Просмотр полной версии : Вирус шифровальщик в эл.почте. Что делать?
AvtoSteklo
03-09-2015, 15:23
У товарища проблема. С утра на работе разбирал почту, среди всего попалось с вирусом. Гугл выводит решения, ни одно не действует. Может сталкивался кто? Методы и способы решения данной проблемы?
http://cs627119.vk.me/v627119576/14ede/cZ4ce3t1rhw.jpg
1) немедленно выключить компьютер
2) загрузиться с вншнего носителя и попробовать восстановить удаленную информацию.
3) проверить компьютер антивирусом. так же загрузившись с внешнего носителя.
переустановить ос и программы так как зловред мог не отловиться до конца.
если данные ну очень ценные то иного выхода как просить злодеев расшифровать нет. вышеописанный способ годиться для востановления лишь части инфы.
чота прям беда последнее время с этими шифраторами
написано же: "отправь один зашифрованный файл на почту ..." =)
Кот, гуляющий сам...
04-09-2015, 16:37
Платить
Напиши ему шалом йегудон тиль нун тэт леха ба тахат
astromouse
04-09-2015, 16:43
некоторые шифровальщиков dr web может расшифровать
такие шифровальщики прошлый век. давным давно перешли на стойкие шифры и асимметричные ключевые системы.
AvtoSteklo
04-09-2015, 17:26
Ассиметрию один раз спалил только,в виде документа-прайса, не ленюсь проверять скачанные файлы, качаю редко.
Кот, гуляющий сам...
04-09-2015, 17:33
да, других вариантов НЕ СУЩЕСТВУЕТ.
ну просто по алгоритму, ибо ключ расшифрования тока у злоумышленника.
а ну и в другой конторе бэкап все спас, хотя жалели...
The Joker
04-09-2015, 18:21
может ему на почту тож вирус послать что б у него все зашифровалось?)
The Joker
04-09-2015, 18:22
у нас в конторе ловили такой вирус тоже, добавлял ко всем файлам офисным свое расширение vault, после чего они не открывались. предлагали выкуп за определенную сумму.
Hameleon
04-09-2015, 18:47
одна знакомая заплатила денег на какой то номер Билайна. ничего в ответ не получила. потом меня позвала в гости на чай - я ей ручками этот вирус в компе нашел и удалил. и посоветовал не открывать файлы от незнакомых не проверенных личностей.
AvtoSteklo
04-09-2015, 19:53
Инструкцию может предоставите? Удалили 9 файлов, бесполезно, спец утилиты тоже не помогли от касперского
Кот, гуляющий сам...
04-09-2015, 19:54
ахаха...
Михалыч Уфимский
04-09-2015, 20:43
у моего знакомого жещще прикол был, поймал вирусняк, в виде всплывающего/неубирающегося окна с голыми девками... ну и ценник, решения проблем чет небольшой был, ну он и скинул сотни три, т.к. комп позарез нужен был... Ему даже код в ответ прислали...забивает он значит этот код, картинка не убирается, мало того что пришла в движение, так еще и звуки соответствущие присутствовать начали....
integro-o
04-09-2015, 21:00
доктор веб, либо подбор пароля методом перебора
либо грохнуть все к едрене фени и акронисом на низком уровне затереть всё, либо
http://virusinfo.info/forumdisplay.php?f=46 тут бесплатно /
http://virusinfo.info/forumdisplay.php?f=190 платно 500 рур, либо отдать денег за ключ дешифрования
шутки шутками, но если файлы на самом деле нужны - рекомендую заплатить. изготовитель вируса просто зарабатывает деньги, у него нет задачи спасти ваши данные, поэтому он не будет идти навстречу если пролюбите недельный срок. не заплатите вы - заплатит кто-нибудь другой.
никакие антивирусы вам не помогут.
М101ОХ02
04-09-2015, 22:19
Хорошо зарабатываете таким путем?
Бэкап либо оплата.
Дешифрация почти невозможна.
Сходи в глубокий интернет, авось чего и накопаешь.
Hameleon
04-09-2015, 23:44
тогда нашел свежие файлы.... в день когда вирус пришел. ну и удалил восстановитель вируса. все ручками без антивирусов.
поставил вручную преграду чтобы файл этот не заходил больше.
больше вирус к ней не заходил
Прикол в том, что ловить вирусок надо в момент шифрования, чтобы спалить два ключа. Если их нет, то он только у них. Файлы шифровальщика затираются путем обнуления всех замешанных в этом деле, и только потом затираются.
Этот вирусок-зло то еще...
astromouse
05-09-2015, 00:22
что такое "свежие файлы в день когда вирус пришел"? "восстановитель вируса" это что такое? вручную ставить "преграду" это как?
