Звонит одна знакомая. После праздников база не запустилась. Они обратились к админу, тот сказал что на выходных кто то зашел с сервака! в инет и запустил в систему вирус. я тут удаленно подключился и обнаружил такую картину - файл 1сd имеет расширение stop и в папке с базой лежит файлик с содержимым

Здравствуйте!
Доносим до Вас не самую приятную новость, ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самых криптостойких алгоритмов.
Все зашифрованые файлы имеют формат .STOP
Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
Подобрать его невозможно. Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не решит эту проблему не зная пароля.
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес [email protected] (если в течение суток вам не ответят то на [email protected]) для получения дальнейших инструкций.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-12 часов.
К письму прикрепите файл "РАСШИФРОВКА.TXT".
Письма с угрозами ни к чему хорошему вас не приведут.
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!



<><><><><><><><><><><><><><><><><><><><><>
M55i3KJ961ODfcN1ogerGocoL0hcnq8j
<><><><><><><><><><><><><><><><><><><><><>
вопрос - как это побороть?

(0) попробовал поменять расширение на копии базы - нифига. действительно не помогает(

антивирусом

на серваке антивиря нет. на локалках стоит лицензионный касперский. Вход в 1с через терминал. Причем запускается не рабочий стол а сразу 1ска.

"Вобля"!!! (рыба такая есть)

здорово

вот нашел на форуме доктора вэб

3. Если у Вас зашифрованы файлы,

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

вот теперь сцыкотно антивирусник запускать
http://forum.drweb.com/index.php?showtopic=313795

у кого-то сегодня будет секс. слышал, что народ платит и им восстанавливают файлы. но вероятность хз

платите - проверено

пошарился по инету по такому вопросу везде типа обращайтесь в техподдержку решим вашу загогулину

(6) Копию зашифрованных файлов сохраняем отдельно, пример зашифрованного файла + ключик высылаем касперам, задаем вопрос у них на форуме.

(8) Сам проверял, платят?

(8) ну я сказал им что бы в милицию написали заяву.хотя думаю шанс что поймают маленький

(11) проверял 320 скачиваний дешифратора за месяц, дешифратор пофигам, важен ключ

(12) А смысл? Времени свободного много?

Тут уже была подобная история у кого-то на форуме, заплатили - расшифровали.

(0) Среднее время ответа СПЕЦИАЛИСТА :)

(10) та проблемка в том, что товариащи в другом городе. ПО дружбе попросили помочь. Админ как раз перед этим подозрительно уволился)
(14) так не я же обращаться буду а юр лицо. А если поймают радость будет когда их ногами бить будут

1. Уволить админа
2. Переустановить винду
3. Восстановить базу из бэкапа.

(12) пусть реально спишутся по обеим адресам, вышлют мошенникам какой нибудь файл, содержимое которого знают, типа вордовский или екселевский и этот файл что в сабже, если вышлют расшифрованные. Пущай просят вебкошелек и идут платить в связной, и сразу высылают сканы чеков.

Теперь вы будете делать резервные копии, это хорошо и полезно.

+ и отключат на РДП

(17) Надо было менять пароли явки

(18) Если дела уволившийся админ, то потер бы бекапы

(15) У меня в 0-х было аналогичное. Расшифровали каспером спустя 2 суток после заражения.

(18) 1 сделали до этого)
3 уже сделал. но бэкап старенький(
(20) ну это не моя контора. у нас бэкапы делаются. я надеюсь

(20) Все админы делятся на 2 категории которые делают бекапы и которые будут делать

(12) В свойствах письма, какие IP?

