лег сервер стал грешить на жесткий диск после того как вытянул данные 1с хотел запустить базу на другом компе но вот чудо все файлы точнее все наименование дописаны [email protected] что делать подскажите пожалуйста

(0) На шифровальщика напоролся, копии есть же?

а что делать если нету копии?

расшифровать ни как? и нельзя ли просто попереименовывать все файлы обратно?

(2) Не знаю, у нас были.

(3) конечно можно. Те, кто вирус изобрел, они же идиоты полные, да

наверняка злоумышленники полагаются на то, что ни кто не догадается переименовать всё обратно

ребят я попросил помощи можете мне толком ответить то есть нельзя будет восстановить данные вообще?

Баксов в 500-1000 влетит. Можно торговаться!

ясно

продай что-нибудь ненужное

Обычно, херят только заголовок файла. Восстановишь заголовок - восстановишь содержимое

(7) У нас был другой немножко шифровальщик, он до скулевых баз не смог добраться, только файла док, пдф и эксель зашифровал. Были копии, а так читали - ничего с этим не сделаешь, только в техподдержку попробовать обратиться в касперского или web

*файлы.

(12) А в техподдержке отвечают: Вылечить комп от вируса сможем, расшифровать файлы - НЕТ!

>>>а что делать если нету копии?
уволить админа, это как минимум.

(14) Это да.

Как же вы умудряетесь этих шифровальщиков ловить, да ещё и на сервер? У вас там что, админов нету?

(0) Шо, опять?
Регулярненько подобная тема тут возникает.
Поищи поиском.
А вообще судя по опыту у местных форумчан с подобными случаями - проще всего заплатить.

(17) + 1.
Или запускает секретутка со своего компа, а на сервере все расшаренное хэрится?

(17) Пришло письмо буху - акт сверки, зазипованный скрипт, она запустила, NOD был глючный на том компе, пропустил, другой чел, у которого норм NOD был тоже запускал, но антивирус скрипт заблочил.

>>>Баксов в 500-1000 влетит. Можно торговаться!

Кстати, знакомые поймали шифровальщика, заплатили бабло и им реально прислали прогу для расшифровки и все расшифровалось норм. Повезло, ибо обычно кидают.

спасибо обрадовали!)

я офигеваю... по реквизитам мобильного или каким там еще реквизитам получателя платежа можно устроить автору шифровальщика сеанс терморектального криптоанализа.

(20) У вас там что, у каждого свой антивирус плюс права на запуск всякой лабуды? :))

дело в том что клиент не хотел покупать еще один комп а удаленка нужна была соответственно пришлось разрешить бухгалтеру работать на серваке локально вот и накачал ((((

(25) ССЗБ :)

(22) Если есть файлы про которые вы 100% знаете что вот этот нормальный, я его только что на дискетку скопировал, а вот этот, он же, но спустя 5 минут его вирус почикал. Оба таких файла и отправляйте в службу поддержки антивирусных компаний. Пусть по изучают.

предыдущие версии спасают

куда мошенник просят перевести деньги ?

*мошенники

не просили еще!

чер все все зашифровано копии базы так же хранились на это жестком от них толку нету!!! черт что делать то

(32) Можно попробовать через точку восстановления винды откатиться, но не знаю, у нас не было точек восстановления, мы не смогли.

(0)Бэкапами его гада бей, бэкапами!

(0)А стесняюсь спросить, а каковы пути попадания этого зла на сервер 1с ?? о_О

(11)Фиг то там.
Это раньше на заре эволюции заголовки фигачили.

Сейчас он шфирует небольшой кусок в начале файла, такой же кусок в середине и в конце.
В результате шифрует очень мало - килобайты. А вот воссстановить файл с тремя утраченными небольшими кусками данные практически невозможно.

(35) Файловая, расшареная папка, наверное.

(31)Что значит не просили? Они что, думаете, на поклон к вам придут и просить будут?
Они же почту указали - [email protected] это вам просить надо.

(37)Да ну.
Как через шару то он попадет?

(39) Смотря под каким пользователем скрипт запустился, у нас везде, где бух имел доступ, в том числе и общим ресурсам - зашифровались, пугаюсь подумать, что было бы если бы из под админа запустился.

(23) Это все без проблем регистряется на паспорт покойника или покупается на радиобазаре будучи зарегистрированным на левого человека

(41) ага, этот паспорт ставится в федеральный розыск и при попытке обналичить происходит шоу.

(42) а зачем наличить? Есть же различные варианты переводов и выводов. Безусловно, все это отследить можно, но крайне муторно, и скорее всего к тому моменту как дойдут до некоторого звена в цепочке, симки/кошельки уже будут побросаны и вместо них заведены новые.

на хакерском рынке есть много вариантов как такие деньги использовать. Можно, например, заплатить ими за какие-то услуги, а человек тебе на карту переведет уже деньги "чистые". И т.д.

(43) Если за этим физлицо стоит, а не кампании какие, всякие офшоры и тп.

но он же не удаляет данные из файла он их шифрует так?

но на сколько я вижу зашифрована не заголовок и не серидина а весь файл

(46) Если зашифровано стойким алгоритмом, то при отсутствии ключа принципиальной разницы никакой, это просто мусор. Случайные числа.

(46) Так

http://support.kaspersky.ru/viruses/utility# похоже  янашел решение сейчас проверяю вроде утилитка нашла зараженные файлы будем надеятся что расшифрует )

(50) Не хочу тебя расстраивать...

(23) И остальным, кто думает что этих граждан легко найти: принесли ноут, на нем зашифровали базы. Списалась с шифрователями - попросили купить биткоинов. Дальше рассказывать?

)))))утилита найти нашла но расшифрованных 0 черт

(52) т.е. предлагаете покорно платить, а не искать? психологически развести на перевод на мобилку или вообще на передачу кэша

(54) К нам ноут попал после нескольких попыток расшифровки - не стали с этим заморачиваться, но поторговались знатно.

помогите найти утилиту расшифровки расширение файлов [email protected]

с этим [email protected] запросом в интернете ни чего не нашел (((

(56) Денег сколько хотят?

(56) Не расшифруешь ты без внешнего ключа, у тебя на компе есть внутренний ключ - найди его хотя бы пока.

мне как то попался тоже шифровальщик но с банальным смещение на 8байт по кольцу обошелся  HxD редактором и еще неделю торговался потом с козлами

(0) Если это 7.7, то восстанови заголовки DBF файлов. Потеряешь малость начального мусара, но большинство останется :)

+ Приветствую среди тех, кто начал делать бекапы :)

+ В Полицию заяву кинул(и)?
Или все на себя оформлять решил? :)

т.е не всегда пишут одно а делают другое может и тебе повезло
заметил так вязл заголовок чистой базы 1cv8.1cd он начинается всегда на одну и туже сигнатуру и посмотрел потом на зашифрованом нашел ее в конце а в начале то что было в конце поменял местами и вуаля все довольны ну руководство перед этим конечно постращал

(64) 1с 7.7 а можно подробнее пожалуйста что делать и какой программой ?

(65) Александр, попробуй списаться с козлами, узнай цену, параллельно пробуй, но ничего не переименовывывай и ничего не делай с файлами, на копиях.

(54) Весь вопрос в нужности данных. На практике полезно понимать, что спрятать следы своей противозаконной деятельности в инете достаточно просто, а найти какие-либо зацепки, наоборот, сложно. Рекомендую к прочтению замечательную книженцию "Исповедь кардера", особенно первую часть, гуглится легко. После прочтения многие вопросы про обналичивание и т.д. отпадут сами собой. И появится желание делать бэкапы и прятать данные от чужих людей.

(56)Ты пойми одну простую вещь - нет такой утилиты.
Ключ для расшифровки есть только у злоумышленников, и то не всегда.

Поэтому расшифровать могут только они, и то не факт.

(62) они тоже не дураки, в первую очередь шифруют бекапы, а потом уже базы. Так что ваш юмор неуместен. Единственный шанс - держать бекапы в нерасшаренных папках. Хотя это очень неудобно.

(67) шифруют бекапы, техника идет вперед.

я написал письмо им но ответа пока не было!  (по ключам) так веть везде же пишут что ключи находятся на том - же компе что заражен и можно его расшифровать утилиты дешифраторы не с проста же делали? или я не прав?

слава Богу бекап есть но делался он ( 2 мес назад к сожалению ( клиент банка тоже нашли на другом компе сервер запущу на другом жестком диске а шифрованный буду пробовать расшифровать )

(71) ты не прав. Это были самые первые варианты шифровальщиков. Сейчас большинство намного более продуманные. Спасут только бэкапы. Ну или заплатить, надеясь на то, что пришлют ключ.

