|
И у нас вирус который зашифровал файлы, помогайте | ☑ | ||
---|---|---|---|---|
0
Sasha_Rapira
04.12.14
✎
08:45
|
Мы плачем. Зашифрованы у зам. директора тысячи файлов.
Хз как это произошло, там щас смотрит наш сисадмин. Но про этот вирус тут уже писали (мало полезного). Шифрует файлы, меняет имя. просит бабло. |
|||
16
Рэйв
04.12.14
✎
08:59
|
(0)Забанить для зам директора порносайты и заставить платить из своего кармана..
|
|||
17
Эмбеддер
04.12.14
✎
09:04
|
(16) порносайты безопаснее, чем почта. приходит резюме, его открывают, вредоносный код запускается. я не знал, но оказывается достаточно распаковать zip файл, чтобы запустился его autorun со всеми вытекающими последствиями
|
|||
18
VladZ
04.12.14
✎
09:16
|
(17) антивирус его не ловит?
|
|||
19
pessok
04.12.14
✎
09:17
|
(0) единственный способ гарантированно получить файлы назад, к сожалению, заплатить денет.
|
|||
20
ifso
04.12.14
✎
09:17
|
(17) действительно? нада попробовать!)
|
|||
21
pessok
04.12.14
✎
09:18
|
(17) резюме в архиве?..
|
|||
22
Кай066
04.12.14
✎
09:22
|
(19) можно из бэкапа ещё восстановить
|
|||
23
VladZ
04.12.14
✎
09:23
|
(22) Бэкапы делают трусы! :)
|
|||
24
pessok
04.12.14
✎
09:23
|
(22) если он есть, то да. вообще, мне кажется, что бекапы всех компов в сети не особо практикуются... если б на серваке
|
|||
25
Woldemar22LR
04.12.14
✎
09:24
|
Зам директор дебил, он открыл письмо и запустил js
|
|||
26
VladZ
04.12.14
✎
09:28
|
(24) Все компы никто не бэкапит. Бэкапят важные (!!!) файлы и делают образы нужных систем. Ситуации, как в (0), возникают там, где не определен регламент создания резервных копий.
Что делается в таких случаях? Вызывается начальник информационного отдела и с помощью вазелина и какой-то матери задается вопрос "Как такое могло случиться?". |
|||
27
Кай066
04.12.14
✎
09:28
|
(24) ну и хрен с ними, значит. Тысячи никому ненужных файлов. Базы 1С и какие-то выжные данные обычно не хранят на локале и постоянно бэкапят
|
|||
28
Lama12
04.12.14
✎
09:34
|
(9) Откуда заключение о том, что зашифровал вирус? Может это программа которую зам дира сам запустил.
Если сам запустил, то какой же это вирус? Это раз. Два. Почему не делались бэкапы? Три. Представьте что обрушилась часть плиты потолка на системный блок. Все внутренности, включая винчестер, "в хлам". Начните дальше жить с умом. ИМХО. Антивирусники тут не причем. Отдел К, так вы в прокуратуру заявление хоть написали? Откуда они узнают что вы подозреваете, что кто-то, что-то, возможно злонамеренно, зашифровал вам? |
|||
29
YFedor
04.12.14
✎
09:35
|
(27) А что мешает вирусу заразить еще и бэкапы?
|
|||
30
Кай066
04.12.14
✎
09:37
|
(29) отсутствие доступа
|
|||
31
Woldemar22LR
04.12.14
✎
09:37
|
(27) "Тысячи никому ненужных файлов"
и ненужный замидректора - уволить на...й |
|||
32
oslokot
04.12.14
✎
09:39
|
(0) какой антивирус стоит?
|
|||
33
Lama12
04.12.14
✎
09:40
|
(29) Кто ж бэкапы делает на одной машине? Поди еще и в одном здании храните?
Неужели еще и не проверяете возможность восстановления данных из бэкапов? Рекомендую пересмотреть подход к резервированию данных. |
|||
34
YFedor
04.12.14
✎
09:42
|
(33) Ага, храним на сервере, расположенном на судне, которое постоянно движется в открытом океане, чтобы враги не смогли найти его.
|
|||
35
VladZ
04.12.14
✎
09:44
|
(34) На одном? Это вы зря.. Нужно на двух минимум!
|
|||
36
Woldemar22LR
04.12.14
✎
09:44
|
(32) антивирус здесь не причем.