и позырь базы глазками в хексе, может оказатьза зашифровано только первых 10 - 20 кб, если так, то восстановить можно будет и без мошенников, а если блоками по 8 байт - то платите

да ты чо. пошёл бекап делать

на сервере есть интернет)

встречал подобное у клеентов на рабочем компе - похерились всмысле зашифровались все документы у пользователя. Лаборатория Касперского сказала - R.I.P., адрес СПЕЦИАЛИСТОВ не отвечал, ну куда деньги отправлять

хотя у меня каспер. можно не париться

(12) Я бы реально поборолся

(27) не поможет, гугел не сдает даже для мгб - проверено

(25) База файловая, следовательно интенсивность документооборота невысокая, следовательно первичку в зубы и вперед.

(31) см (30) и не парься

(31) антивирус тут не поможет.

(30) "на сервере есть интернет) " это еще фигня. На сервере ЕДИНСТВЕННЫЙ диск С. на нем винда база и бэкапы

(35) так они уже потом с поклоном пошли

каспер сразу обрубит такие инициативы

(30) если адрес не отвечал, то только в полицию и набивать ручками заново

(39) смешно

(37) Дай угадаю. Сервер - это тачка PIV, 2ГБ, 320ГБ с дискретной видюхой

в общем я так понимаю вариантов три - первый перебивать ручками первичку. второй отправить касперу и третий платить деньги. Ниче не забыл?

(33) Ну в логах подключений должно быть что - то. Зашли с внутреннего сервера тем более..

(41) ну у меня KIS 13
хочешь сказать эти специалисты могут спокойно запаролить мои базы?

выложи первые 64 к базы, скажу поможет или нет каспер или дрвеб.

(0) ахренеть.. ох не тому я учился, не тому...

(45) похерам, хоть 2018

(42) а хз. я свойства не смотрел. винда серверная)

(48) как так-то
там же файрволл стоит + мощнейшая сигнатура

(43) Да параллельно действуй. Неизвестно, что выстрелит.

(45) легко. криптопровайдер в винду встроен, хочешь гостовский, хочешь буржуйский. каспер отсосайтунг сделает, если что-то новенькое ему встретится

(43) еще отдел "К"

(46) сейчас не могу. надо с ними связаться и подключится. Говорю же знакомые - то есть помогаю на добровольных началах. Просто сам фокус грусть навеял. Надо бэкапы не тока делать но и на съемный винт фигачить.

(0) Усе... пиши пропало.

всем спасибо. пойду "порадую" товарища

(54) Этому фокусу сто лет в обед.

пусть пишут и платят если успеют, там вроде цена вопроса не дорого 2-3 тыс

интересно, это силовики так развлекаются или лютые хакеры?

(50) абсолютно без разницы - читайте внимательно (21)
рдп с паролями 123ххх "ломаются" за завтроком.

http://forum.drweb.com/index.php?showtopic=313822

Одно не пойму, если это через подбор пароля, то почему винда не лочит учетку?

(43) Забыл админа. Пусть проведут расследование. За несанкционированные действия Статья 273 УК РФ

Сколько денег просят то?

(60) ха, чёт я про это не подумал
это всё объясняет

По состоянию на 11:00 (MSK) 14.05.2013 состояние следующее:

РАСШИФРОВКА НЕВОЗМОЖНА. Точнее, возможна расшифровка только отдельных кусков файлов. Причина: пароль в троян вводится РУКАМИ. На пораженной машине НЕ СОХРАНЯЕТСЯ. Шифрование - XOR + Blowfish, так что расшифровка возможна только для отдельных кусков. Распространяется, судя по всему, через незакрытые средства удаленного администрирования. В первую очередь - RDP.

(24) Свистишь?

(67) Делать мне больше нечего.

backup надо делать

offline-backup

В Управление К заложите

Странно что еще никто не предложил брать метлу и идти двор мести...

(68) А детали? как заразились, какой каспер и т.д. не понимаю как можно расшифровать без ключа.

(66) "Распространяется, судя по всему, через незакрытые средства удаленного администрирования. В первую очередь - RDP." скорее всего. пароль на рдп хэрэновый хэрэновый

(69) сложно делать бекап от админов которые поставили backdoor

(73) были модификации вируса, содержащие полный ключ в текстовом файле

(76) ясн.