хорошо связанного с этим  [email protected]  в интернете не чего не нашел это может значить что это новый шифровальщик так? + по все другим шифровальщикам инфо одна у всех ось (операционка) продолжала свою работу а у меня легла (повреждены все файлы в system32 восстановить ось на месте не удалось сегодня подниму им ось на другом (чистом) жестком диске тот (зараженный) заберу себе буду пытаться восстановить ось и найти вирус который это все сделал после пришлю Вам название вируса (буду надеяться что это старый вирусняк и что для него можно будет подобрать утилитку) или все плохо? (не стоит поднимать ось и проделывать все это)?

(69) Вообще решили отдельно настроить сетевое хранилище, которое после копирование от сетки отрубается. Это бэкап, а копия на том же сервере, что и база, да еще расшаренная - это не бэкап...

Да не надо на сервере всякую муть запускать.
А юзерам кроме 1с и прикладного софта (если уж упоротые терминальщики) все запретить.

(75) именно так всегда и делал но с этим клиентом другая беда у них по просту нету денег на хранилища и т д у них даже небыло денег на второй комп после сервера (им нужен был сервер терминалов для подрубления бухгалтера из вне (локальной сети) им был установлен сервер 2003 порт проброшен был не стандартный) но к сожалению на второй комп денег у них не было и пришлось второму бухгалтеру разрешить работать на сервере локально соответственно пришлось поставить на с ервак клиент банка 1с-ку и другое ПО + гугл хром (+ они всегда работают через почту принимают заказы счет фактыры и т д) вот и заразились ((( (я первый раз сталкиваюсь с таким вирусом у многих моих клиентов ни когда такого небыло и работаю уже с 2009 года ) обидно что все когда нибудь начинается (((

(77) комп комп, второй комп, денег нет. Базы можно и на CD диски скидывать. Не так уж это дорого. А еще резервное копирование и на тот же самый комп делать, если денег даже на болванки нет. Большинство шифровальщиков шифруют по определенным маскам dbf, doc,xls,rar... Можно ведь архивировать не в rar.

(0) извиняюсь, а .roto в мэйле не пробовали убрать? ну, чтобы запрос на расшифровку сделать..

(56) Чего нудишь, ты посты не читаешь?
Ты не первый и не последний. Никто тебе расшифровывать не будет. Пиши заяву в минтовку, а то твой Директор на тебя оформит вредительство :)

у нас некий шифровальщик прошёл антивирусную защиту (лицензионный Касперский), как объяснил админ, что шифровальщик пользуется приблудой, являющейся обычной программкой-криптором для безопасности файлов от незаконного копирования, только своим ключом пользуется. У нас главбух всё-таки тоже щёлкнула по ссылке, пришедшей с ящика реального контрагента, у которого завёлся такой же вирус и он рассылал себя по списку контактов.
Благо у нас были бекапы и восстановили на обменнике все мс-офисные зашифрованные файлы, наработанные годами.

(69) Если Бекапы там же где и БД, то ТС стал немного умнее, хотя чет он не догоняет, что Троян с шифровщиком пишут мошенники. И возможно они уже за решеткой. Ждать от них выполнения каких либо условий и гарантий не надо :)

(77) Поверь, теперь у них будет деньги на все это  :)

(78) Скупой платит дважды.

Самое забавное шифровальщика вручную запускают :-) Ктото запустил.

(85) Да уже отписали в (77), Гл. бух с правами Администратора. Там же Клиент банк. :)

+(86) правами Администратора для клиента Банка, это уже вопрос горе прогерам от этих банков :)

(85) у нас был тоже..
бушка принесла на флешке
злой админ, на всяк случай, прикрыл на моем компе USB-шный вход, т.к. я первым увидел шифрованные файлы, и, дурень, сообщил им об этом .. инициатива наказуема.
теперь помалкиваю, пусть хоть дерьмом зальётся сервак.. не моё дело.

Кстати, ТС - админ? или 1с-ник? Если 1с-ник, то не нужно лезть в чужую епархию

(88) Мдя... вот так и подумаешь про Флешку, где можно отменить запись вод средством переключения выключателя.

...Чет страшновато становится с флешками ходить в "гости" :)

(89) у меня есть одна такая, стаааренькая, на 128Мб всего-то :)
переключатель сбоку :)
как на SD-картах - Lock

(90) Вот вот, все только старенькие и древние :)
Кто вообще решил отказаться от этого переключателя :(

+(91) А карточки с таким переключателем стоят дороже, чем обычная флешка. Хотя такой выключатель так то можно допаять в любой флешке :)

(17) Та не, у них там такой админ, как у меня на прошлой работе (Коля Бабинец, привет!).

(69) Залитвать бэкапы в облако каждый день по расписанию.ю На сервер баз никому не давать доступ, кроме администратора.

(88) А если бы на рабочих станциях отключили автозапуск с внешних накопителей, сетевых и жестких дисков, меньше дряни бы запускалось автоматом.

Ну и интересен вопрос - как, каким образом, что запускали на том сервере? Какую программу? Откуда искать след?

Пиши писюльку на этот [email protected] с запросом сколько денег стоит ключ расшифровки. Ну и уволь админа заодно.

сетователи, приветсвуем, пишем заранее что rsa 2048 неуязвим
ну и балаган же вы тут развели, правильные, вас мы спасаем дурачков админов,всем помогаем с безопасностью, консультируем, ибо если бы кто добрался другой до ваших серверов, подменили бы реквизиты, слили и продали инфу конкурентам
мы же ничтожные $ просим посравнению с тем какие потери могли бы повистнуть тяжелым бременем на вас

(96) Вот это поворот!)))

ну а чего? решили тоже поучаствовать в диалоге

(97)
Это тролль! )))

(99)+
Модераторы, какой у него (96) айпи?
Запишите и сдайте в уголовку )))

в отдел К лучше сразу

Ладно, видимо нам тут не рады.
Непренебрегайте безопасностью, сделайте все возможное что-бы впреть подобного не допустить ради вашего же блага, ибо потери могли быть в десятки раз выше.

всем удачи!

(100) Голландский у него IP. Куда писать?

выложил бы для примера файлик на файл обменник чтоб народ посмотрел может и помогли бы тебе

(69) почему?

(102) сколько напишите мыло к Вам писал не отписались напишите сколько вы хотите и дайте для уверенности шифровальщик что бы пару файлов открыть хочу быть уверенным что не обманите!

мой е-mail [email protected]

и ТС (то есть я и админ и 1с сайтами занимаюсь ) ))

(108) думаю, этот мембер не имеет отношения к твоей проблеме.
правильное клеймо поставили: тролль

(106) Не вздумай сразу платить тем, кто тебе напишет!! Сначала пусть расшифруют какой-то твой знакомый файл, и докажут, что они могут это сделать. А то сейчас тебе повалится в ящик от случайных личностей куча предложений

Это действительно писали они они сейчас со мной на почте общаются )

(111) Сколько просят, за свои "благородные" услуги?

(111) прислушайся к (110)

М-да, робингуды х.евы. Прибил бы.

1500$

(115) гуманно...

(116) Ага, гопник не весь кошелек хочет, а гуманно определенную сумму. Уроды, все IT-сообщество позорят, это вот таких недоумков "хакерами" в прессе называют, хотя хакерством в их козлином ремесле и не пахнет.

(115) "мы же ничтожные $ просим"

(117) Я не о моральной стороне вопроса. Она понятна.
Я о том, что могли и круче заломить сумму.
Стоимость ручного восстановления данных даже в относительно небольшой БД, как правило, выливается в несколько большую сумму.

(119) Ну ты их еще сподвигни на повышение

(119) По хорошему хрен им, а не деньги, бэкапом по башке, а если у самого нет ее, тогда да - плати.

(121) +100
В том и дело. Если у ТС нет бекапов, то $1500 - это стоимость учебных курсов по их (бекапов) изготовлению.

Собственно говоря вместо вируса-шифровальщика могли бы быть бездушные и не падкие до денег:
- аппаратный сбой;
- случайные действия того же самого буха, под которым бы запущен сам вирус, - например, решила удалить "лишние" файлики;
- ошибки самой СУБД (случаев саморазрушения файловых БД 1С описано множество)
- и пр.

фига ничтожные $
тож чтоль заняться такими приблудами. Нафиг пару тройку месяцев работать, написал небольшую программку, подцепил одного и месяц можно на солнышке загарать)

)))

(123) ага, разогнался, автору приблуды наверняка там долларов 50 приходится из этой суммы.

(125) а остальные кому?

(126) ну там тоже небось директор есть, менеджеры, потом на крышу отстегивать, чтобы прикрывали.

отправил им папку с зашифрованными файлами они мне прислали обратно расшифрованные следов нету жаль ( расшифровали как и было (

Давайте теперь поищим дишифратор может сможем найти что от меня для этого нужно?

