Мы плачем. Зашифрованы у зам. директора тысячи файлов.

Хз как это произошло, там щас смотрит наш сисадмин.

Но про этот вирус тут уже писали (мало полезного). Шифрует файлы, меняет имя. просит бабло.

(0)Забанить для зам директора порносайты  и заставить платить из своего кармана..

(16) порносайты безопаснее, чем почта. приходит резюме, его открывают, вредоносный код запускается. я не знал, но оказывается достаточно распаковать zip файл, чтобы запустился его autorun со всеми вытекающими последствиями

(17) антивирус его не ловит?

(0) единственный способ гарантированно получить файлы назад, к сожалению, заплатить денет.

(17) действительно? нада попробовать!)

(17) резюме в архиве?..

(19) можно из бэкапа ещё восстановить

(22) Бэкапы делают трусы! :)

(22) если он есть, то да. вообще, мне кажется, что бекапы всех компов в сети не особо практикуются... если б на серваке

Зам директор дебил, он открыл письмо и запустил js

(24) Все компы никто не бэкапит. Бэкапят важные (!!!) файлы и делают образы нужных систем. Ситуации, как в (0), возникают там, где не определен регламент создания резервных копий.

Что делается в таких случаях? Вызывается начальник информационного отдела и с помощью вазелина и какой-то матери задается вопрос "Как такое могло случиться?".

(24) ну и хрен с ними, значит. Тысячи никому ненужных файлов. Базы 1С и какие-то выжные данные обычно не хранят на локале и постоянно бэкапят

(9) Откуда заключение о том, что зашифровал вирус? Может это программа которую зам дира сам запустил.
Если сам запустил, то какой же это вирус? Это раз.
Два. Почему не делались бэкапы?
Три. Представьте что обрушилась часть плиты потолка на системный блок. Все внутренности, включая винчестер, "в хлам". Начните дальше жить с умом.
ИМХО.
Антивирусники тут не причем. Отдел К, так вы в прокуратуру заявление хоть написали? Откуда они узнают что вы подозреваете, что кто-то, что-то, возможно злонамеренно, зашифровал вам?

(27) А что мешает вирусу заразить еще и бэкапы?

(29) отсутствие доступа

(27) "Тысячи никому ненужных файлов"
и ненужный замидректора - уволить на...й

(0) какой антивирус стоит?

(29) Кто ж бэкапы делает на одной машине? Поди еще и в одном здании храните?
Неужели еще и не проверяете возможность восстановления данных из бэкапов?
Рекомендую пересмотреть подход к резервированию данных.

(33) Ага, храним на сервере, расположенном на судне, которое постоянно движется в открытом океане, чтобы враги не смогли найти его.

(34) На одном? Это вы зря.. Нужно на двух минимум!

(32) антивирус здесь не причем.

Зам директора получил письмо с трояном и запустил его.
Антивирус не может это отвловить, включая идиотизм

(34) Облако на майле. Как дополнительный вариант резервирования.

Но, биомать, как запилить одностороннюю синхронизацию с облаком?

(34) Географическое разнесение резервных копий, спасает от пожара, затопления и других катастроф. Между прочим, тем организациям из башен близнецов у кого остались быкапы, правительство США выделело деньги на восстановление бизнеса, а у кого бэкапы были в одном месте - не стали.

(37) селфи голых ТП в общем доступе никого и ничему не научили. Теперь на облаке предлагают хранить еще и бэкапы и деловые файлы замдира. гыгыгы

(39) Не надо раскачивать лодку, камрад. Кто вам сказал что файлы хранятся в открытом виде?

(37) ftp тебе в помощь

(37) https://help.yandex.ru/disk/webdav/webdav-win.xml

(0) DrWeb довольно успешно расшифровывает. Правда только для своих пользователей. У них на сайте всё расписано что и как делать.

ps: Месяц назад у нас то же самое было, но мы не заморачивались - восстановились из бэкапов.

(40) + уже кто-то может ломать запароленные архивы? я что-то пропустил?
(41) к облаку по фтп? есть такой сервис на майле? почитаю, незнал

Антивирусы, кстати почти не реагируют на подобный вирус. Он по сути вирусом не является - просто набор системных команд, использующих разрешённые утилиты.

(44) могут, это лишь вопрос времени)

(44) https://help.yandex.ru/disk/webdav.xml

На яве обычно, правда

(0) Ничего страшного не произошло. Если нет бэкапа, значит эти "тысячи файлов" не нужны.

(42) (47)  яндекс крут, но халявы маловато, всего 10 гиг

На моей практике был такой случай. 1С восстановили из архива, а личные данные сотрудников все пропали из всех доступных по сети папок. Оптимальное решение к которому пришли после такой беды это завели сетевое хранилище и настроили архивацию по FTP протоколу посредством программы "Cobian Backup".

(50) про халяву речи не было)

Меня вот другой момент волнует. Допустим у меня подключено облако от майл.ру в виде папки с автосинхронизацией. Если эта вирусня нападет она может и там файлы похерить?