короче, вбили все ручками - там документооборот мелкий. щас юрист пишет заяву в органы внутренних дел, дабы найти шутников и изъять у них внутренние органы

Конфигуратор1с напиши и узнай реквизиты для оплаты

А сколько требуют денег за расшифровку?

(73) 8 лет назад дело было, шифровалось тогда все одним ключом, емнип. В общем, как-то расшифровали, денег не платили.

Утро 9 мая. Звонок шефа — встала дежурная касса. Системная ошибка программы явно из разряда «сама ничего не поняла, сообщение выдаю от фонаря».

В 10 утра выдернут инженегр-электроник. Я без электричества по причине дождя — консультирую по сотовому. Оказывается, после весеннего обострения у безопасников сборка антивиря обновилась до полной и выкосила основные рабочие базы кассовой программы. Приложила заодно и драйвер парадоксовской базы, приняв его за вредоносный, а на сладкое порезала права на директории пользователей.

К 12 дня права вернули, программу восстановили, касса стартанула с командой «до конца смены не ребутиться ни при каких условиях». В понедельник решил идти писать служебку и требовать психиатрическую экспертизу состояния коллег-безопасников. Коммерческое управление (к нему кассы относятся) меня в любом случае поддержит.

(79) - (80) это к ним надо подключаться. я тока по тимке глянул одним глазком, восстановил базку и все. сказал ищите людского админа пусть разбирается

да, "взламывают" с впс-ов - момжно посмотреть логи ие и системы, пока они не перезаписались, адреса от кудова "ломали" можно найти там же, если еще не перезаписались логи.

(81) Ясн.

сейчас рассылки по почте бывают, со вложенными "вордовскими" файлами - открыл, вроде ничего - после перезагрузки все зашифровано. Антивирусы не реагируют.

(86) сейчас ниодин антивирь не реагирует на старые "механизмы"

(62) что бы винда блочила учетку при подборе это еще надо в политике включить(по умолчанию выключено)

(0) Все не читал, но у одного знакомого была такая картина. Зашифровали несколько баз, админы повозились пару дней, но ничего не смогли сделать. Пришлось платить деньги, около 6т.р., поскольку бэкапы делались на той же машине и так же были зашифрованы.
После выяснили, что проникли через РДП, выход в инет был, простым подбором паролей. Причем пароли подбирали несколько месяцев, но поскольку кантора мелкая, то айтишников своих нет и безопастностью особо никто не заморачивался.

После этого случая, у двух других своих знакомых обнаружили, что уже несколько дней кто то активно ломился на сервер через РДП

(54) так то, это норма - не хранить бэкапы на одной машине с базами

(88) Ясно, почему-то мне казалось, что оно по умолчанию включено. Правда я давно уже не админю, мог и забыть.

+(91) А скорее всего пытаются подключиться со стандартным именем админа, а админская учетка не блокируется. Ещё один повод менять стандартное имя на что-нибудь нестандартное.

(89) как оплачивали ?

(92) шестнадцатисимвольный пасс заипуться брутфорсить. не?

(92) +  еще умельцы ставят на админа простой пароль)) в таком случае уж проще без пароля чем с простым. по умолчанию без пароля не подключишься к машине. а с простым паролем безопасность снижается по сравнению с машиной без пароля

(94) они перебирают по словарю, никто тупо перебором по алфавиту не будет делать.

(96) +    к примеру qwerty123 итд

(96) херня. Нормальный пасс это что-то типа jsd33Gh723f472dz

Кто сотку ждет?

Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самых криптостойких алгоритмов.
Все зашифрованые файлы имеют формат .EBF
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес [email protected] (если в течение суток вам не ответят то на [email protected]) чтобы узнать как получить дешифратор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-12 часов.
К письму прикрепите файл "ЧТО_НУЖНО_СДЕЛАТЬ.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!