Зам директора получил письмо с трояном и запустил его. Антивирус не может это отвловить, включая идиотизм |
|||
37
oslokot
04.12.14
✎
09:45
|
(34) Облако на майле. Как дополнительный вариант резервирования.
Но, биомать, как запилить одностороннюю синхронизацию с облаком? |
|||
38
Lama12
04.12.14
✎
09:45
|
(34) Географическое разнесение резервных копий, спасает от пожара, затопления и других катастроф. Между прочим, тем организациям из башен близнецов у кого остались быкапы, правительство США выделело деньги на восстановление бизнеса, а у кого бэкапы были в одном месте - не стали.
|
|||
39
Woldemar22LR
04.12.14
✎
09:46
|
(37) селфи голых ТП в общем доступе никого и ничему не научили. Теперь на облаке предлагают хранить еще и бэкапы и деловые файлы замдира. гыгыгы
|
|||
40
oslokot
04.12.14
✎
09:49
|
(39) Не надо раскачивать лодку, камрад. Кто вам сказал что файлы хранятся в открытом виде?
|
|||
41
ilyavorobyev
04.12.14
✎
09:49
|
(37) ftp тебе в помощь
|
|||
42
Йохохо
04.12.14
✎
09:50
|
||||
43
Exec
04.12.14
✎
09:51
|
(0) DrWeb довольно успешно расшифровывает. Правда только для своих пользователей. У них на сайте всё расписано что и как делать.
ps: Месяц назад у нас то же самое было, но мы не заморачивались - восстановились из бэкапов. |
|||
44
oslokot
04.12.14
✎
09:51
|
(40) + уже кто-то может ломать запароленные архивы? я что-то пропустил?
(41) к облаку по фтп? есть такой сервис на майле? почитаю, незнал |
|||
45
Exec
04.12.14
✎
09:52
|
Антивирусы, кстати почти не реагируют на подобный вирус. Он по сути вирусом не является - просто набор системных команд, использующих разрешённые утилиты.
|
|||
46
Кай066
04.12.14
✎
09:52
|
(44) могут, это лишь вопрос времени)
|
|||
47
ilyavorobyev
04.12.14
✎
09:52
|
||||
48
Exec
04.12.14
✎
09:52
|
На яве обычно, правда
|
|||
49
mehfk
04.12.14
✎
09:54
|
(0) Ничего страшного не произошло. Если нет бэкапа, значит эти "тысячи файлов" не нужны.
|
|||
50
oslokot
04.12.14
✎
09:58
|
(42) (47) яндекс крут, но халявы маловато, всего 10 гиг
|
|||
51
SnikRu
04.12.14
✎
10:00
|
На моей практике был такой случай. 1С восстановили из архива, а личные данные сотрудников все пропали из всех доступных по сети папок. Оптимальное решение к которому пришли после такой беды это завели сетевое хранилище и настроили архивацию по FTP протоколу посредством программы "Cobian Backup".
|
|||
52
Кай066
04.12.14
✎
10:01
|
(50) про халяву речи не было)
|
|||
53
Elf_80_lvl
04.12.14
✎
10:03
|
Меня вот другой момент волнует. Допустим у меня подключено облако от майл.ру в виде папки с автосинхронизацией. Если эта вирусня нападет она может и там файлы похерить?
|
|||
54
oslokot
04.12.14
✎
10:04
|
(53) а как же, конечно)
|
|||
55
necro
04.12.14
✎
10:07
|
Кстати да, меня волнует вопрос, как сделать чтобы папка яндекс диска была в основном недоступна?
|
|||
56
necro
04.12.14
✎
10:07
|
...на запись
|
|||
57
Azverin
04.12.14
✎
10:09
|
(43) какие меры приняли после?
|
|||
58
Dmitry1c
04.12.14
✎
10:10
|
(0) сколько денег требуют?
|
|||
59
MadJhey
04.12.14
✎
10:13
|
(58) у моего клиента просили один биткион. Потом прислали дешифратор.
|
|||
60
Salimbek
04.12.14
✎
10:15
|
(53) Не знаю как там с облаком, но для локального сервера я бы сделал так, что бэкапы укладываются на машину в общую папку, а далее периодически на машине запускается скрипт, который перемещает эти бэкапы в недоступное для остальных учетных записей место.
|
|||
61
ilyavorobyev
04.12.14
✎
10:19
|
(60) ок а если это будут выходные, допустим вирус попал в субботу утром а твой скрипт его вечером перенесет в твое недоступное место и заменит?
