Страница 2 из 3 1  2  3 
LePage 25.03.2015, 15:26

Сообщение от real_ilya:

Тут рассылка была с угнанного Аккаунта Консультант+. Шифровальщик шел с якобы актом сверки.
Пока есть два бесплатных способа восстановления данных:

1) На Windows 7 можно восстановить файлы с диска, на котором включена защита системы. Заходим в свойства папки с зашифрованными файлами, выбираем закладку "предыдущие версии", выбираем последнюю сохраненную версию до момента заражения и нажимаем "восстановить". Если после выбора версии сохраненной папки кнопка "восстановить" недоступна, то нажимаем "копировать" и выбираем куда сохранить.

2) Вирус шифрует файлы и после этого удаляет оригиналы. Соответственно оригиналы можно попробовать восстановить программами для восстановления удаленных файлов.

по п.1 ходят слухи что вирус научился защиту отключать, перед тем как...
по п.2 не всегда получается восстановить, если файлов много, то часто вновь создающиеся зашифрованные накладываются, если в картинках еще можно терпеть, то в доках потеря даже байта делает занятие бесполезным.

з/ы/ особую опасность несет для 1С файловой версии - шифруются .1CD. Так что ежечасное копирование и не в ZIP. :)

з/з/ы еще способ держать все в папке Windows, её содержимое по слухам не шифруется :)
markiz82 25.03.2015, 15:34

Сообщение от real_ilya:

Пишите заявление в полицию.

Чуть со смеху со стула не упал :)

Хороший антивирус и элементарные правила безопасности.
LePage 25.03.2015, 15:41

Сообщение от markiz82:

Чуть со смеху со стула не упал :)

Хороший антивирус и элементарные правила безопасности.

Насчет правил согласен, а вот антивири не ловят. Инструмент шифрования gpg - легальный. А сам скрипт обфусицирован, меняй код хоть в каждом конкретном письме - сигнатуры уже не проканают. А эвристики.... кто знает у кого лучше? :)
Тем более, что вирус одноразовый, не плодится.

Можно еще запретить выполнение скриптов в реестре или похерить файлы wscript.exe, jscript.dll и т.д. Только хардкор... :)
markiz82 25.03.2015, 19:33
Тут по городу веселье прошло. Мега хацкеры базу емайлов фирм где-то взяли и с ящика nalog@mail.ru уведомления рассылали :) ппц массовый.
Автор скинь файлик вируса в обменник. Проверю антивирь.
73-Region 25.03.2015, 19:39
Бэкапы вам в помошь или ждать когда выкинуть в сеть дешифратор , антивирус не поймает т.к это не вирус , а троян - прога , которую юзвер сам пускает к себе на комп и выполняет т.е запускает скрипт.
Сегодня на работе такой ловили , лан 1 комп успел заразить . Меняйте ОС на Линя типа МиНТ , и забыть про эти трояны ,вири и др нечисть!

- - - Updated - - -

Сообщение от markiz82:

Тут по городу веселье прошло. Мега хацкеры базу емайлов фирм где-то взяли и с ящика nalog@mail.ru уведомления рассылали :) ппц массовый.
Автор скинь файлик вируса в обменник. Проверю антивирь.

Сегодня 3 антивирусами проверял не один не видит )) не нод не веб не кашмар
LePage 26.03.2015, 06:54
Вот ссылочка, может кто не знал про настройку политик безопасности, (я не знал про прикол с reg файлом).
Начните с пункта 3.
markiz82 26.03.2015, 09:01

Сообщение от LePage:

Вот ссылочка, может кто не знал. Начните с пункта 3.

ты на сайте веба им виряк отправь, ....
LePage 26.03.2015, 13:22

Сообщение от markiz82:

ты на сайте веба им виряк отправь, ....

В этом случае толку будет ноль, имхо. Пока система разрешает запускать скрипты откуда хочешь, то от этого трояна не избавиться. Разве только по анализу поведения можно словить.