====================================================================
KfTyJLl8v2I9YofMNRhESdo3C8dNg6JS
====================================================================

Я дал поиск по
"Все зашифрованые файлы имеют формат .STOP"
Есть интересное инфо
http://virusinfo.info/showthread.php?t=132492
http://nowa.cc/archive/index.php/t-385933.html
http://mirsovetov.ru/a/hi-tech/network/viruses-blackmailers.html

Прямая ссылка на сканер дрвеб
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

http://forum.drweb.com/index.php?showtopic=313795

жуть!!! что творят.

+(101) В последней ссылке конкретные рекомендации

(100) Слушай, у тя нет случаем скрипта - регистрации CDO в реестре ?
А то кто-то грохнул ветку, теперь никак не работает и не переустанавливается.

для 2003 винды

(93) вроде яндекс деньги, но не помню точно

(104) позырю

а всё, не надо.. зарегилась сама

(33) Поможет, поможет. Дело будет. Висяк будет.
А если будет много обращений - то и google  сдастся.
По кошелькам найдут.
Писать заявление в полицию надо обязательно.

хотя странно, до этого
regsvr32 %systemroot%\system32\cdosys.dll

выдавало ошибку.. пилять, че происходит ?
:)))

все кинулись проверять у себя все и вся бекапы ,менять пароли,слушать порты .))

У меня дома NOD 32 и интернет есть.
Какова вероятность сохранить свои файлы ?

(112) 50 процентов. Либо сохранишь, либо нет.

(112) нулевая :)

(89) несколько месяцев кто то парился ради 6 тыс. ???
да не поверю ни за что

(115) Они массово работают.
     Со ста человек 600к получится.

(115) не верь - см (13)

(115) :) Парится-то робот. Правильнее сказать, пароль подбирает робот, а роботы не парятся.

Платили через WebMoney с протекцией сделки, расшифратор получили деньги естественно не передали (не сообщили код)

+ да и ставки сейчас уже 10 тыр

(119) мене выслали, все расшифровалося

А базу поди можно было и на sql express засунуть

(122) вот только для этого еще сервер 1с нужен

(115) запустили программку, она и долбит сама.
Когда сам подключался, сложилось впечатление, что люди имели прямое управление машиной, поскольку некоторые базы, которые особо не использовались и хранились в не очевидных местах были не тронуты, а папки, которые в названии содержали фамилии, были нецензурно переименованы в рифму фамилии.

я платил. выслали декриптор. вот они поднимаются-то.. у них там все на автомате. теперь от бэкапов серваки ломятся.

(124) меня по рдп хлопнули по ходу. пароли простые были кое-у-кого

(120) ставка там разная, в инете много подобных случаев, видно смотрят по машине и прочему, отсюда и ценник. Сильно не наглеют, поскольку что такое 6-10т. рублей для фирмы, которая за день на порядок больше может потерять.

(124) Прямое управление и имеют, подбор пароля через РДП, на 2008 постоянно при входе регистрирую попытки подключения, ограничил попытками ввода пароля через учетную политику стало полегче

(0) чисто ради прикола это что?
<><><><><><><><><><><><><><><><><><><><><>
M55i3KJ961ODfcN1ogerGocoL0hcnq8j
<><><><><><><><><><><><><><><><><><><><><>
вводить для расшифровки не пробовали?

(127) сильно не наглеют??? изначально автором криптера была задумана ставка 300 рублей (10 баксов). а наши (русские) поднимают ее до 10 косарей.

это часть кода шифратора, вторая половина находится у злоумышленников, по этому дешифратор соседа не сработает у Вас

(129) самый умный, да? слышал про закрытый/открытый ключ? про асимметричное шифрование?

Еще замечали, что у некоторых, подбор идет с машины, которая находится в сети организации, но большинство с внешки.

(131) шифратор один и тот же для всех. уже сколько лет. коды разные.