таджикские программисты поделитесь вашим секретом
Кроме как у кота и нейрона , внятных камментов не увидел.
кто нибудь сталкивался когда бугалтерия все летит? Теоретики одни млин!!!
Какой требовательный гражданин... На форум каспера сходи.
Посмотри точки восстановления кстати. Авось что найдется.
В исходящих письмах также останется что-то приятное сердцу.
М101ОХ02
05-09-2015, 04:05
Это как нажал на письмо и мнгновенно файлы зашифровались? Открой через livecd диски.
для шифрования нужен только открытый ключ. в этом вся суть асимметричной криптографии. так что нечего там ловить.
а ключи раз в неделю он меняет чтобы как раз усложнить жизнь антивирусникам. иначе б они купили утилиту дешифрования один раз и выпустили свой дешифратор.
всяко хуже, чем касперский =)
и главно, сцуко, бьют по самым социально незащищенным - по бугалтерам и юристам =)
када бугалтер или юрист видит письмо из "налоговой", "фссп" или "прокуратуры" о начале какого-нибудь производства - он просто не может ничего с собой сделать, рука сама тянется к ссылке на яндекс.диск =)
Месяц назад контора знакомая словила, бесполезно... неделю с ним промурыжился. Платить также бесполезно, не факт что вышлют ключ. Не расшифруешь.
Кот, гуляющий сам...
05-09-2015, 10:38
Платиле, ключ присылале
Rocketman
05-09-2015, 12:46
а сколько за дешифрацию .vault просят сами вирусоавторы?
тут сторонняя контора берет что-то вроде 5к , как написано в комментах
http://vremonte812.ru/features/widge...shifrator.html
квантовый компьютер надо для вычисления ключа просто
Кот, гуляющий сам...
05-09-2015, 14:07
Стороннее то посредники
пара ключей генерируется на каждом компе индивидуально и отправляется по адресу....
ну короче не важно, ключей уже нет.
Тут спецы нужны. И все зависит от кошелька автора.
Я бы предпочел создать документы занова и потрясти тех, кому их копировал. А платить мошенникам я бы не стал.
Попался я так однажды, но вовремя увидел начавшийся процесс шифрования, вирус заглушил, бэкап был+яндекс диск+гоголь драйв.
Так как док файлы были на гугле, он начал удалять рабочие файлы, вытаскивал их из корзины гугля.
ага сщаз. покажи ка мне умельцев которые вскроют pgp систему:D.
частично восстановить информацию можно только восстановив удаленные файлы так как вирус шифрует не сами файлы, а создает новые. а старые то бишь ваши удаляет.
Кот, гуляющий сам...
05-09-2015, 18:23
это старая версия так работает.
новые версии шифруют запись непосредственно на хдд в секторах, ну 100-200 знаков.
а не весь файл этого достаточно.
поэтому и скорость высокая.
быстро они работают однако.
я сталкивался с тем что шифруется именно первая часть файла, но пишет таки в новый.
Кот, гуляющий сам...
05-09-2015, 18:28
это 3 года назад было
2хлетки уже часть...
кстати, вирус прост как 3 рубля ибо скрипт обычный...
А попадает ли такой умник-скриптер с юридической точки зрения под статью мошеничество или вымогательство?
а зачем ему один зашифрованный файл?
так то он подпадает под кучу уголовных статей.:rolleyes:
для демонстрации возможности его расшифровки.
ну и если ключи генерятся на машине пользюка для идентификации.
в двух словах - как он шифрует файлы не имея к ним непосредственного доступа?
то есть если в момент запуска вируса компьютер не подключен к тырнету, файлы уничтожены невосстановимо? чот сомнительно. я думаю, оно раз в неделю меняет приватный ключ.
ну я, конечно, теоретик. =)
integro-o
05-09-2015, 20:05
удаленно:D
слыш умник, иди молоко пей ггг
Кот, гуляющий сам...
05-09-2015, 21:39
дурак ты бля)))
Кот, гуляющий сам...
05-09-2015, 21:45
ну идиотизм он озвучал.
он тебя может пожизненно забанить. ну это как запереть тебя в темном сортире лет на 10. без китикета и чесной.
кароч думай чо и на кого рычишь ибать
вобщето нет. я теперь обычный юзер. можно и бля, и дурак, и чо хош. =)
ни в коем случае платить нельзя! Иначе они так и будут мошенничать. Если все прекратят платить, то и делать такие вирусы перестанут.
blackniger
06-09-2015, 01:26
Самый норм ящик это майкрософтовский, ниразу такая фигня не проскакивала, майл и яндекс один спам.ну и антивирусник нортон ис
Кот, гуляющий сам...