(53) а как же, конечно)

Кстати да, меня волнует вопрос, как сделать чтобы папка яндекс диска была в основном недоступна?

...на запись

(43) какие меры приняли после?

(0) сколько денег требуют?

(58) у моего клиента просили один биткион. Потом прислали дешифратор.

(53) Не знаю как там с облаком, но для локального сервера я бы сделал так, что бэкапы укладываются на машину в общую папку, а далее периодически на машине запускается скрипт, который перемещает эти бэкапы в недоступное для остальных учетных записей место.

(60) ок а если это будут выходные, допустим вирус попал в субботу утром а твой скрипт его вечером перенесет в твое недоступное место и заменит?

(61) настроить нужную цикличность копий файлов
(51) да, это самый правильный вариант, имхо

Принесли как то флешку с  пошифрованными типа файлами.. снял образ на всякий случай, открыл тоталом, нашел скрытые файлы в  корневом каталоге и  файлы корзины.... удалил их. вытащил флешку, воткнул флешку - все восстановилось. Может у  вас вирус такого же простенького псевдошифрования???

(40) можешь теперь их складывать после того как их зашифровали а ключа нет гыгыггы!

(0) Бэкапов, конечно, нет?
http://1c911.by/stati_1s/statya-vosstanovlenie-bazy-1s-77-email-deskripshen1cgmailcom.htm

(41),(47) к сожалению у майла такое не реализовано.
wevdev на стадии тестирования и недоступен

вигвам называется (©)

(29) Если бэкапы на внешнем носителе? Воздушно-капельным путем что ли?
Конечно, встречаются идиоты, хранящие их на том же диске или в сетевой шаре... но таких мало наверное?

Если бэкапов нет - платить. Обычно не кидают.

(67) встречался с таким, что спасло, так это то, что с базами этими работали, т.е. защищены от записи были. ДрВеб бесплатно тож вроде как восстанавливает, но хз как долго ждать

файлы определяют по расширениям, поэтому лучше хранить бекапы с своим, каким-нить расширением

в полицию звоните

(71) по 02, если со смарта то 020

(70) то что шифрует по клику замдира зашифрует все и бекапы с секретным расширением.

(18)(20) админ рассказывал о таком случае. резюме, акт сверки или претензия это было. про антивирус я не спрашивал

Мну прислали дешифратор хорошие люди, я его запускал в песочнице, но он пишет "файл расшифрован", а результата нет. Все никак не распотрошу его ... нет времени разобраться, хотя смотрел его и походу очень маленькая программочка должна быть по силам, не запакова, сразу из компилятора типа дельфи. Вызывает функции системных шифровальщиков, шифрование то ли RC2 то ли RC4, разбираться надо. Может кто возьмется? Будет на мисте "касса взаимопомощи".

(74)+ а у нас точно резюме, что именно за формат, я не знаю -  вирус себя удалил. даже кто именно из "кандидатов" или кандидатов прислал, тоже не поняли, несколько резюме было за день

(75) вирус, зашифровывая файлы, удаляет себя. и ключ тоже. без ключа расшифровать нельзя. вирусописатели поработали над своми ошибками

(77) Это реклама, есть бэкдор. Если их к примеру органы возьмут за задницу и скажут, что за данные в ихнем ведомстве, (которые по тупости работников оказались зашифрованы) они в зад паяльник вставят, то у создателей этой вирусни должна быть универсальная отмычка. Чтобы без тяжелых для ЖП последствий. И ключ от файла каким-то образом дописывается к самому файлу в конец.

На хабре была статейка по самостоятельной расшифровке - но то частный случай. Помогла имитация запроса на сервер, указанный шифровальщиком, с ложной информацией об оплате - получили ключ в ответ.
По уровню разработки - студенческая задачка, грамотно встроенная в мошенническую схему почтовых рассылок. Клиент получает письмо с вложением типа "Акт сверки.doc.js", запустив который, активирует скрипт,закачивающий из сети шифровальщика и ключ, файлы отбираются по маске и шифруются, ключ на обработанной машинке удаляется. Закрытая часть ключа хранится на удаленном сервере, пока будут искать он семь раз перерегистрируется...
(0) Пробуйте обращаться в антивирусные конторы - были преценденты - помогали.

(78) Сомневаюсь что есть универсальная отмычка, 100 символьный уникальный ключ если угадаешь :)

(80) Я общался с вымогателями, по истечении времени отведенного мне для восстановления данных. Они обещали удалить ключ, если за 48 часов не получат от меня денег. Через неделю после истечения срока, они ради демонстрации расшифровали мне jpg причем у меня был оригинал для сравнения - значит либо ключ не удалили, либо есть универсальная отмычка.
Пусть он положим не 100 символов, а 50. А вторые 50 это тот же ключ, но зашифрован единым для всех способом с использованием единого уникального ключа на все случаи заражения.

(81) "Они обещали удалить ключ" <> "Они удалили ключ"

(74) "сосед рассказывал" - не оно?)

(39) так-то для того, чтоб достать сэлфи ТП - брутфорсили тунца (по известному логину), а не облако на мыле.