рдп на 2003-м серваке легко снифануть, если находишься в одной подсети.
Я сам лично пробовал, правда в локалке.

(130) возможно 300 руб. ставка для обычного человека, а тут организация и бьют сразу по базам 1С, у знакомого больше ничего не шифровали.

А насколько реально, что домашний комп подвергнется такой атаке ?

(135) а если вообще наружу смотрит?

(137) ну если например с неизвестного адреса вложение откроешь посмотреть в почте, вполне вероятно

(137) На 50 процентов. Сам догадаешься почему?

(138) без разницы, главное быть с ним в одной подсети (один и тот же провайдер). И терпеливо ждать, пока кто-нибудь подключится к серваку извне.

А почему народ пишет "я заплатил и мне прислали дешифратор", и ни одного сообщения "я написал заявление в гувд, овд и проч.".
Таких типов давно и с удовольствием ловят.

Кстати: http://www.kguvd.ru/press/12

зы ну и кто не делает бэкапы, тот ССЗБ!

http://www.kguvd.ru/press/7

Блин, ну неужели на нашлось какого нибудь доблестного бандита, который паяльник им в ж. засунул за такое дело?

(0) Было дело: восстановили из бекапа ОС и базу

(143) Походу самому отделу К не выгодно ловить мошенников до тех пор, пока они сотни лямов не настригли.
1) Чем больше сумма возни отдела К, тем громче звучит устная похвала начальства
2) Как возьмут за жабры вымогателей что с них можно состричь втихоря в мутной водичке? Стричь можно когда вымогатели срубят сотни лямов.
Этот бизнес будет вечным при медвепутах и никакое переименование ментов в пентов не поможет.

+(146) Старательные спецы отдела К уже бы дааааааааавно бы мониторили бы форумы антивирусных сайтов, формумы программистов и давили бы вымогателей сразу и на взлете после опубликования поста с жалобой на вымогателей.

(147) угу, и милиция тоже должна мониторить сайты на предмет угроз о насилии и правонарушений и сама себе писать заявления.
Интересная гражданская позиция получается :)

(0)было такое - дешевле заплатить. Вероятность дешифрации стремится к нулю.
Или бэкапы поднимайте.
Или начинайте их делать

(12)>>  я сказал им что бы в милицию написали заяву.хотя думаю шанс что поймают маленький

Это конечно правильно...Но! никого не поймают. И базу не вернут

(148) Когда милиции нужно, то она пишет все.
А по поводу интересной гражданской позиции: да она интересная и именно сейчас - когда силовиков не кормят - они кормятся сами.

(146) просто миллионы предпочитают заплатить, а заявления пишут единицы. Погляди статистику в (143) - 500млн награбили, а заявлений написано от менее, чем 3 тыс. человек.

(152) те кто делает бекапы- что им мешает сдать гаденыша?

(152) Уверен, что когда было написано первое заявление - не было награбленных 500 лямов и написанное заявление было послано нафик.

(142) Когда мой знакомый попал с похожим (правда удалось легко справиться антивирем) я рекомендовал написать ему заявление в полицию. Если одно заявление, то может и повиснет, а если 50 тыс - будут искать. И найдут. Разрушить всегда легче, чем построить.
(147) спасение утопающих - дело их же рук))
Домашнюю машину, ИМХО, может защитить альтернативная ОС. Например, Ubuntu.

(112) 60% :)

(155) >>> Домашнюю машину, ИМХО, может защитить альтернативная ОС. Например, Ubuntu.

Шут!

(155) Спасибо за совет заменить решение разовой проблемы на  ежедневный гемор.
Я не считаю, что ловить преступников нужно тогда и только тогда, когда они 500 лямов наскребут или тогда и только тогда, когда будет тысячи заявлений.
И еще я не поверю, что поймать таких вымагателей - это великий умственный и физический труд ментов и удивительное их действо по планированию оперативно-разыскных мероприятий, достойное ментовских учебников.