06-09-2015, 08:09
нортон, да и все остальные, на ура пропускают шифровальщик.
все верно, но если информация критически важна, а бекапов нет - "жить захочешь - не так раскорячишься"
авто102.рф
06-09-2015, 11:42
не думаю что имеет значение на каком домене почта... адреса берутся с разных продажных баз. типо дубль гиса и прочего, письмо приходит с кучи разных ящиков, постоянно меняющихся
авто102.рф
06-09-2015, 11:43
замысел чертовски верен у них -половина бухгалтеров компьютерно безграмотны и бесполезно им объяснять как работать с почтой, все равно откроют
речь то не об этом
угу)) еще и по секретарям
летом мою после отпуска тож обрадовали, открыли письмо и писдец докам, не платили ибо процентов на 90 развод и ничего не присылают, восстанавливали по крупицам
Кот, гуляющий сам...
06-09-2015, 12:21
смысл развода там отсутствует.
blackniger
06-09-2015, 15:16
т.е. не открывать сам файл из письма или даже не читать текст из письма или что?и какое расширение имеет этот вирус?
Кот, гуляющий сам...
06-09-2015, 15:24
это скрипт...
хоть на чем может быть написан.
объясни как они шифруют файлы к которым не имеют доступа
AlexSpawn
06-09-2015, 20:43
Тупой юзер запускает скрипт, скрипт шифрует файлы, а в чем проблема?
скрипт запускается пользователем . он скачивает с ресурсов средства шифрования и запускает их, шифрует файлы по маске.
---VikinG---
06-09-2015, 22:00
тоже сталкивался, 2 дня изучал читал, ни к чему не пришел кроме заплатить деньги, снес винду
предполагается, что интернет есть. если нет, возможно буферизует где-то и при подключении сливает данные.
Вообще, мне попался такой скрипт, который отправляет код и получает исполнительные файлы.
Про ключ я уже сказал, как он генерируется и меняется.
у меня был файл в zip, а внутри файл с длинным названием.js
а на пикабу видел хак - как файл с расширением jpg на самом деле оказался exe
в общем, не совсем так, как правило юзер сам запускает установщик руткита, который маскируется под какой то документ пришедший по почте. Далее злоумышленники получают доступ к компу, оценивают жертву, если есть ценная инфа - шифруют и вымогают. Иногда между заражением и шифровкой может проходить какое то время. Разок был случай, злодеи целенаправленно бомбили письмами с подлянкой одну контору, даже отправителей подменяли в заголовках письма.
одним словом, надо быть внимательнее и все регулярно бекапить, желательно в несколько мест
Новохудоносор
07-09-2015, 11:36
Столько лет уже этот вирус живет, и все не придумали лечение. На уровне ОС хоть бы обновление выпустили, отключить шифрование файлов например. А когда попадает на пк жертвы он на сетевые диски и папки лезет? У нас все доки хранятся на ftp.
по разному, но чаще лезет во все сетевые диски и шары
Новохудоносор
07-09-2015, 11:46
пойду на бэкап поставлю.
АКБ02-Автостарт
09-09-2015, 11:07
Приходило такое письмо. С официальной почты прокуратуры причем.
Один чел словил. Повезло, что у др.веба/каспера в тот момент появился расшифровщик.
А так это нереально, расшифровать. Файлы идут в помойку.
Прикол еще в том, что даже в самой винде есть родная функция шифрования.
Пришло письмо со скриптом. Отправил касперу и др вебу и в техподдержку почты
это как?))
вчерась на почту тоже заслали этот сифачок. пришел письмо с текстом
и архивным файликом. в архиве файл vypiska.scr
кто то ведь попадется((
не путайте божий дар с яичницей
секретарша аж 2 раза падала на эти грабли... (тупорылая) Одно письмо приходило под видом коммерческого предложения, второе с прокуратуры о возбуждении проверки. Оба раза выручал ShadowExplorer - выгребает родные файлы из теневых копий (подробнее тут
http://virusinfo.info/showthread.php...=1#post1252582 ). Восстанавливалось до 95% файлов. Повезло то, что было очень много сканов в пдф, на них шифрование много времени тратило, вовремя успевал тормозить работу вируса.
krasniypartizan
09-10-2015, 17:58
Зпкриптованные вирусняки вшиваются в установщики программ и распространяются с торрентов, антивирусами не палятся.
integro-o
13-05-2017, 21:44
Кто нибудь заразился? В этом месяце?
лучший антивирус format c: :D
еще ни один не устоял
format c: MBR не удаляет.
razor069
20-05-2017, 20:06