"облако на мыле" само по себе опаснее вируса - более глючных "сервисов" придумать сложно. Это как раз для селфи бальзаковских дам.

(0) "Соболезнуем"... Особая благодарность тому, кто этот вирус запустил :)

+(0) У файлов шифруется только заголовок, иначе вирус умрет шифровать все файлы :)

(17) >>>  чтобы запустился его autorun

А это уже вопрос к Системным Администраторам, какого лешего у них везде Авторан включен? :)

У меня в сентябре была такая фигня - обработка нужна частично зашифровалась. Пришлось переписывать с нуля, не моя была :)))

(0) че там замдира уволили? системного тоже хорошо бы уволить :)

(89) а че, системный должен отвечать за все файлы, хранящиеся у пользователя?

(90) Системный должен понимать, что Время тяжЁлое, и такая роскошь, как Авто-запуск ряда приложений недопустима.
Да и вообще у Форточек много чего по умолчанию установлено там, где этого не должно быть.

К примеру Автозапуск у жестких диков :)

+(90) А еще странная привычка скрывать расширения у предопределенных фалов. Сегодня большая часть людей как раз и запускает вирусняк только по потому, что расширение файла скрыто :)

(91) а кто сказал, что сработал автозапуск? может зам дир получил письм " мои последние фото" и запустил exe файл.
или отключил сам UAС, он что должен свои мозги всем пользователям вставлять?

(92) уверен, что эта "большая часть" осознает, что есть "расширение" ?)

(93) не " мои последние фото", а резюме - написано же русским по белому.

(95) ну к моим приходило письмо именно с таким названием, где во вложении архив зип, а в архиве exe, и предупреждение пользователе, что не надо запускать такого типа файлы и отвечать UAC что да запустить, не действует, кого увольнят?

(81) да элементарно: запускается вредоносный код, который генерирует ключ, тут же этот ключ отправляется на сервер, а файлы зашифровываются, ключа не остается на локальном компе. остается грубо говоря, только ID процесса зашифровки. обращаетесь к вирусописателям, говорите свой ID, они расшифровывают, зная ключ

ID остается в самих зашифрованных файлах, и придумывать ничего сложного не нужно

(65) Молодца

100

(97) Я знаю эту легенду, я просто не верю в неё: сервер может быть недоступен, даже в той статье на хабре написано, что пока от сервера не придет ответ, ключ остается на локальном диске зашифрованного компа. Чтобы утверждать, что он удален, надо представить листинг кода, а если так огульно рассуждать - то просто платите вымогателям и не парьтесь.

(101) Мне кажется порядок такой: сначала ключ таки отправляется... а вот процесс можно убить, спасти некоторые файлы (описывался такой случай).
Если бы все оставалось - не было бы ответов от антивирусных лабораторий "помочь не можем"... ну это имхо...

(0)Из бэкапа восстанавливается без проблем.

(101)Откуда ключ будет на локальном диске? Это дурость, оставлять ключ там где лежат зашифрованные файлы.
Ключ как правило либо задан заранее, либо генерируется динамически по некоторым параметрам.
Во многих случаях ключ вообще случайный и нигде не хранится, т.е никто его не высылает, только деньги собирают.

(0) <там щас смотрит наш сисадмин>

Ну че, сис еще не вернулся, широко расставляя ноги?
А сколько бабла-то просят? Если 10 гринов, то че бадягу разводить?

(104) Если бы это делал я, то обязательно оставлял бы спрятанный ключ локально, иначе можно не выжить в процессе терморектального криптоанализа.
(102) Да это косвенное обстоятельство говорит о том, что ключа локально нет. Тот дешифратор, который у меня есть, запрашивал файл с зараженного компа, который был убит антивирусником, и без него не хотел у них работать, в моей песочнице не спрашивал ничего.

(102) когда кажется надо ...... :)
Первый такой шифратор был paycrypt@gmail_com? а теперь активизировались тупые и жданые вирусопситали, которые по другому заработать не могут. И этих вирусов теперь умотаться. Хоть бы отдел К или Ц или чег отам поймал когонибудь и посадил показательно.

(107) >>Хоть бы отдел К или Ц или чег отам поймал когонибудь и посадил показательно.

...на кол

(106)А зачем оставлять ключ локально?
И вообще зачем оставлять ключ?
Выслали деньги - хорошо, не выслали ну и фиг с ними, зачем еще с ключами заморачиватся?

Вирус вряд ли шифрует полностью файлы. Много времени надо. Скорей всего как было отмечено выше, либо заголовок, либо части файла. Для офисных документов можно попробовать утилиту типа OfficeRecovery. Часть файла должна восстановиться

(110) опять "вряд ли" , "кажется" вирус делает точно то что ему сказали :)))

(109) а потому что слухи в интернете о том что "они честные" очень способствуют прибыльности их бизнеса.. это как с автомобильными номерами

(17) Пользуйтесь правильными распаковщиками. Небось winrar из архива выполняет скрипт автозапуска?

(107) Тупые и жадные Копипастеры :)

+(114) Ведь практически Халява. Особенно, когда ты Украинец и Скачешь, как ... :)