голыми девками... ну и ценник, решения проблем чет небольшой был, ну он и скинул сотни три, т.к. комп позарез нужен был... Ему даже код в ответ прислали...забивает он значит этот код, картинка не убирается, мало того что пришла в движение, так еще и звуки соответствущие присутствовать начали....

integro-o
04-09-2015, 21:00
доктор веб, либо подбор пароля методом перебора

veter82
04-09-2015, 21:26
либо грохнуть все к едрене фени и акронисом на низком уровне затереть всё, либо http://virusinfo.info/forumdisplay.php?f=46 тут бесплатно / http://virusinfo.info/forumdisplay.php?f=190 платно 500 рур, либо отдать денег за ключ дешифрования

boco
04-09-2015, 22:18
шутки шутками, но если файлы на самом деле нужны - рекомендую заплатить. изготовитель вируса просто зарабатывает деньги, у него нет задачи спасти ваши данные, поэтому он не будет идти навстречу если пролюбите недельный срок. не заплатите вы - заплатит кто-нибудь другой.

никакие антивирусы вам не помогут.

М101ОХ02
04-09-2015, 22:19
Хорошо зарабатываете таким путем?

haf
04-09-2015, 23:21
Бэкап либо оплата.
Дешифрация почти невозможна.
Сходи в глубокий интернет, авось чего и накопаешь.

Hameleon
04-09-2015, 23:44
тогда нашел свежие файлы.... в день когда вирус пришел. ну и удалил восстановитель вируса. все ручками без антивирусов.

поставил вручную преграду чтобы файл этот не заходил больше.

больше вирус к ней не заходил

haf
04-09-2015, 23:48
Прикол в том, что ловить вирусок надо в момент шифрования, чтобы спалить два ключа. Если их нет, то он только у них. Файлы шифровальщика затираются путем обнуления всех замешанных в этом деле, и только потом затираются.
Этот вирусок-зло то еще...

astromouse
05-09-2015, 00:22
что такое "свежие файлы в день когда вирус пришел"? "восстановитель вируса" это что такое? вручную ставить "преграду" это как?
таджикские программисты поделитесь вашим секретом

Rrrumba
05-09-2015, 00:47
Кроме как у кота и нейрона , внятных камментов не увидел.
кто нибудь сталкивался когда бугалтерия все летит? Теоретики одни млин!!!

haf
05-09-2015, 03:23
Какой требовательный гражданин... На форум каспера сходи.
Посмотри точки восстановления кстати. Авось что найдется.
В исходящих письмах также останется что-то приятное сердцу.

М101ОХ02
05-09-2015, 04:05
Это как нажал на письмо и мнгновенно файлы зашифровались? Открой через livecd диски.

boco
05-09-2015, 07:39
для шифрования нужен только открытый ключ. в этом вся суть асимметричной криптографии. так что нечего там ловить.

а ключи раз в неделю он меняет чтобы как раз усложнить жизнь антивирусникам. иначе б они купили утилиту дешифрования один раз и выпустили свой дешифратор.

всяко хуже, чем касперский =)

boco
05-09-2015, 07:44
и главно, сцуко, бьют по самым социально незащищенным - по бугалтерам и юристам =)

када бугалтер или юрист видит письмо из "налоговой", "фссп" или "прокуратуры" о начале какого-нибудь производства - он просто не может ничего с собой сделать, рука сама тянется к ссылке на яндекс.диск =)

kerka
05-09-2015, 08:56
Месяц назад контора знакомая словила, бесполезно... неделю с ним промурыжился. Платить также бесполезно, не факт что вышлют ключ. Не расшифруешь.

Кот, гуляющий сам...
05-09-2015, 10:38
Платиле, ключ присылале

Rocketman
05-09-2015, 12:46
а сколько за дешифрацию .vault просят сами вирусоавторы?

тут сторонняя контора берет что-то вроде 5к , как написано в комментах http://vremonte812.ru/features/widge...shifrator.html

Торм
05-09-2015, 13:16
квантовый компьютер надо для вычисления ключа просто

Кот, гуляющий сам...
05-09-2015, 14:07
Стороннее то посредники

haf
05-09-2015, 15:40
пара ключей генерируется на каждом компе индивидуально и отправляется по адресу....
ну короче не важно, ключей уже нет.
Тут спецы нужны. И все зависит от кошелька автора.
Я бы предпочел создать документы занова и потрясти тех, кому их копировал. А платить мошенникам я бы не стал.
Попался я так однажды, но вовремя увидел начавшийся процесс шифрования, вирус заглушил, бэкап был+яндекс диск+гоголь драйв.
Так как док файлы были на гугле, он начал удалять рабочие файлы, вытаскивал их из корзины гугля.