(129) предложи 500$

да к стати данные клиентбанка мне удалось востановить (расшифровать) там только с заголовком беда была ) просто удалил заголовок и данные востановились   но с 1с пока беда (((

с 1с там все тело файла зашифровано (((

(129) Отправь касперскому расшифрованные и шифрованные. Ты ключ им свой не высылал? Ничего не просили прислать?

я платить вообще не буду вина не моя клиент постоянно уведомлялся о том что его файлы могут быть повреждены вирусами от моей орг требовалось установить терминал сервер покупать софт не хотели пришлось сделать простенькое + я письменно отказался от ответственности ) но ради интереса хочу понять что за вирус был и думаю что дишифратор есть к нему просто какой?

прислать не просили нечего ключей ни каких не нашел на винте ищу еще не нахожу ( просили прислать айпи сервера я им прислал они мне логин и пароль прислали к терминалки!

(134) тогда пиши производителям антивирусов, проси дешифратор. может и помогут

(135) передай их контакты директору конторы, где случилась беда. А он пусть принимает решение. Торгуется с ними или платит.

Название вируса отказываются называть (

Дир однозначно сказал платить не будет у меня их винт я просто ради интереса хочу востановить данные ну или просто поиграться а  вдруг

Изначально можно было зашифрованные и расшифрованные файлы из win32 взять для сравнения, isnt it?

(139) тогда отвези винт к касперскому

(139) Что-то странно ни диру, ни тебе вдруг не нужна стала рабочая база...

я же писал мы нашли у себя бекап! недельный

уже все работает работа офиса востановлена установлены антивири и т д сервак только не поднимали ждем оплаты от клиента за сервер лицензию и за касперычи после продолжим работу с ними!

(144) пока гром не грянет, как говорится

(144) это не вирус

(146) а что же это, самый настоящий вирус

в (72) ты пишешь о бэкапе 2-месячной давности.

ну значит забыл отписаться что нашли недельной давности )

(139) http://habrahabr.ru/post/206830/
Пишут, к dr web лучше за помощью обращаться в таких делах

уже отправил данные и туда

что печально касперский находит зашифрованные файлы + они все 124bit а не столько сколько писал тот человек но расшифровать не получается

(152) этот человек не заинтересован облегчать вам поиск ключа для расшифровки

я с ним так просто общаюсь ради развлечения )))

и что интересно я им письменно не угрожал и не Обсирал их а они начали уже и угражать типа хотите мы Ваши саты все положим ))) на недельку честно я даже задумался может пусть положат источник может получится найти ?

хотябы буду знать от куда

(147) Нет, это обычный крипто софт. Эвристический анализ бесполезен.

(157) это вредоносное ПО => это вирус. Если точнее, разновидность трояна

(157) хотите сказать что бух скачал и запустил крипто софт? не поверю для этого нужны были руки а значит изночально был запущен вирус который дал доступ к серваку после входа как я понимаю злоумышлинник начал делать на компе все что хотел а именно залил криптософт и запустил его но вот еще логически комп лег а соответственно этот софт должен был либо сам удалиться либо он лежит на винте ( на винте многоо вирусов ) (нечего не удаляю все в карантине но после прроверки из карантивна все востановлю обратно) винт собираюсь отдать либо касперыячу либо доктор вебу только не знаю куда отсылать!

(159) и туда, и туда

я вин собираюсь отправить мне что его распелить )))?

(161) ну зачем прям винт то, он же денег стоит, можно ведь образ сделать

ну сделаю!не подумал! спасибо!)

(158) Вирусы - только часть вредоносного ПО. Трояны <> вирусы.
(159) Достаточно, чтобы бух запустил скрипт из письма, все остальное сделается за него. Механизм работы мало чем отличается от обычных крипто программ, антивирусы легко могут пропустить его.

но как нати этот самый скрипт? (164) и судя по Ваши утверждениям то обезопасить себя нельзя так?

(165) Запретить пользователям запускать что попало.

не могу у них политика такая им в запакованном виде присылают всегда счета и отчеты по почте и я хочу найти этот вирус

как вы считаете я то буду всю посту проверять у них но вот интересно если вирусня пришла и если она пришла от клиента их то значит и комп тот так же заражен? и если она заразила файл то она работает?

нашел кучу троянов на винте буду искать инфо о них может что нарою )

(167) Таких "вирусов" тысячи.

Вот список вирусов что нашел
На флешке нашел wirus.win32.sality.gen
на винте
Virus.win32.virut.ce
Backdoor.win32.farfli.xad
HEUR:Trojan.win32.Generic
Trojan-Ransom.Win32Crypren.vlz
какой из них мог сотворить сие чудо? как по Вашему?
к стати они мне начали угрожать))) я смерился пусть ложат мой датацентр (если смогут) там у меня сайты крутятся и сайты клиентов плюс в том что я смогу выловить этот вирус сейчас активно маниторю работу серверов )

Trojan-Ransom.Win32Crypren.vlz  вот он я его нашел это он!

(155) ну так в теле письма от них, есть их IP откуда они хоть ? город местность

это не в письме я как и думал он не успел ликвидироваться и остался на винте!

можно ли после него расшифровать данные и где это ключь взять он же должен был остаться шифровать то нужно было чем то

(175) https://ru.wikipedia.org/wiki/Криптосистема_с_открытым_ключом

я не очень в этом понимаю решение есть или нету?

(176) а из этогочто под ссылкой можно понимать что ключь открытый?

скачал %10 данные из почты письма вложения и т д но не в одном не нахожу этого чуда странно буду качать дальше

ну и и куда все подевались? то прим не успевал читать а теперь нету ни кого (

(180) Ключ скорее всего одноразовый. Сгенерирован по рандому автором троянца, который хочет денег взамен ключа. Если отказать ему в деньгах, то он расстроится  похерит ключ, и уже никто и никогда не расшифрует тело файла.

ясно ) какая мне разница похерит он ключь или нет все равно я его не достану веть если он и есть то он у нег соответственно платить не собираюсь послал их на несколько раз на три буквы пусть херит ) но в любом случае хотелось бы как то попробовать восстановить данные просто хотябы ради интереса

(182)
А заяву в полицию накатайте все-таки.
И все их данные собери, какие только возможно, может удастся на них выйти.

(183)+
И эта...
пишется ключ, а не ключь ;)
ключ он мужского рода

(183) я думал об этом но это же столько много гемора будет + они же не лохи на самом то деле они же не будут с реального айпи ходить и переписываются через сайт (крипт) если в тело почты посмотреть то там то же подставной айпи да и к таму же как по моему они из нет кафе сидят или тырят нет ) если конечно это не мои выдумки )

(184) я просто за день написался столько что теперь пишу с ошибками ))) извиняюсь

Четверг, 25 июня 2015, 15:30 +02:00 от administrator administrator <[email protected]>:

    мы ведь знаем какие цели ты преследуешь. тебе естественно не покажем, время у нас не безгранично и на тебя его тратить не будем однозначно

уважаемые модераторы могу ли я выложить переписку сюда?

(183) айпишники левые, мыло одноразовое, снятие денег через QIWI-яйца... Как ты на них выйдешь, при условии, что они крыше откатили?

(189)
Я не знаю, я только предполагаю, что это возможно как то.
Если, например, этим займутся крутые хакеры.

если судить из переписки моей с ними я узнал что они этот вирус заказывали у программистов и им это стоило 34 касаря

так что  они не столь и хакеры просто челы использующие чужое ПО (Уроды Одним словом) ))

ищи дешефратор, только скажем заранее - безнадежно все, но ты ищи все равно:)
ты даже не понимаешь чего ты спрашиваешь, наш софт писали на заказа за 30k$, и не ужели ты думаешь что у него есть публичное название? я уже не гововрим о дешефраторе в паблике, ну вы ищите, наблюдать за вами довольно смешно честно говоря  вот вырезка

(190) я подозореваю что крутые хакеры этим займутся, не раньше чем в отделениях полиции и прокуратуры наберется туева хуча заявлений по этой теме. Тогда может быть начнут привлекать хакеров, которые (за небесплатно) будут вычислять злоумышленников. А пока дешевле заплатить за ключ, и настроить уже бэкапы в конце-концов.

+194 бэкапы лучше на сетевой шаре, т.к. шифровать шару (слава всевышнему) пока не научились.

Ок спасибо за советы будем пробовать!

(194) Ты думаешь, что "крутых хакеров" можно нанять за 1500$?

(197)спецслужбы обычно хакеров нанимают либо паяльником либо вольницей

(195) Шифрую все, до чего есть доступ - почитай аналогичные ветки прямо тут.

(198) Т.е. ты реально думаешь, что проблемой (0) будут спецслужбы заниматься?

))))

как по моему нет не будут потаму и не пишу заяву )

(202) Я о чем - что бы этих деятелей выловить - нужна помощь товарищей из АНБ, и чего то я думаю что они её окажут.

