Страница 1 из 3 1  2  3 
loer 02.03.2015, 19:01
Добрый вечер!!! Сегодня на работе произошел случай, на электронную почту пришло письмо в котором был вложенный файл при его открытии появился баннер с информацией, что все файлы и данные на компьютере перекодированы, зашифрованы и заменены, компьютер был сразу выключен и через некоторое время включен. В итоге ОБСОЛЮТНО все фалы ворда, экселя и пдф были дополнены расширением vault. При изменении (стирали приписку vault) Файл принимал соответствующий значек (ворда, экселя и пдф) но при открытии была абра-кадабра. Люди добрые помогите пожалуйста выйти из данного положения!!!!!!!!!!!!!!!!! Антивирус даже не сработал ни до ни после. Также в банере было указано что исправить нужно за деньги, скачать toor и через него скачать какую-то программу, а также что сумма не окончательна. Прошу Вас помогите!!!!!
real_ilya 02.03.2015, 19:46
Единственные кто может помочь, кроме самих злоумышленников, это ДР Веб, но нужно иметь лицензию. Пишите заявление в полицию.
KABEEB_POMA 03.03.2015, 08:09
я так понял (тоже на работе одна открыла вложение-вирус), расшифровка уже невозможна- слишком надёжное шифрование используется.
др.веб (или "другой хороший антивирус") может помочь только с последующими попытками шифрации вирусами.
real_ilya 03.03.2015, 09:26
У др.веба есть уже готовые варианты расшифровки, но сейчас кол-во шифровальщиков увеличивается и поэтому каждый случай считается индивидуальным.
loer 03.03.2015, 19:56
К сожалению лицензии Веба нет, и что делать тоже не известно, все файлы что были открываются аброй-кадаброй, новые сохраняются нормально.
dma_zeek 07.03.2015, 08:21

Сообщение от real_ilya:

Единственные кто может помочь, кроме самих злоумышленников, это ДР Веб, но нужно иметь лицензию. Пишите заявление в полицию.


НИКТО кроме самих злоумышленников не поможет. доктор веб тоже.

P.S если никто мне не верит, гуглим статью на хабре и внимательно читаем.
dma_zeek 07.03.2015, 08:26

Сообщение от loer:

К сожалению лицензии Веба нет, и что делать тоже не известно, все файлы что были открываются аброй-кадаброй, новые сохраняются нормально.

отправь деньги либо удали файлы и впредь будь аккуратен
LePage 25.03.2015, 10:17
Для предотвращения этой заразы блокирую в керио Url-ы:
*attached-email.com*
*attachment.com*
*letter-attachment.com*

какие ещё нужно добавить?
_an_ 25.03.2015, 12:22
В чем смысл такой блокировки? Зараза то вложением по почте приходит
LePage 25.03.2015, 12:31
Во вложении только скрипт, а сам инструментарий для шифрования скачивается скриптом, в том числе и с этих адресов.
Список адресов неполный, ищу.
_an_ 25.03.2015, 12:59
Моя думать, что на деле DNSBL в почтовике хватает, если конечно не "мейл.ру"
LePage 25.03.2015, 13:43

Сообщение от _an_:

Моя думать, что на деле DNSBL в почтовике хватает, если конечно не "мейл.ру"

клиенты разные бывають, и адреса у кого на корп. у кого на мейл.ру есть.
Да и не поможет, имхо DNSBL.
1. Письма с реальных ворованных адресов, не спамерских. Ну и плюсом
Показать / Скрыть

...Подключение почтового сервера виртуальной машины клиента к стоп листам отсекает заметную часть непрошеной почты. Однако работает этот метод только в том случае, если сервер, находящийся в списке, рассылает почту прямо на ваш сервер. Если же почта идет через цепочку переадресаций, то DNSBL в этом случае бесполезен. Обратите внимание, что данные большинства таких списков в значительной степени перекрываются, а также на то, что использование более трех-четырех списков может заметно снизить производительность почтового сервера.


2. И откуда скрипт качает DNSBL уже пофиг.
agent 25.03.2015, 13:58
как на маил.сру создать фильтр чтобы в спам кидал всю почту кроме той, что прилетает от пользователей из списка контактов ?)
real_ilya 25.03.2015, 13:59
Тут рассылка была с угнанного Аккаунта Консультант+. Шифровальщик шел с якобы актом сверки.
Пока есть два бесплатных способа восстановления данных:

1) На Windows 7 можно восстановить файлы с диска, на котором включена защита системы. Заходим в свойства папки с зашифрованными файлами, выбираем закладку "предыдущие версии", выбираем последнюю сохраненную версию до момента заражения и нажимаем "восстановить". Если после выбора версии сохраненной папки кнопка "восстановить" недоступна, то нажимаем "копировать" и выбираем куда сохранить.

2) Вирус шифрует файлы и после этого удаляет оригиналы. Соответственно оригиналы можно попробовать восстановить программами для восстановления удаленных файлов.
KABEEB_POMA 25.03.2015, 14:58
по п.2 могу разъяснить, что файлы ПЕРЕЗАПИСЫВАЮТСЯ с тем же именем, так что проги не помогают
Страница 1 из 3 1  2  3