|
|||
62
oslokot
04.12.14
✎
10:21
|
(61) настроить нужную цикличность копий файлов
(51) да, это самый правильный вариант, имхо |
|||
63
AdrianBerk
04.12.14
✎
10:22
|
Принесли как то флешку с пошифрованными типа файлами.. снял образ на всякий случай, открыл тоталом, нашел скрытые файлы в корневом каталоге и файлы корзины.... удалил их. вытащил флешку, воткнул флешку - все восстановилось. Может у вас вирус такого же простенького псевдошифрования???
|
|||
64
Woldemar22LR
04.12.14
✎
10:23
|
(40) можешь теперь их складывать после того как их зашифровали а ключа нет гыгыггы!
|
|||
65
КонецЦикла
04.12.14
✎
10:36
|
(0) Бэкапов, конечно, нет?
http://1c911.by/stati_1s/statya-vosstanovlenie-bazy-1s-77-email-deskripshen1cgmailcom.htm |
|||
66
oslokot
04.12.14
✎
10:38
|
(41),(47) к сожалению у майла такое не реализовано.
wevdev на стадии тестирования и недоступен вигвам называется (©) |
|||
67
КонецЦикла
04.12.14
✎
10:40
|
(29) Если бэкапы на внешнем носителе? Воздушно-капельным путем что ли?
Конечно, встречаются идиоты, хранящие их на том же диске или в сетевой шаре... но таких мало наверное? |
|||
68
Godofsin
04.12.14
✎
10:42
|
Если бэкапов нет - платить. Обычно не кидают.
|
|||
69
xXeNoNx
04.12.14
✎
19:23
|
(67) встречался с таким, что спасло, так это то, что с базами этими работали, т.е. защищены от записи были. ДрВеб бесплатно тож вроде как восстанавливает, но хз как долго ждать
|
|||
70
xXeNoNx
04.12.14
✎
19:25
|
файлы определяют по расширениям, поэтому лучше хранить бекапы с своим, каким-нить расширением
|
|||
71
Neg
04.12.14
✎
19:34
|
в полицию звоните
|
|||
72
Woldemar22LR
04.12.14
✎
19:44
|
(71) по 02, если со смарта то 020
|
|||
73
Woldemar22LR
04.12.14
✎
19:45
|
(70) то что шифрует по клику замдира зашифрует все и бекапы с секретным расширением.
|
|||
74
Эмбеддер
04.12.14
✎
20:32
|
(18)(20) админ рассказывал о таком случае. резюме, акт сверки или претензия это было. про антивирус я не спрашивал
|
|||
75
Вуглускр1991
04.12.14
✎
20:33
|
Мну прислали дешифратор хорошие люди, я его запускал в песочнице, но он пишет "файл расшифрован", а результата нет. Все никак не распотрошу его ... нет времени разобраться, хотя смотрел его и походу очень маленькая программочка должна быть по силам, не запакова, сразу из компилятора типа дельфи. Вызывает функции системных шифровальщиков, шифрование то ли RC2 то ли RC4, разбираться надо. Может кто возьмется? Будет на мисте "касса взаимопомощи".
|
|||
76
Эмбеддер
04.12.14
✎
20:35
|
(74)+ а у нас точно резюме, что именно за формат, я не знаю - вирус себя удалил. даже кто именно из "кандидатов" или кандидатов прислал, тоже не поняли, несколько резюме было за день
|
|||
77
Эмбеддер
04.12.14
✎
20:37
|
(75) вирус, зашифровывая файлы, удаляет себя. и ключ тоже. без ключа расшифровать нельзя. вирусописатели поработали над своми ошибками
|
|||
78
Вуглускр1991
04.12.14
✎
20:52
|
(77) Это реклама, есть бэкдор. Если их к примеру органы возьмут за задницу и скажут, что за данные в ихнем ведомстве, (которые по тупости работников оказались зашифрованы) они в зад паяльник вставят, то у создателей этой вирусни должна быть универсальная отмычка. Чтобы без тяжелых для ЖП последствий. И ключ от файла каким-то образом дописывается к самому файлу в конец.
|
|||
79
Pit0n_08
04.12.14
✎
20:55
|
На хабре была статейка по самостоятельной расшифровке - но то частный случай. Помогла имитация запроса на сервер, указанный шифровальщиком, с ложной информацией об оплате - получили ключ в ответ.