(201) Вопрос такой - во сколько (по МСК) они шифровать начали?

+(203) сарказм

(200) нет конечно ))), это утопия, об том и посты мои.
(199) сам лично не встречал зашифрованой шары, если конечно скрипт не был запущен на самом хосте с шарой

(206) Меня, после прочтения всех этих веток про шифроку, не покидает мысль запилить отдельные правила файервола, для нерабочих часов контор... Троян как то должен управляется, а если нет доступа к рулю и педалям - сделать это внезапно ночью будет проблематичней.

)

(207) Какие правила? Обычно скрипт качает шифратор или что ему нужно файлом с расширением .png .jpg, и то в зашифрованном виде. Тут никакие правила не помогут, айпи адреса постоянно меняются. Только белый список адресов.
Команды требуется, если это троян и/или ботнет.

ну так это же троян!

У меня была такая же ситуация, но не на сервере, а на пк бухши. Из важного на компе была только ее личная база, в которой она что-то ковыряла, соответственно никаких бэкапов не было и в помине. Злоумышленники вышли на связь, попросили 20 тыщ. Мы отписались, что не верим им, докажите типо, что можете расшифровать. Выслали им файлик с базой, они прислали расшифрованный. На этом переписку закончили.
Научили бухшу делать копии базы на флэшку и сделали образ компа со всеми настройками. Теперь, когда компы шифруют, админ просто форматит жесткий и разворачивает образ.
К ментам обращаться бесполезно, у них там стопки таких заявлений.

Уважаемые модераторы подскажите пож айпи это директора дело в том что я вычислил много его айпишников мне нужно сверится и еще на чем построен Ваш форум? дело в том что если этот чел использует чужой комп для общения и для лазанья по сайтам он врядтли бы это смог сделать через подставного

Обращался я тут в полицию по подобному преступлению. Перевели в ОБЭП, те сами вообще ничего не знают - отправили к экспертам. Экспертиза платная. Сразу сказали мы вряд ли чего найдем

64.246.165.170 с этого айпи судя по логам был произведен поиск моего айпишника моего сайта доступного по домену apdate.by получали инфо http://whois.domaintools.com/apdate.ru так что он типа обещал и пытается что то сделать )))

оГо как он зашивилился )))

блин это я ошибся что интересно это айпишник сайта http://whois.domaintools.com/

(207) у нас было это внезапно в 10 утра. Рабочие базы не пострадали так как в них пользователи сидели. А вот все тестовые базы, старые архивы и все бекапы были затерты, экселевские файлы тоже. Причем во всех расшаренных папках на всех компах по локальной сети. И причем по времени это заняло 15 минут.

Уважаемы посетители данной ветки прошу отписаться кто из Вас заходил на мой сайт спасибо!

есть интересная информация кто то проходил на мой сайт с сайта доступного по адресу http://bag77.ru/ но там нет ссылок на мой сайт что бы это могло значить?

и от сюда там тоже нет ссылок на мой сайт http://mirtorrent.net/ значит что либо это его сайты либо он их писал когдато либо у него есть доступ к данному хостингу на котором крутиться данный сайт все верно?

198.27.66.194 канада

(219) забей, я смотрю, постоянно на мой сайт заходят с каких-то нелепых реферреров. вероятно это черный SEO, работающий через счетчики.

проход был еще с Вашего форума 31.210.212.30  Как бороться с шифровальщиком  [email protected]
    
а проходили 25.06.15 15:09
    
16126 по времени когда ссылки еще небыло

не знаю не знаю как мне кажется здесь уже писали что айпишник у него канадский так что это он! если это сео то только роботы могли или скрипты а тут прекрасно видно с чего заходили и айпишники вели бы на днс сервера где стоят сайты или на сам сайт с которого проход бых осуществлен!

или я не прав?

http://apdate.neteryahka.ru/feedback/recv.php?act=cfg  он искал уязвимости пока не нашел )))

короче больше всего заходов из канады на втором месте Москва а потом сша и другие страны как по моему это 100% это чувак будем надеятся что какой либо из айпишников будет белым

http://siteripz.net    14    2.7 %    14    2.7 %
http://minegam.com    13    2.5 %    13    2.5 %
http://allknow.info    11    2.1 %    11    2.1 %
http://www.promoforum.ru    11    2.1 %    11    2.1 %
http://freewhatsappload.com    11    2.1 %    11    2.1 %
http://baltkurs.com    10    1.9 %    10    1.9 %
http://xn--80adaggc5bdhlfamsfdij4p7b.xn--p1ai    10    1.9 %    10    1.9 %
http://www.amt-k.ru    9    1.7 %    9    1.7 %
http://online-hit.info    9    1.7 %    9    1.7 %
http://www.knigonosha.net    9    1.7 %    9    1.7 %
http://tattooha.com    8    1.5 %    8    1.5 %
http://vipsiterip.com    8    1.5 %    8    1.5 %
http://forsex.info    8    1.5 %    8    1.5 %
http://goodprotein.ru    8    1.5 %    8    1.5 %
http://xjrul.com    8    1.5 %    8    1.5 %
http://pricheski-video.com    7    1.3 %    7    1.3 %
http://www.spravka130.ru    7    1.3 %    7    1.3 %
http://bioca.org    7    1.3 %    7    1.3 %
http://novosti-hi-tech.ru    6    1.1 %    6    1.1 %
http://raskrasok.net    6    1.1 %    6    1.1 %
http://laxdrills.com    6    1.1 %    6    1.1 %
http://www.moyakuhnia.ru    6    1.1 %    6    1.1 %
http://www.artparquet.ru    6    1.1 %    6    1.1 %
http://zastroyka.org    6    1.1 %    6    1.1 %
http://girlporn.ru    6    1.1 %    6    1.1 %
http://altermix.ua    6    1.1 %    6    1.1 %
http://handicapvantoday.com    6    1.1 %    6    1.1 %
http://pozdravleniya-c.ru    6    1.1 %    6    1.1 %
http://brothers-smaller.ru    6    1.1 %    6    1.1 %
http://ktm.afora.ru    6    1.1 %    6    1.1 %
http://bizru.info    6    1.1 %    6    1.1 %
http://bif-ru.info    6    1.1 %    6    1.1 %
http://filmetricsasia.com    6    1.1 %    6    1.1 %
http://salutmontreal.com    6    1.1 %    6    1.1 %
http://arkkivoltti.net    6    1.1 %    6    1.1 %
http://budmavtomatika.com.ua    6    1.1 %    6    1.1 %
http://xn----8sbhefaln6acifdaon5c6f4axh.xn--p1ai    5    0.9 %    5    0.9 %
http://psa48.ru    5    0.9 %    5    0.9 %
http://android-style.com    5    0.9 %    5    0.9 %
http://dostavka-v-krym.com    5    0.9 %    5    0.9 %
http://anapa-inns.ru    5    0.9 %    5    0.9 %
http://video-woman.com    5    0.9 %    5    0.9 %
http://vodaodessa.com    5    0.9 %    5    0.9 %
http://kino-fun.ru    5    0.9 %    5    0.9 %
http://fsalas.com    5    0.9 %    5    0.9 %
http://tomck.com    5    0.9 %    5    0.9 %
http://escort-russian.com    5    0.9 %    5    0.9 %
http://petrovka-online.com    5    0.9 %    5    0.9 %
http://littleberry.ru    5    0.9 %    5    0.9 %
http://sledstvie-veli.net    4    0.7 %    4    0.7 %
http://pochemychka.net    4    0.7 %    4    0.7 %
http://steame.ru    4    0.7 %    4    0.7 %
https://reversing.cc    4    0.7 %    4    0.7 %
http://regidium.ru    4    0.7 %    4    0.7 %
http://kino-key.info    4    0.7 %    4    0.7 %
http://www.uasb.ru    3    0.5 %    3    0.5 %
http://viparenda.kz/ru/    3    0.5 %    3    0.5 %
http://bablonow.ru    3    0.5 %    3    0.5 %
http://tedxrj.com    3    0.5 %    3    0.5 %
http://brianjeanmp.net    3    0.5 %    3    0.5 %
http://taihouse.ru    3    0.5 %    3    0.5 %
http://codysbbq.com    3    0.5 %    3    0.5 %
http://doska-vsem.ru    3    0.5 %    3    0.5 %
http://brk-rti.ru    3    0.5 %    3    0.5 %
http://rcb101.ru    3    0.5 %    3    0.5 %
http://infobabki.ru    3    0.5 %    3    0.5 %
http://pornhub-ru.com    3    0.5 %    3    0.5 %
http://toyota.7zap.com    3    0.5 %    3    0.5 %
http://bag77.ru    3    0.5 %    3    0.5 %
http://elmifarhangi.com    3    0.5 %    3    0.5 %
http://xn----7sbho2agebbhlivy.xn--p1ai    3    0.5 %    3    0.5 %
http://tinyurl.com/motofest2015    3    0.5 %    3    0.5 %
http://akv.kz/ru/    3    0.5 %    3    0.5 %
http://euromasterclass.ru    3    0.5 %    3    0.5 %
http://www.osoznanie-narkotikam.net    3    0.5 %    3    0.5 %
http://aviva-limoux.com    3    0.5 %    3    0.5 %
http://0n-line.tv    3    0.5 %    3    0.5 %
http://mini.afora.ru    3    0.5 %    3    0.5 %
http://konkursov.net    3    0.5 %    3    0.5 %
http://kazrent.com    3    0.5 %    3    0.5 %
http://prointer.net.ua    3    0.5 %    3    0.5 %
http://seo-smm.kz    3    0.5 %    3    0.5 %
http://sohoindia.net    3    0.5 %    3    0.5 %
http://kinopolet.net    3    0.5 %    3    0.5 %
http://azartclub.org    3    0.5 %    3    0.5 %
http://www.akuhni.by    3    0.5 %    3    0.5 %
http://hazardky.net    3    0.5 %    3    0.5 %
http://buyantiviralwp.com    3    0.5 %    3    0.5 %
http://pornoforadult.com    3    0.5 %    3    0.5 %
http://ooo-olni.ru    3    0.5 %    3    0.5 %
http://magazinlab.ru    3    0.5 %    3    0.5 %
http://jjbabskoe.ru    3    0.5 %    3    0.5 %
http://forex-procto.ru    3    0.5 %    3    0.5 %
http://xn--90acenikpebbdd4f6d.xn--p1ai    3    0.5 %    3    0.5 %
http://www.slkrm.ru    3    0.5 %    3    0.5 %
http://aruplighting.com    2    0.3 %    2    0.3 %
http://autovideobroadcast.com    2    0.3 %    2    0.3 %
http://howopen.ru    2    0.3 %    2    0.3 %
http://bmw.afora.ru    2    0.3 %    2    0.3 %
http://avkzarabotok.info    2    0.3 %    2    0.3 %
http://dojki-hd.com    2    0.3 %    2    0.3 %
http://bristolhotel.com.ua    2    0.3 %    2    0.3 %
http://cubook.supernew.org    2    0.3 %    2    0.3 %
http://sibecoprom.ru    2    0.3 %    2    0.3 %
http://www.germes-trans.com//    2    0.3 %    2    0.3 %
http://burger-imperia.com    1    0.1 %    1    0.1 %
http://microsearch.ru/webmasters    1    0.1 %    1    0.1 %
http://web-master.pe.hu/site12.html    1    0.1 %    1    0.1 %
http://pizza-tycoon.com    1    0.1 %    1    0.1 %
http://hvd-store.com    1    0.1 %    1    0.1 %
http://vk.com/away.php    1    0.1 %    1    0.1 %
http://yandex.by/clck/jsredir    1    0.1 %    1    0.1 %
http://tobbot.com