+(157) (155) Её еще надо уметь настраивать, юбунту
Так же как и винду :)

(45) Да без проблем. Он же 1С не рубит? Ну вот так и я могу написать программу, которая будет всего лишь читать и писать в файл. В базах ее не будет, пока ты не отошлешь ее Касперскому.

(142) читай внимательно ветку, речь даже не о полицаях, из мгб пока нет вестей.

(158) А в чём гемор? Нет большого многообразия игрушек? И нельзя играть в World of Tanks  по сети? Так для меня это абсолютно не важно.
А для PhotoShop или распознавания текстов можно две OS поставить, и запретить Windows  ходить в сеть.
Не думаю, что владельцы Mac-book сильно страдают от отсутствия Windows.
(159) Уже не намного сложнее. Всё катиться к мышке и графическому интерфейсу. Следовательно, настройки уже одинаково трудоёмки.

(162) сильно страдают, и покупают паралелис 2 из 3

(163) В чём страдания?
Машина, ещё раз подчеркну, домашняя. Программить в 1С прекрасно получается и под Virtualbox. А чаще всего на рабочем месте - там Windows.

Спасибо за ветку! Пойду своих барыг пугать 8) нехай архивы делають.

только платить

(136) автор Мизантроп, что ли?

(162) Плюсую. Лично для меня только в играх затык, иначе давно пересел бы.

А как для неодмина узнать, что тебя брутфорcят по RDP?

стоит инет - инет подключени к роутеру - а он уже к серваку.

(162)(164) Гемор и страдания могут быть во всем и на ровном месте! Класс в школе - компы однотипные на одном компе постоянно сносится Убунта, так как она почему-то не может обновиться (под виндой все было гут). Проблема висит уже 2 года. Спец поправит/пошаманит - Убунта станет, потом опять бац... только черный экран. Вирусов нет (ибо их по определению не может быть в убунте), на убунте всегда ровные руки и в нужном месте и афигительное качество ПО, но...
И самое главное, в детали не хочу вдаваться и дискутировать тоже ибо уже проверено годами эксплуатации, что много чего в линуксе не для всех.

(171) У меня дома две сетёвки. Под Ubuntu работают обе нормально, а под Windows XP только одна. Не помогло ни переустановка системы, ни обновлённые дрова с оффсайта.
Линукс три года назад и линукс сейчас = две большие разницы. Я помню, как 6 лет назад пробовал подцепить usb - принтер. А сейчас процесс сильно напоминает Windows. "Обнаружено новое устройство. Установить?" Жмём "Да" и сразу счастье))
Самая большая проблема: привычка. Другой дизайн несколько пугает начинающего юзера. Вот и всё.
Вопрос, как правильно замечено, прямых рук, а не OS. Но *nix вирусоустойчив.

(172) Ну вот! Нужно нам компы поменять и все будет гут.
Да, фик ты под Убунтой подцепишь интерактивную доску.
Поэтому в школах грозное "Все на Линукс" заменили "Можно и винду на компы ставить".
Не нашлось умельца во всей стране заточить интерактивную доску под линукс! Походу руки не из того места, а под виндой - руки из нужного места.

(173) Ну да. И iTunes нету.
Но только у меня дома нет ни интерактивных досок, ни техники Apple. Вопрос был, напомню (164) про домашнюю машину.
OS нужно выбирать под конкретные задачи, а не по принципу "нравиться-не нравиться". Мне Windows  не нравиться, но приходиться под 1С программить))
Есть варианты пол Линукс попробовать, но времени (и второй машины пока) нету.

(174) Для школ уже насоветовали...

Было такое. Тоже .STOP Базы восстановил из бекапа, проверил касперским и шлифанул Вебом ничего не нашло (походу вирус себя удаляет). Пользователи работают под "пользователями", антивирус, обновления - ничего не спасло.