По уровню разработки - студенческая задачка, грамотно встроенная в мошенническую схему почтовых рассылок. Клиент получает письмо с вложением типа "Акт сверки.doc.js", запустив который, активирует скрипт,закачивающий из сети шифровальщика и ключ, файлы отбираются по маске и шифруются, ключ на обработанной машинке удаляется. Закрытая часть ключа хранится на удаленном сервере, пока будут искать он семь раз перерегистрируется... (0) Пробуйте обращаться в антивирусные конторы - были преценденты - помогали. |
|||
80
КонецЦикла
04.12.14
✎
20:58
|
(78) Сомневаюсь что есть универсальная отмычка, 100 символьный уникальный ключ если угадаешь :)
|
|||
81
Вуглускр1991
04.12.14
✎
21:04
|
(80) Я общался с вымогателями, по истечении времени отведенного мне для восстановления данных. Они обещали удалить ключ, если за 48 часов не получат от меня денег. Через неделю после истечения срока, они ради демонстрации расшифровали мне jpg причем у меня был оригинал для сравнения - значит либо ключ не удалили, либо есть универсальная отмычка.
Пусть он положим не 100 символов, а 50. А вторые 50 это тот же ключ, но зашифрован единым для всех способом с использованием единого уникального ключа на все случаи заражения. |
|||
82
КонецЦикла
04.12.14
✎
21:06
|
(81) "Они обещали удалить ключ" <> "Они удалили ключ"
|
|||
83
ifso
05.12.14
✎
00:14
|
(74) "сосед рассказывал" - не оно?)
|
|||
84
Jaffar
05.12.14
✎
00:24
|
(39) так-то для того, чтоб достать сэлфи ТП - брутфорсили тунца (по известному логину), а не облако на мыле.
|
|||
85
Сержант 1С
05.12.14
✎
05:39
|
"облако на мыле" само по себе опаснее вируса - более глючных "сервисов" придумать сложно. Это как раз для селфи бальзаковских дам.
|
|||
86
DrZombi
гуру
05.12.14
✎
06:59
|
(0) "Соболезнуем"... Особая благодарность тому, кто этот вирус запустил :)
|
|||
87
DrZombi
гуру
05.12.14
✎
07:00
|
+(0) У файлов шифруется только заголовок, иначе вирус умрет шифровать все файлы :)
|
|||
88
DrZombi
гуру
05.12.14
✎
07:04
|
(17) >>> чтобы запустился его autorun
А это уже вопрос к Системным Администраторам, какого лешего у них везде Авторан включен? :) |
|||
89
Woldemar22LR
05.12.14
✎
07:32
|
У меня в сентябре была такая фигня - обработка нужна частично зашифровалась. Пришлось переписывать с нуля, не моя была :)))
(0) че там замдира уволили? системного тоже хорошо бы уволить :) |
|||
90
Пульсар
05.12.14
✎
08:17
|
(89) а че, системный должен отвечать за все файлы, хранящиеся у пользователя?
|
|||
91
DrZombi
гуру
05.12.14
✎
08:23
|
(90) Системный должен понимать, что Время тяжЁлое, и такая роскошь, как Авто-запуск ряда приложений недопустима.
Да и вообще у Форточек много чего по умолчанию установлено там, где этого не должно быть. К примеру Автозапуск у жестких диков :) |
|||
92
DrZombi
гуру
05.12.14
✎
08:24
|
+(90) А еще странная привычка скрывать расширения у предопределенных фалов. Сегодня большая часть людей как раз и запускает вирусняк только по потому, что расширение файла скрыто :)
|
|||
93
Пульсар
05.12.14
✎
08:36
|
(91) а кто сказал, что сработал автозапуск? может зам дир получил письм " мои последние фото" и запустил exe файл.
или отключил сам UAС, он что должен свои мозги всем пользователям вставлять? |
|||
94
ifso
05.12.14
✎
08:38
|
(92) уверен, что эта "большая часть" осознает, что есть "расширение" ?)
|
|||
95
Jaffar
05.12.14
✎
08:47
|
(93) не " мои последние фото", а резюме - написано же русским по белому.
|
|||
96
Пульсар
05.12.14
✎
08:50
|
(95) ну к моим приходило письмо именно с таким названием, где во вложении архив зип, а в архиве exe, и предупреждение пользователе, что не надо запускать такого типа файлы и отвечать UAC что да запустить, не действует, кого увольнят?