это полный список сайтов с которых были произведены переходы к таму же я исключил из списка все возможные переходы из поисковикомв может мне поможете отыскать более подходящий сайт на котором этот чел возможно зареген или може вообще это его сайт

вряд ли это через сайт. Кто из пользователей жмакнул на непонятную ссылку в электронном письме. Вот и понеслось.

(230) ясно спасибо за ответ блин ну как же его вычислить тогда? да и какие ссылки откуда они я не спамер! да и этот сайт еще не продвигал! ему всего пару мес домену много лет но и на нем тоже нету черного потока

(230) +1 Сегодня утром бухша одной конторы звонила - открыла письмо счастья. Благо антивирус прибил тело, но заставка (*.hta) о шифровании висела.

(232) пришли мне это письмо [email protected] очень надо и инфо от кого спасибо!

(233) Ок - завтра кину.
З.Ы.: Тяжелой у Вас сайт - с модема тупит ))

(234) ну так фоток то много )))

(234) ну так что там с письмом? пришлете?

Продолжаем тему? ) http://sderni.ru/279767 от сюда он мне прислал файл как считаете не может ли тут быть его белый адрес? может запросить у администрации его данные?

к таму же он расшифровывал данный файл значит даже если с подставного ПК там дишифратор далжен был быть ну а если он потом закачивал на подставной то в любом  случае цепочку можно поднять не так ли?

в контакте нашел несколько страничек по запросу (directorat) это http://vk.com/directorat и http://vk.com/directorat_iniuma запросил ийпишники у администрации сети буду надеяться что дадут!

(144) Антивирус не ловит шифраторы, так что все до следующего письма "Прочти меня, посмотри на моего котика!" :)

(147) Он основан на лицензионном софте. Не удивлюсь, если крипто-макросы будут еще с подписью и лицензией от Мелкософта :)

(147) я уже приводил список троянов которыми были произведены данные действия сервер пока не поднимал перекинул их базу на свой сервак что стоит в минске на сервере где крутится мои сайты! (поднял там рдп)

(239) что скажете по этому вопросу?

(159) >>> крипто софт

Че такой сложный... Криптософт уже стоит у всех, всегда.
Скрипт показывает, что система Винды уязвима из-за возможности запуска всяких макрософ.

И, да если софта нет, то макрос качает этот софт, а т.к. он не ломан и подписан, то и выполняется на ура.

И если Админ всем дал права Администратора, то это уже проблема админа :)

(243) У тебя слишком много свободного времени, чтобы заниматься таким бесперспективным занятием или ты наивно полагаешь вычислить их каким то образом?
Во первых никто тебе просто так не будет давать айпишники. Во вторых толку от них тебе будет 0. А ты уже придумал как будешь раскручивать цепочку прокси серверов разбросанных по миру?

(243) этот вирус постоянно меняет название. Сейчас директорат, через неделю будет совершенно другое. Поэтому по слову директорат вы ничего не найдете.

(239) ппц..
ты всерьез полагаешь, что писатели подобных шифровальщиков зарегистрируются вконтактике и будут там выкладывать свои гламурные фоточки?
мдя.. задорнов не про тех сказал: "ну тупыыее!"

(243) Идиот.  Федор Михайлович Достоевский. (с)

(23)
Биткойн?
Не, не слышал.

(102)
>Непренебрегайте
>впреть
Школьник-тролль?

(248) чего вы все набросились на человека? Пусть пробует. Вдруг найдет. Это как анекдот про Неуловимого Джо. Не могут поймать, потому что никто не ловил.

(122) Значит полторы тысячи заплатит бух, запустивший заразу?

(194) Вот "пока" "дешевле" "заплатить" и не будет "кучи заявлений"ж.

Подскажите, пожалуйста, кто сталкивался, файлы на подключенных usb - носителях тоже шифруются?

(254) да. флешки - носители информации, и переносчики заразы

чего Вы на самом деле наббросились на меня да я Дир организации и времени у меня очень много свободного я либо сижу за компом либо на рыбалке ради интереса хочу попробовать мало ли да и всякий человек когда либо да ошибается! (суди по разговору с этим назовем его хакером) )он еще молодой а потаму можнно надеятся на успех контакт и однокласники попросили ордер на получение инфо с отделе К мне обещали выдать! так что не все так плохо )))

(256),,,,,,,,,,,,,,,,,,,,,,,,,,,,,,............. - пользуйтесь на здоровье.

)

то есть помощи мне здесь не ждать? ни у кого нету интереса?

(259) беги плати. они упростили процедуру оплаты до наипростейшей.

недавно я после оплаты спросил этих уродов, где у меня дыра в безопасности. они мне по-братски ответили, оказалось, одна из куриц где-то свой пароль прокакала, и на сервере у одного админа был пароль 123, он забыл его поменять. и по его паролю рашифровали все остальные пароли, в том числе и мой, достаточно сложный, а он у меня на все входы виндоус один (( теперь пришлось менять практически все пароли.

(260) еще раз повтарюсь инфо не столь важна! мне интереснее выбить зубы этому уроду потаму интереснее его найти а там может и дишифратор найдется и данные получим )

(260) Под тото же пароль и на Почту был и т.д. на все-все :)

(261) Да мы это поняли, что делать тебе нечего, почему бы и не поиграть в Шерлока хомса...
Но, куда интересней найти средство блокировки выполнения Скриптов у нерадивых бухов, которые должны при этом иметь почти Админские Права на ПК, что бы работать с Клиентами банков... :)

...
И почему Банки не пишут программу состоящую из двух частей:
1. Ставится под админом и работает для Блокировки ПК и связи с банком и т.д.
2. Пользователю дается только клиентская часть, что бы как раз и не иметь админские права :)

(259) Ну почему же нет? Спортивный интерес - поймаешь/не поймаешь думаю у всех есть (ну или почти у всех).
Если отловишь сними на видео как будешь ему люлей отвешивать и выложи на ютуб.