Neyron
05-09-2015, 18:10
ага сщаз. покажи ка мне умельцев которые вскроют pgp систему:D.
частично восстановить информацию можно только восстановив удаленные файлы так как вирус шифрует не сами файлы, а создает новые. а старые то бишь ваши удаляет.

Кот, гуляющий сам...
05-09-2015, 18:23
это старая версия так работает.
новые версии шифруют запись непосредственно на хдд в секторах, ну 100-200 знаков.
а не весь файл этого достаточно.
поэтому и скорость высокая.

Neyron
05-09-2015, 18:26
быстро они работают однако.
я сталкивался с тем что шифруется именно первая часть файла, но пишет таки в новый.

Кот, гуляющий сам...
05-09-2015, 18:28
это 3 года назад было
2хлетки уже часть...

кстати, вирус прост как 3 рубля ибо скрипт обычный...

Торм
05-09-2015, 18:41
А попадает ли такой умник-скриптер с юридической точки зрения под статью мошеничество или вымогательство?

Версис
05-09-2015, 18:41
а зачем ему один зашифрованный файл?

Neyron
05-09-2015, 18:47
так то он подпадает под кучу уголовных статей.:rolleyes:

Neyron
05-09-2015, 18:48
для демонстрации возможности его расшифровки.
ну и если ключи генерятся на машине пользюка для идентификации.

Версис
05-09-2015, 19:43
в двух словах - как он шифрует файлы не имея к ним непосредственного доступа?

boco
05-09-2015, 20:05
то есть если в момент запуска вируса компьютер не подключен к тырнету, файлы уничтожены невосстановимо? чот сомнительно. я думаю, оно раз в неделю меняет приватный ключ.

ну я, конечно, теоретик. =)

integro-o
05-09-2015, 20:05
удаленно:D

Версис
05-09-2015, 21:37
слыш умник, иди молоко пей ггг

Кот, гуляющий сам...
05-09-2015, 21:39
дурак ты бля)))

Версис
05-09-2015, 21:41
ты чо такая дерзкая?

Кот, гуляющий сам...
05-09-2015, 21:45
ну идиотизм он озвучал.

Версис
05-09-2015, 22:17
он тебя может пожизненно забанить. ну это как запереть тебя в темном сортире лет на 10. без китикета и чесной.
кароч думай чо и на кого рычишь ибать

boco
05-09-2015, 22:39
вобщето нет. я теперь обычный юзер. можно и бля, и дурак, и чо хош. =)

Бузина
06-09-2015, 00:55
ни в коем случае платить нельзя! Иначе они так и будут мошенничать. Если все прекратят платить, то и делать такие вирусы перестанут.

blackniger
06-09-2015, 01:26
Самый норм ящик это майкрософтовский, ниразу такая фигня не проскакивала, майл и яндекс один спам.ну и антивирусник нортон ис

Кот, гуляющий сам...
06-09-2015, 08:09
нортон, да и все остальные, на ура пропускают шифровальщик.

boco
06-09-2015, 11:25
все верно, но если информация критически важна, а бекапов нет - "жить захочешь - не так раскорячишься"

авто102.рф
06-09-2015, 11:42
не думаю что имеет значение на каком домене почта... адреса берутся с разных продажных баз. типо дубль гиса и прочего, письмо приходит с кучи разных ящиков, постоянно меняющихся

авто102.рф
06-09-2015, 11:43
замысел чертовски верен у них -половина бухгалтеров компьютерно безграмотны и бесполезно им объяснять как работать с почтой, все равно откроют

Kolos
06-09-2015, 11:47
речь то не об этом

угу)) еще и по секретарям

кнауфф
06-09-2015, 12:11
летом мою после отпуска тож обрадовали, открыли письмо и писдец докам, не платили ибо процентов на 90 развод и ничего не присылают, восстанавливали по крупицам

Кот, гуляющий сам...
06-09-2015, 12:21
смысл развода там отсутствует.

blackniger
06-09-2015, 15:16
т.е. не открывать сам файл из письма или даже не читать текст из письма или что?и какое расширение имеет этот вирус?