Выход вижу пока только в блокировании адресов откуда он сосет gpg и в запрете запуска скриптов пользователем.
_Z_ 26.03.2015, 15:01

Сообщение от 73-Region:

Меняйте ОС на Линя типа МиНТ , и забыть про эти трояны ,вири и др нечисть!

Типа под линем сделать sh скрипт, который зашифрует документы в /home/user нельзя?
73-Region 27.03.2015, 08:34
Не чего под админом сидеть ювезрям , заведи пользователя уреж им все . Да и не будет не кто писать скрипт на лине .
_Z_ 27.03.2015, 09:20

Сообщение от 73-Region:

Не чего под админом сидеть ювезрям , заведи пользователя уреж им все . Да и не будет не кто писать скрипт на лине .

А я специально написал, что зашифрует доки в /home/user, т.к. никакого админа ему не надо.

А скрипты еще как пишут. Лично наблюдал ноду ботнета на лине, который, по моим подозрениям, попал в файловую систему через дыру в вебсервере (для юзер ПК способ попадания можно заменить на дыру в почтовом клиенте). Компонент состоял из нескольких скриптов на sh, часть была бинарниками, лежало все это в /tmp/blabla, владельцем папки blabla и всего содержимого был то ли nobody, то ли www, запускалось все это через _юзерский_ кронтаб и таким образом не требовало права +x на запускаемом файле и прав рута в принципе.

Поэтому массовый переход на линь ничем не поможет, шифровальщики перепишут под линь и все дела. Да, без прав рута оно не убъет систему, но как под винды так и под линь для шифрования пользовательских файлов права админа не нужны.
73-Region 27.03.2015, 18:03
значит панацеи от шифровальщиков и др троянов нету?
KABEEB_POMA 27.03.2015, 19:12
сменить расширение файлов на нетрадиционное, а офисные программы настроить на запуск таких расширений
LePage 28.03.2015, 02:59

Сообщение от KABEEB_POMA:

сменить расширение файлов на нетрадиционное, а офисные программы настроить на запуск таких расширений

C Office может и прокатит, но предчувствую геморрой при открытии и удивленный писк и с сохранением проблемы будут, а вот что делать с 1С базами? Там расширение не поменять.

В статье (см. п.3), имхо, способ лучше, позволяет блокировать исполнение самого скрипта.

К тому же, не исключено, что вирус начнет читать заголовки файлов, хоть это и геморно.
А вероятнее всего, судя по вымогаемым суммам, характеру письма и типам шифруемых файлов, цель атаки мелкие организации, у которых с 90% вероятностью файловая версия бухгалтерии. И соответственно, в следующих модификациях будут искать файлик *.v8i и по всем путям оттуда шифровать все базы, не только локальные. :( Тем более сезон, сдача НДС, штрафы немалые.

з/ы/ Что ещё заметил, RAR-ы он не шифрует, то ли забыли, то ли договорились :)
73-Region 28.03.2015, 09:53

Сообщение от LePage:

C Office может и прокатит, но предчувствую геморрой при открытии и удивленный писк и с сохранением проблемы будут, а вот что делать с 1С базами? Там расширение не поменять.

В статье (см. п.3), имхо, способ лучше, позволяет блокировать исполнение самого скрипта.

К тому же, не исключено, что вирус начнет читать заголовки файлов, хоть это и геморно.
А вероятнее всего, судя по вымогаемым суммам, характеру письма и типам шифруемых файлов, цель атаки мелкие организации, у которых с 90% вероятностью файловая версия бухгалтерии. И соответственно, в следующих модификациях будут искать файлик *.v8i и по всем путям оттуда шифровать все базы, не только локальные. :( Тем более сезон, сдача НДС, штрафы немалые.

з/ы/ Что ещё заметил, RAR-ы он не шифрует, то ли забыли, то ли договорились :)

хя шифрует и зип и 7з
Страница 2 из 3 1  2  3