(260)>недавно я после оплаты спросил этих уродов, где у меня дыра в безопасности. они мне по-братски ответили

М-да. Понимаешь, что ты только поддерживаешь эту паскудную шоблу таким образом?

(263) я хз, как у вас, а у нас клиентбанки - каждый в своей виртуалке, на которые у бухов доступ по RDP

И да. Одно дело - спереть бабло организации и остаться безнаказанным, это хоть и незаконно, но можно считать высшим пилотажем. И совсем другое - вымогать деньги, лицемерно прикрываясь дружелюбными намерениями. "По-братски", итить-колотить.

(267) Да вообще цирк просто.
Какие гарантии того, что после оплаты и возврата файлов, они дополнительно не заработают, сделав копию базы, и продав конкурентам?

Атас!

(268)
Во первых кому оно надо?
Во вторых откуда у них возьмутся твои файлы?

(270) 1с-ка и данные у них так же хранятся уверяю Вас! я уже убедился в этом )

(271) Незаметно увести базу 1Ски - это вопиющая некомпетентность админа вообще-то.

+(272) Впрочем, это все равно не оправдывает вымогательство.

(270) Если они получают полный доступ к машине, то файлы можно скопировать.

"Во первых кому оно надо?" - это может и не надо, но они заявляют что поступают благородно, показывая дыры в безопасности сети. И мол кто-то другой мог бы воспользоваться этим и продать данные конкурентам. Так они сами с таким же успехом могут воспользоваться.

Таких "благородных" Робин Гудов надо подвешивать за яйца.
Реально это просто вымогатели, прикрывающие свои действия высокими словами.

(275) полностью с тобой согласен!

(276)
Отправь им вордовский файл якобы для расшифровки, а при открытии этого файла чтобы срабатывал скрипт, который анализирует их сетевые данные и высылает тебе на почту. :)

(274) ты сам им базу вышлешь чтобы дешифровали

(267)
Высший пилотаж ему подавай, хех.
Это все равно что требовать от грабителя-медвежатника чтобы он тебя грабил используя только фирменные инструменты bosch. Аотому что использование ломика и какой-то матери тебе как потерпевшей стороне кажется плохим тоном.
Для организации, в которой кладут болт на такую базовую штуку как создание бекапов, сойдут любые способы. В том числе и вот такие, которые так оскорбляют твои эстетические чувства.

Нет, я не считаю что вымогать бабло - хороший и достойный способ заработать.
Нет, я не поддерживаю распространителей таких троянов.
Но я (как айтишник) также и не считаю что фирмы, которые экономят на it-инфраструктуре, незаслуженно страдают от такого рода вымогательства. За что боролись на то и напоролись.

(279) Т.е. если кто-то сэкономил на инфраструктуре, то заслуживает вымогательства? Если я хожу без бронежилета, то заслуживаю пули? Ну и логика у тебя.

(279) И речь вовсе не о плохом тоне. Разницу между воровством и разбоем ощущаешь вообще?

(281) Значение слова разбой ты очевидно не знаешь.

(280) Да, вот такая вот у меня логика.
Если у тебя есть основания опасаться грабежа но ты не позаботился о безопасности своих денег (или что там у тебя могут еще украсть) - ты заслуживаешь того чтобы тебя обокрали.
Но это совершенно не делает вора правым. Это всего лишь показывает что ты был не готов и вел себя беспечно.

Еще раз для обидевшихся: если военного корреспондента без бронежилета и шлема убили в горячей точке - он дурак. Не надел броник и шлем, хотя знал куда шел. Заслужил.
Но это не означает, что убийца автоматически оправдан и не должен нести никакой ответственности.
Или так: взялся за оголенный кабель и тебя убило - сам виноват. И потом после твоей смерти адвокат может засудить того, по чьей вине этот кабель под напряжением там валялся - тебя это из мертвых все равно не воскресит.
Кладешь болт на бекапы - рискуешь столкнуться с вымогателями.
И их потом могут поймать и все такое, но денег своих ты уже все равно не увидишь.

Что, слишком резко для тебя?

(263) у меня запреты были и чо. человеческий фактор подвел.
(283) в горячей точке, а не у себя дома, правильно? к тебе влезли в квартиру, вытащили твой последний телек, да, блин, я сам виноват, что дверь деревянная. понятное дело, что крупные конторы себе и систему безопасности могут позволить. а мелкие даже сисадмина не могут.

(265) да пошел ты

Вы чего? :-)

Был в отделе К обещали в понедельник дать ордер для сбора информации :-)

что  сделал я собрал список айпи адресов все возможных с которых происходило мое общение со злоумышленником + он мне отправлял файлы еще айпи я получил + он стучался на мой сервак (пытался получить дырки моих сатов) короче я собрал все эти айпи во едино и выслал админас социальных сетей и почтовых серверов с просьбой предоставить всю инфу о этих айпишника если таковая имеется (если он заходил в соц сеть то данные в любом случае сохраняться!

(286) да чел меня на три дня старше, а такую ересь городит. как будто мне нравится платить этим сукам. а ведь в тот раз я запланировал на понедельник установку системы защиты и архивации. а с утра меня уже разбудили звонком. не успел буквально пару дней. а все из-за того, что все сайты, которыми я пользовался для бэкапов и прочей мути, стали платными. пока нашел бесплатные аналоги, одного клиента пришлось спасать.

(288) если найдут, напиши - приеду в гости, чтобы оторвать ему пару органов.

+(288) но админы мне ответили предоставьсте ордер для получения инфы я пошел в отдел К расказал все историю и мне обещали в понедельник выдать ордер и право на собственное расследование )

(290) обязательно!

надеюсь что такая техника ловли поможет ну и еще есть пара вариантов о которых писать пока не буду так как эти козлы могут просматривать ветку ) могу сказать что этот примитивный вариант это так а вдруг но остальные будут так же использованы адновременно с этим надеюсь что какой либо из вариантов да поможет найти этих уродов но пару органов я первый вырву )))) так что планируйте для себя что другое равать )))

(256) "да я Дир организации", где ж тебя русскому то учили "Дир"?

(291) "мне обещали в понедельник выдать ордер и право на собственное расследование" - Мдя...

(294) а кто сказал что я русский? ))) шучу я просто на клаву не смотрю когда пишу ))) вот и ошибок мнгого еще пишу как говорю )))

(296) Вот-вот. Ошибки твои это неуважение к тем кто пытается читать твой поток сознания.

(297) ок! впредь буду следить! прошу прощения!

хм..
Надо же, как удивительно совпало.

Только что звонила знакомая девчонка (бухгалтер) из детского садика.  Рассказала эпопею.
Ну понятно, какой-там в детсаду IT-специалист, она же и единственный и главный - бухгалтер.
Бэкапы хоть и делались, но на том же компе (да их компов то всего в садике два - у бухгалтера и у заведующей).

Поймала шифровальщика xbtl.

Касперский лицензионный, пропустил все молча, в техподдержке каспера развели руками - ничем помочь не можем.
После недели переписки с вымогателями сошлись на 5000 руб.
прислали ссылочку, скачала, запустила.
расшифровывал почти 5 часов, ну комп то далеко не навороченный.

зато все полностью расшифровал, все содержимое диска, и в том числе и ЗиК 7.7, и БГУ 8.
ЗиК даже переиндексацию не попросила.

проблемка была - QIWI, падла, завыделывался, технический сбой какой-то, пришлось еще и в поддержку QIWI звонить, поначалу платеж не проходил.

сказали, что 5000 так мало только ради того, что это детсадик.
типа пожалели.

Но она так рада, так рада :)))

(29) пришли дишифратор пожалуйста и ключик очень прошу и да мне тут обещали вирус прислать на почту но так и не дождался спасибо!

(299) Вот жеж твари...
Сисадмины в детских садах это более-менее разбирающиеся в винде родители детей и мужья воспитателей, какие там нафиг бэкапы.

(300) вирус https://www.virustotal.com/ru/file/d97537f20edd5a691ae92a5f6b986b2c9820fd45881bdf81a276dc01c6dff168/analysis/1435232684/

http://forum.kaspersky.com/lofiversion/index.php/t325970.html

Как бы нужен сайт... где будут собираться все данные по случаям вымогательства

Методы "решения" проблемы и т.д.

(303) просто сейчас проблема что даже если нашли кого то его(их) только по 1-2 случаям доказанным навазывают

если же случаев будет под несколько сотен... наказания будут соответствующие и % вероятности наказания более высокий, то таких меньше ублюдков будет

(300) не пришлю, потому что я сам там не был. Детский садик уже закрыт.
D понедельник, может быть, попрошу.
но и опять же, о каком ключике ты ведешь речь?
там уже все расшифровалось, следов никаких.
остался только exe-шник дешифратор, наверно.
короче, в понедельник попрошу, пусть скинет.