Кот, гуляющий сам...
06-09-2015, 15:24
это скрипт...
хоть на чем может быть написан.

Версис
06-09-2015, 20:31
объясни как они шифруют файлы к которым не имеют доступа

AlexSpawn
06-09-2015, 20:43
Тупой юзер запускает скрипт, скрипт шифрует файлы, а в чем проблема?

Версис
06-09-2015, 21:03
спасибо. понятно.

Neyron
06-09-2015, 21:04
скрипт запускается пользователем . он скачивает с ресурсов средства шифрования и запускает их, шифрует файлы по маске.

---VikinG---
06-09-2015, 22:00
тоже сталкивался, 2 дня изучал читал, ни к чему не пришел кроме заплатить деньги, снес винду

haf
06-09-2015, 22:12
предполагается, что интернет есть. если нет, возможно буферизует где-то и при подключении сливает данные.
Вообще, мне попался такой скрипт, который отправляет код и получает исполнительные файлы.
Про ключ я уже сказал, как он генерируется и меняется.

haf
06-09-2015, 22:16
у меня был файл в zip, а внутри файл с длинным названием.js
а на пикабу видел хак - как файл с расширением jpg на самом деле оказался exe

Neyron
06-09-2015, 22:46
http://s018.radikal.ru/i526/1509/cd/d0a3b2af70eb.png

http://s001.radikal.ru/i194/1509/da/49c81eb034be.png


гыгы если уж на такое люди ведутся....

Chop88
07-09-2015, 11:23
в общем, не совсем так, как правило юзер сам запускает установщик руткита, который маскируется под какой то документ пришедший по почте. Далее злоумышленники получают доступ к компу, оценивают жертву, если есть ценная инфа - шифруют и вымогают. Иногда между заражением и шифровкой может проходить какое то время. Разок был случай, злодеи целенаправленно бомбили письмами с подлянкой одну контору, даже отправителей подменяли в заголовках письма.
одним словом, надо быть внимательнее и все регулярно бекапить, желательно в несколько мест

Новохудоносор
07-09-2015, 11:36
Столько лет уже этот вирус живет, и все не придумали лечение. На уровне ОС хоть бы обновление выпустили, отключить шифрование файлов например. А когда попадает на пк жертвы он на сетевые диски и папки лезет? У нас все доки хранятся на ftp.

Chop88
07-09-2015, 11:41
по разному, но чаще лезет во все сетевые диски и шары

Новохудоносор
07-09-2015, 11:46
пойду на бэкап поставлю.

АКБ02-Автостарт
09-09-2015, 11:07
Приходило такое письмо. С официальной почты прокуратуры причем.
Один чел словил. Повезло, что у др.веба/каспера в тот момент появился расшифровщик.

А так это нереально, расшифровать. Файлы идут в помойку.
Прикол еще в том, что даже в самой винде есть родная функция шифрования.

Neyron
17-09-2015, 10:30
Пришло письмо со скриптом. Отправил касперу и др вебу и в техподдержку почты

Kolos
17-09-2015, 10:38
это как?))

вчерась на почту тоже заслали этот сифачок. пришел письмо с текстом
и архивным файликом. в архиве файл vypiska.scr
кто то ведь попадется((

Kolos
17-09-2015, 10:39
не путайте божий дар с яичницей

sluk
18-09-2015, 15:40
секретарша аж 2 раза падала на эти грабли... (тупорылая) Одно письмо приходило под видом коммерческого предложения, второе с прокуратуры о возбуждении проверки. Оба раза выручал ShadowExplorer - выгребает родные файлы из теневых копий (подробнее тут http://virusinfo.info/showthread.php...=1#post1252582 ). Восстанавливалось до 95% файлов. Повезло то, что было очень много сканов в пдф, на них шифрование много времени тратило, вовремя успевал тормозить работу вируса.

krasniypartizan
09-10-2015, 17:58
Зпкриптованные вирусняки вшиваются в установщики программ и распространяются с торрентов, антивирусами не палятся.

integro-o
13-05-2017, 21:44
Кто нибудь заразился? В этом месяце?

vitta66
13-05-2017, 23:13
лучший антивирус format c: :D
еще ни один не устоял

TopCat
14-05-2017, 12:49
format c: MBR не удаляет.

razor069
20-05-2017, 20:06
http://pikabu.ru/story/deshifrovshch...acrypt_5063101

Команда
21-05-2017, 10:33
мегафон