|
|||
97
Эмбеддер
05.12.14
✎
08:51
|
(81) да элементарно: запускается вредоносный код, который генерирует ключ, тут же этот ключ отправляется на сервер, а файлы зашифровываются, ключа не остается на локальном компе. остается грубо говоря, только ID процесса зашифровки. обращаетесь к вирусописателям, говорите свой ID, они расшифровывают, зная ключ
|
|||
98
Эмбеддер
05.12.14
✎
08:52
|
ID остается в самих зашифрованных файлах, и придумывать ничего сложного не нужно
|
|||
99
Изучаю1С8
05.12.14
✎
08:57
|
(65) Молодца
|
|||
100
Zixxx
05.12.14
✎
09:01
|
100
|
|||
101
Вуглускр1991
05.12.14
✎
12:26
|
(97) Я знаю эту легенду, я просто не верю в неё: сервер может быть недоступен, даже в той статье на хабре написано, что пока от сервера не придет ответ, ключ остается на локальном диске зашифрованного компа. Чтобы утверждать, что он удален, надо представить листинг кода, а если так огульно рассуждать - то просто платите вымогателям и не парьтесь.
|
|||
102
КонецЦикла
05.12.14
✎
15:06
|
(101) Мне кажется порядок такой: сначала ключ таки отправляется... а вот процесс можно убить, спасти некоторые файлы (описывался такой случай).
Если бы все оставалось - не было бы ответов от антивирусных лабораторий "помочь не можем"... ну это имхо... |
|||
103
Jump
05.12.14
✎
16:10
|
(0)Из бэкапа восстанавливается без проблем.
|
|||
104
Jump
05.12.14
✎
16:14
|
(101)Откуда ключ будет на локальном диске? Это дурость, оставлять ключ там где лежат зашифрованные файлы.
Ключ как правило либо задан заранее, либо генерируется динамически по некоторым параметрам. Во многих случаях ключ вообще случайный и нигде не хранится, т.е никто его не высылает, только деньги собирают. |
|||
105
Иэрпэшник
05.12.14
✎
17:05
|
(0) <там щас смотрит наш сисадмин>
Ну че, сис еще не вернулся, широко расставляя ноги? А сколько бабла-то просят? Если 10 гринов, то че бадягу разводить? |
|||
106
Вуглускр1991
07.12.14
✎
14:41
|
(104) Если бы это делал я, то обязательно оставлял бы спрятанный ключ локально, иначе можно не выжить в процессе терморектального криптоанализа.
(102) Да это косвенное обстоятельство говорит о том, что ключа локально нет. Тот дешифратор, который у меня есть, запрашивал файл с зараженного компа, который был убит антивирусником, и без него не хотел у них работать, в моей песочнице не спрашивал ничего. |
|||
107
Woldemar22LR
07.12.14
✎
15:48
|
(102) когда кажется надо ...... :)
Первый такой шифратор был paycrypt@gmail_com? а теперь активизировались тупые и жданые вирусопситали, которые по другому заработать не могут. И этих вирусов теперь умотаться. Хоть бы отдел К или Ц или чег отам поймал когонибудь и посадил показательно. |
|||
108
Kvant1C
07.12.14
✎
16:02
|
(107) >>Хоть бы отдел К или Ц или чег отам поймал когонибудь и посадил показательно.
...на кол |
|||
109
Jump
08.12.14
✎
13:44
|
(106)А зачем оставлять ключ локально?
И вообще зачем оставлять ключ? Выслали деньги - хорошо, не выслали ну и фиг с ними, зачем еще с ключами заморачиватся? |
|||
110
timmy
08.12.14
✎
13:55
|
Вирус вряд ли шифрует полностью файлы. Много времени надо. Скорей всего как было отмечено выше, либо заголовок, либо части файла. Для офисных документов можно попробовать утилиту типа OfficeRecovery. Часть файла должна восстановиться
|
|||
111
Woldemar22LR
08.12.14
✎
14:50
|
(110) опять "вряд ли" , "кажется" вирус делает точно то что ему сказали :)))
|
|||
112
Fram
08.12.14
✎
15:06
|
(109) а потому что слухи в интернете о том что "они честные" очень способствуют прибыльности их бизнеса.. это как с автомобильными номерами
|
|||
113
Vladal
08.12.14
✎
15:09
|
(17) Пользуйтесь правильными распаковщиками. Небось winrar из архива выполняет скрипт автозапуска?
|
|||
114
DrZombi
гуру
08.12.14
✎
15:32
|
(107) Тупые и жадные Копипастеры :)
|
|||
115
DrZombi
гуру
08.12.14
✎
15:33
|
+(114) Ведь практически Халява. Особенно, когда ты Украинец и Скачешь, как ... :)
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |