Сегодня поймали вирь, который все картинки перекодировал и добавил расширение ".ARRESTED" Плюс во всех каталогах лежит текстовой сообщение следующего характера
Здравствуйте!
Ваш компьютер был атакован опаснейшим вирусом!
Вся Ваша информация, включая базы данных, документы, бэкапы, и прочие файлы была зашифрована при помощи криптостойких алгоритмов.
Все зашифрованные файлы имеют расширение .ARRESTED
Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
Подобрать его невозможно. Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не решит эту проблему не зная пароля.
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес [email protected] (в случае если вам не ответили в течение 12 часов, то продублируйте письмо на почту [email protected]) для получения дальнейших инструкций.
Мы расшифруем один абсолютно любой файл .ARRESTED для вас бесплатно (кроме баз данных, за которые, собственно, вы нам и платите)
Для этого прикрепите его и файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT"
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-12 часов.
К письму прикрепите файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT".
Письма с угрозами ни к чему хорошему вас не приведут.
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!



==========================================
TgqFG30y8KvUdyaHmyL0As5yvoNlGnwN
==========================================

Гугл ничего не ответил. Кто-нибудь встречался с этой ерундой?

молодцы писатели

Если ничего серьезного не пропало после зашифровки - то забить, переустановить на всякий случай систему и все. Если что-то очень нужное оказалось зашифрованным - то заплатить за расшифровщик уродам.

кстати, антивирь стоит ?

(0) Эпидемия начинается. Сегодня знакомая утром позвонила. Такая же фигня, только с базой v7.7 дбф

Стоит. Каспер не видит его. Др Вебом искали тоже не видит.

Дайте угадаю, база торчит открытым рдп в интернет?

(5) и не увидят

База не пострадала. Пострадали сертификаты (файлы картинок), которые мы печатаем клиентам

(8) бэкап и вперед

(6) Этот сервак, да... Открытым рдп в инете лежит

Почту поди смотрите на компе с базами , да ?
:)

Помнится лет 10 назад и мы поймали некое подобие. Дрянь какая то перекодировала все файлы ворда. Откроешь его, а там кракозябры вместо букв. Менеджеры были в трауре. Там у них на каждой машине по тысяче и более подобных файлов было. Ничего не смогли сделать ... Просто все стерли, переустановили систему и с Касперского перешли на ДрВэб.
М-да ... сочувствую. Большая просьба, потом обязательно напиши как с этой проблемой справились.

(0) Плохо искал.
"3. Если у Вас зашифрованы файлы,

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума."
http://forum.drweb.com/index.php?showtopic=314240

(11) На этот сервак ходят торговые представители с других областей. Они смотрят...

(14) надо было разделить

(14) теперь они научатся ходить через vpn.

(15)По плану перезд их на другой сервак был через месяц...

(17)вот и переедите

Антивирусы менять бестолку - новые шифровальщики появляются и успевают сделать свое черное дело гораздо быстрее, чем антивирусные базы пополнятся. Разве возможно что включение параноидальной эвристики спасет, но и то вряд-ли.

(0) http://habrahabr.ru/post/159811/

(6) ну уж вы-то мне точно расскажете чем плох открытый RDP

(20) см (0)

результат

(19) антивири не понимают какая программа хорошая, а какая плохая ?

(21) (22)  есть уверенность что это результат открытого RDP? может просто кто-то из юзеров на г*вносайтах побывал?

(24) см (16)

(24) г*вносайты не не только

(21) скорее всего письмо от какого-нибудь псевдоСбербанка с текстом "Срочно!!!! У Вас задолженность!!!" и вложением

(25) (26) таки и вы готовы разъяснить аргументированно чем плох открытый RDP? есть рабочие эксплойты?

(27) слышу голос разума:)

(23) Нет, не понимают. Что бы антивири стопудово программу классифицировали как вредоносную - в базах антивиря должна быть прописана эта программа.

(30) нет, антивири не учитывают "старые" технологии заражения

(28) эксплоит в этом случае - Администратор/123456 и rdp на дефолтном порту.

(32)  RDP на дефолтном порту не страшно, но если Администратор и 123456 тогда причем здесь собственно RDP? тут и VPN не спасет, и SSH не спасет, вообще нифига не спасет.

(31) В данном случае нет никакого заражения - юзер тупо запускает приатаченную к письму прогу, и эта прога-шифровальщик просто тупо перезаписывает определенные файлы, но не внедряет свой код в исполняемые файлы. Т.е. для эвристика, который у большинства антивирусных движков идет с настройками по дефолту, такое поведение не выглядит подозрительным.

(33) запрет входа по паролю спасёт


(34) если смотреть шире, то некаждый вирус -- зловред

(35) и много компаний имеют в своей

(0) заявление в полицию напиши о фактах: вымогательства, неправомерного доступа к данным, распространения вредоносных программ и т.д. Пусть пресловутый отдел к чешется.

(36)+ политике безопасности такие установки?

(37) они не умеют

(37) В этом случае надо быть готовым к тому, что пресловутый отдел "К" попросит предоставить им пострадавший компьютер для проведения экспертизы, и какой срок вся эта у них байда займет - одному Богу известно...

Самое дурное, что мы сейчас не можем определить что за процесс нам гадит. Есть мысли как его распознать?

(41) позвать одмина ?

(41) Обычно программа-шифровальщик после того как сделает свое дело самоуничтожается, вряд-ли она будет висеть процессом в системе.

(41) А что говорит админ?

(39) Всё они умеют. Поумнее одинэсников во всяком случае.
Просто надо оценить ущерб в деньгах, если ущерб велик, то заплатить К. За интерес они их найдут.

(45) с хера или им платить ?

(46) Прям по Жванецкому. Но можете и не платить, если вас не интересует результат :-)

Найти, отпилить руки тупой пилой и заснять на видео. А ролик на ютуб выложить :-)

(41) это г..о приходит только по почте и юзверь его открыл и запустил сам.

(47) они зарплату зря получают ?

(0)Тема баян, готовь деньги. Проблема с дефолтным портом РДП известна давно, тупой брут и злоумышленники у вас в гостях(пруфы искать на форумах дрвеба и каспера). Вывод, вы сами профукали свои данные, следствие - готовить деньги.

(50) Лохи всегда платят. Я предлагаю заплатить не вирусописателям, а за то, что их найдут и "объяснят", что так делать не хорошо. Планета Земля чертовски маленькая для тех кого ищут :-)

(52) так я не понимаю -- зачем платить ментам, если они и так получают зп ?

(51) можно поставить фаер, который переборщиков будет банить по IP

(53) Ты вот наверно тоже на зарплате сидишь... и вместо того, что бы создавать прибавочную стоимость всякую ахинею  в интернетах пишешь. Вот и менты примерно тем же самым за зарплату занимаются.

(54)Ну я ведь не против. Где вы были раньше, и почему не подсказали автору?

(52) я точно знаю, что это твой вирус

(57) Ещё пару человек так скажут, и тебя будут искать пожарные и милиция.

(55) я не сижу на зарплате

(56) так давно известный факт

(58) Найдут довольно быстро. Я ведь не прячусь. А потом пойдут искать шутников вроде тебя.

(60) Аминь)