(305) там скорее всего дешифратор ключик из инета тянет для конкретных файлов с конкретным идентификатором внутри

т.е. не поможет

(303)А зачем?
Наказать мошенников? Это достаточно сложно в нашей реальности.

А как от этого защититься известно-
1)Грамотное резервное копирование.
2)Грамотная настройка прав.

(307) Наказать убийц? Это достаточно сложно в нашей реальности.

А как от этого защититься известно-
1)Хороший бронежилет.
2)Большой пистолет.

(307) как бы сложно найти... а не наказать, не надо путать

(305)А смысл этот ключик скидывать?

Шифровщик запускаясь на компьютере жертвы генерирует случайный ключ, которым он шифрует файлы.
После обработки всех файлов, он отсылает этот ключ на сервер
вымогателям.

Т.е для каждого компьютера ключ уникален.
Более того - когда шифровщик по каким-то причинам шифрует файлы в два захода (ну например перезагрузили комп, во время работы) то ключи будут разными.
И у вымогателей будет последний ключ, а первый ключ никто в мире  знать не будет. Такое часто бывает.

(308)Сложно.
Но их наказывают. Для этого есть МВД.
И никакие сайты тут не помогут.

Защититься от них -
Вот тут можно конечно сделать сайт с советами.
Хотя их по большому счету и так все знают.

То же самое и с вымогателями.

(310) как бы если шифровальщик не криво написан, то уже зашифрованные файлы (случай конкурирующих вымогателей не учитываем) повторно шифровать не должон

(311) не понял... при чем тут МВД, ФСБ и прочие ЦРУ-АНБ ?

(309)Чтобы наказать надо найти. Довольно трудно наказать кого-то если не знаешь кого наказвывать. Да еще и доказать.

(313)+ просто методы поиска и наказания развивали со времен https://ru.wikipedia.org/wiki/Каин

а вот с (0) сколько?

(313)При том, что это их работа - искать, и наказывать.

От пострадавших требуется одно - написать заявление.

(314) так в этом то и вся проблема... когда уже есть подозреваемый(е) то доказать или наказать в разы проще

(316) странно... вот нашли убийц(у)... но из-за отсутствия доказательно базы отпустили

но через СМИ многие в курсе, что просто не "смогли наказать"

не подскажете лично вы в такси где он водителем, к примеру, сядете?

(315)Да методы все те же по большому счету.
Ничего не изменилось, кроме мелких технических деталей с библейских времен.

Просто меняется сама окружающая среда, причем быстро.
Да и большой проблемы они не доставляют.
Так что нет стимула их слишком рьяно искать.

Любой поиск требует средств. А средства всегда ограничены, и надо грамотно выбирать на что их тратить.

(318) это только "законные методы" наказания

(318)Ну если не доказали - не факт что преступник.
К тому же даже среди убийц вполне встречаются хорошие водители, так что почему бы и нет?

(319) т.е. когда у Вас в подъезде кто то гадит... вы вместо поиска кто и наказания просто: "большой проблемы они не доставляют.
Так что нет стимула их слишком рьяно искать" - терпите, ходите через окно или постоянно убираете?

(321) как бы и не боитесь что "ехать ночью, в лес, в багажнике - плохая примета" ?

(322)+ как бы всегда лучшая защита, это нападение

зачем бороться с последствиями, если лучше убрать причину?

(323)Примета действительно плохая. Только при чем тут она?

(324) слово "убрать" применено в самом прямом смысле, т.е. устранить каким то образом, к примеру поставить в подъезде скрытые камеры и т.д.

(325) как бы разница то всего с (321) 0,5 метра...

(322)Да, примерно так.
Заявление ментам.
Убирать самим.
Если попадется под руку - ну тогда можно что то сделать.
Но специально искать - увольте. Для этого есть специалисты которые лучше в этом разбираются, да и мне если честно недосуг.

(327)А что убийц нужно боятся? Я знаю многих, вполне хорошие люди, чего их бояться?

(328) Гм. Вам "недосуг". Но однажды вы забыли закрыть дверь. И кучка уже в Вашей квартире/доме.

(329) это смотря какая причина убийства

да вполне возможно что эти вымогатели в быту или для соседе/знакомых/друзей самые "милые и хорошие" люди

даже от вымогателей защититься помогут или если случайно им попались то бесплатно расшифруют

ЗЫ как бы не хотел бы иметь таких друзей

(330)Ну так это хороший стимул не забывать запирать дверь :)
А то ведь кучкой может не ограничится.

А отследить вымогателей шифрующих файлы у вас не получиться.
Никакой сайт в этом не поможет.

Единственный реальный путь выловить их - мониторинг финансовых потоков. Для этого нужно иметь доступ к закрытой банковской информации.

(333) Т.е. мы сошлись в том что проблема то "найти/отследить" а не "наказать"?

(334)+ и скажем доступ то есть, нету исходных данных (как можно более подробных) для того что искать

(334)Для начала в любом случае найти.
Ибо пока вы не нашли, то наказать возможности нет. Логично?

(335)+ т.е. узнавание что $ перекинули на некий счет и потом вывели ничего не даст, тот кто выводит возможно даже не знает того кто ему перевел

почитайте схемы работы кардеров если интересно, там лохов для обеливания используют обычно

а вот имея некую статистику уже можно и найти и доказать

(335)У кого есть доступ и нет исходных данных?
У вас нет доступа.

У МВД и прочих структур занимающихся этим есть и доступ и исходные данные.

(336) наказать то можно, к примеру за убийц расплачивается все общество, через ПФР, платя налоги

но наказывая всех понемногу (включая убиц) мало помогает в отличие от конкретного сильного наказания виновников

(337)Я знаю схемы работы кардеров.
Лоха можно взять в разработку и выйти на заказчиков.
Методики эти отработаны как вы сами сказали с библейских времен.

Сейчас в среде вымогателей шифровщиков популярностью пользуется отмывание денег с помощью биткойна.
Там отследить движение финансов не реально.
Поэтому единственно верный способ борьбы с ними - это запрет оборота криптовалют.

(338) Вы явно не в курсе организации работы и МВД и "прочих структур"

(341)Ну так просветите, если вы в курсе.
А если вы не в курсе, то откуда знаете что я не в курсе?

(340) насчет биткойнов и прочих криптовалют вы сказали такую чушь...

(342) по Вашим утверждениям...

(343)+ "Там отследить движение финансов не реально. " - как бы отследить движение финансов никакой проблемы нету, проблема только заблокировать новые подобные движения

абсолютно как с битторрент

(345) Это не чушь.
В криптовалютах практически невозможно отследить транзакцию.
Т.е можно проследить цепочку до продавца криптовалюты - там уже след теряется. А продавец может быть иностранным гражданином и не обязан отчитыватся.
К тому же покупка криптовалюты идет обычно через биржу.
А у биржи тысячи клиентов, и миллионы транзакций.
Без доступа к БД биржи - не отследишь куда ушли деньги.
А мошенники как правило прогоняют финансы через несколько бирж криптовалют. Это дешево и не составляет труда.
Но сводит на нет все попытки отследить.

Получателем денег там является не человек предъявивший паспорт, а обезличенный номер кошелька, и узнать кому именно принадлежит этот кошелек не составляет труда.

(305) буду ждать с нетерпением спасибо за ранее!

(306) ели тянет с нета то интересно от куда!

А по поводу того что вымогателей нужно искать -
пусть ищут те кто должен.

Лично мне эти вымогатели не то что не мешают, они мне помогают зарабатывать деньги.
Если бы не они я бы получал меньше.
Так что я в какой то мере даже благодарен им за их работу :)

(349) и чем же они тебе помогают то?

(350) как бы врачам болезни тоже не мешают (если конечно не их самих коснулось, а только других) и даже помогают

(350)Я получаю деньги за настройку бэкапов.
Пока не было шифровщиков - народ как то не особо готов был платить деньги за это.
А вот когда человек теряет данные из за шифровщика сам, или знает что данные потерял его знакомый, то он очень охотно тратить деньги на организацию грамотного бэкапа.

(351)Более того - не было бы болезней, и врачи нафиг никому бы нужны не были.
Не станет вирусов и антивирусные компании разорятся.

(353) кто сказал такую чушь что их не станет? вот не было вирусов под андроид (и счас в принципе только трояны)... а антивирусы уже были

ЗЫ в крайнем случае сами напишут... как и врачи выведут новые штаммы чего нибудь...

(354)А кому они будут нужны?
Написали антивирус под андроид и все смеялись - нафиг он нужен.
Появились вирусы под андроид, - теперь уже не смеются и ставят.

(355) хммм... покажите хоть один настоящий вирус под андроид?

всяческие левые трояны не учитываем, которым нужно разрешение на установку дать

(356)А настоящих нет.
Вот как раз там в основном левые трояны которым нужно разрешение на установку дать.

Т.е по сути их даже вирусами называть неправильно.
Но так уж сложилось, что народ все угрозы именует вирусами.

И антивирус кстати против таких угроз не сильно то эффективен.
Но народ кушает.
Хоть безопасности и не обеспечивает, но вот иллюзию безопасности антивирус дает хорошую.

Я собственно то и на винде антивирусам не сильно доверяю.
Сам пользуюсь и всем рекомендую встроенный штатный антивирь.

От основных угроз защищает и не тормозит.
А от шифровщика все равно ни один антивирус не поможет.
Т.к там как правило разрешение на запуск дает сам пользователь.

Тут помогает только грамотная настройка прав, чтобы минизировать угрозы.
А для полной надежности - регулярный бэкап. Благо дисковое пространство сейчас недорого стоит.

(357) кто мешает сделать тоже самое под винду?

1. запретить всем прогам доступ куда не нуна!
2. и сертификаты на доступ если очень нуна
3. запретить установку прог без разрешения, тот же UAC только принудительный и более нормальный, если прога свою папку че то делает то пофиг, а если чужую то разрешение

(358) как бы (359) запросто спасет, шифровщик просто не сможет дальше своей папки что то сделать или он должен быть подписанный

(359)+ понятно что по желанию сильному пользователя это можно все отключить, но по умолчанию должно быть включено

как запрет установки к примеру прог из неизвестных источников на андроид сча

(358) MS Security Essentials + Process Explorer + сторонний АВ сканер = адская смесь.
(361) У плохих дядей основная задача или попасть в ring0, или по полной напакостить в ring3

а как вы работаете (как настраиваете терминалку) если у клиента сегодня все погорело и нужно обязательно нужно что бы завтра все работало! НУЖНО И ВСЕ ТУТ (я вот например отказываюсь от таких клиентов) дело в том что к ним приходишь начинаешь возится с сервером ок поставил все настроил но до локальных компов не достучатся так как есть конторы в которых менеджера с места не вырвешь ))) а пока ты там будешь жаловаться директору этот самый троянец все скушает )

еси у Вас есть утилита te102decrypt.exe у меня нету доступа к дрвебу фтп дайте ссылку или пришлите на почту спасибо!

(363) если у клиента сегодня все погорело то система поднимается из бэкапа.
Занимает около 10минут.

(а если бэкапа нет?)

(366) а у него он "совершенно случайно" есть...

(367) может это поможет? http://forum.kaspersky.com/index.php?showtopic=233692&st=300

+(368)
Спасибо за выложенный дешифратор, он очень помог разобраться с вирусом.
Итак, файлы можно расшифровать!
Для этого необходим exe файл вируса. Просьба вируса ввести код - это только небольшая проверка, файл уже содержит дешифратор и не требует для работы кода от злоумышленников.
Как удалось победить вирус - в запущенный вирус в место сравнения введенного кода записываются пустые команды вместо команд сравнения. В итоге вирус просто запускает функцию дешифровки файлов и восстанавливает их полностью. В каждом вирусе своя функция шифрования, поэтому чужим экзешником расшифровать файлы не получится. (либо подбирать функцию дешифровки, все выполняется на winapi)
Итак, для дешифровки надо:
1. сделать бэкап вируса! (т.к. после дешифровки он себя удаляет)
2. на зараженном компьютере запускаем вирус и дожидаемся окна с требованием ввести код.
3. Запускаем Patcher.exe из приложенного архива
4. в Patcher.exe вводим номер процесса вируса и жмем ентер
5. Должно появиться сообщение "patched". Это значит что команды сравнения затерлись.
6. вводим в поле кода любые символы и жмем ОК.
7. Вирус расшифровывает все файлы и удаляет себя.

Patcher.exe лезет в память другого приложения, антивирусы могут на него заругаться. Чтобы не напрягать народ, в архиве лежит проект для visual studio 2008. Также, привожу код программы здесь:

Да и вообще если подумать шифровальщик даже если и генерит случайный ключь то он его передает Хакеру так? но ключь то был создан на машине а значит он есть! и остается на ней (его то может и удаляют после шифровки на у моего клиента то история другая комп загнулся и некоторые файлы на жестком не тронуты и троян остался жить дальше в системе так как не успел закончить свою работу (синий экран смерти) ))) от сюда можно предположить что где то ключь все таки лежит нужно просто знать что искать или я не прав?

+(370) если прав то что и где и как искать то? ) где посмотреть пути работы шифровальщика?

(371) почитайте про ассиметричное шифрование, глупых вопросов будет много меньше

(372) читал уже!

+(373) и чего я глупого задал?

+374) если взять тетрадку и ручку в которой закончились чернила и начать писать на листе 2+2=4 и так расписать весь лит и под конец Вам выключат(ударят молотком к примеру по голове ) -) то на листе нечего видно не будет но если присмотреться вы ум=видите выдавленные записи не так ли? к этому я и написал (почитав достаточно статей про эту тварь что шифрует данные) у всех она удаляется после своей работы а тут другая история она не удалилась система легла она не успела закончить свою деятельность а значит следы ее работы можно поднять к этому я и писал да быть может я ошибаюсь да да но если ошибаюсь скажите в чем? в том что ключ был записан во временную память? но и тут можно подумать не так ли для работы нужно много данной памяти а соответственно писать и ключ туда бессмысленно значит ключ скажем был записан во временный файл который по плану должен удалиться после работы но этого то могло не произойти? (да можно подумать что вирус отправит ключ после работы а значит он закончил свою деятельность и отправил ключ хакеру и затерся тогда да его мы не увидим но если это не так то можно попробовать его найти и опять же где искать и как?

(374) смысл 2-х ключей (публичного и приватного) понятен?

к примеру внутри шифровальщика лежит публичный ключ, точнее некий офигительный набор публичных ключей пары к которым есть только у вымогателей

далее шифровальщик попадает на комп жертвы, сканирует файлы и все которые не зашифрованы уже им (определеяет по дописанному заголовку) шифрует к примеру первые X кб (и возможно в середине, в конце, еще как), далее дописывает в начало файла свой заголовок (типа я шифратор Z зашифровал открытым ключом № N) и меняет разрешение

когда все зашифрует он самоуничтожается оставив только зашифрованные файлы и файлы инструкций в каждой папке где порезвился типа я видел "Как расшифровать файлы.htm"

ключ он может выбирать из своего списка разными способами как заблагорассудится, перед самоуничтожением он может отправлять отчеты на вымогателям (разными способами) при наличии инета и может отправить номер ключа которым зашифровал

(376)+ и у вас ничего не осталось, нет ни шифровщика, ни открытого ключа ни тем более приватного (которого у вас и не было)

расшифровать можно только соответствующим приватным ключем

если прошла оплата вымогателям, то они присылают вам готовый расшифровщик содержащий только 1 конкретный приватный ключ который подходит для ваших файлов

он конечно вполне возможно подходит и многим другим, т.е. один заплатил а другие могут расшифровать но не факт

расшифровщик расшифровывает файлы с помощью приватного ключа - все ключ засвечен больше его вымогатели скорее всего использовать не будут

(377)+ но еще хуже когда пара ключей (публичный и приватный) делаются под жертву индивидуально

это возможно если на жертве есть инет и шифровщик может запросить уникальный публичный ключ

в этом случае... все

вряд ли Вам, даже имея все алгоритмы, удастся найти кластер суперкомпов на полгодика, чтобы подобрать приватный ключ

(378)+ но не надо совсем отчаиваться, обычно такой фигней (написанием такой тупой гадости) страдают криворукие начинающие "хацкеры"

и оставляют дыры в алгоритмах или в подборе ключей или еще что

да банально себе на всякий случай бэкдор оставляют, в виде простого алгоритма формирования пар ключей - и можно по многоим парам ключей (от 5 до 50, по 1-2 никак) вычислить этот алгоритм и для всех остальных

(379) спасибо за ответы!

про боба и алису читал все понятно и больше думаю что всетаки криворучки работали или просто мое подсознание хочет этому верить ))) http://intsystem.org/1120/asymmetric-encryption-how-it-work/

к стати связался со мной человек недавно постродал от этой же заразы вот наша переписка с ним
Можете написать моб. Телефон для контакта с вами



Thanks With Regards,

Nurtas Kubyiev
System Administrator  assistant



Kazmunaiservices and Contracting LLP

S.Datova 11B, Atyrau - Kazakhstan

tel: +7 (7122) 32 63 60

mob.tel: 8 701 955 73 02

fax: + 7 (7122) 32-61-30

Mailto:[email protected]

http://  http://www.kazmunaiservices.kz

Description: Description: Description: Description: cid:[email protected]



From: Александр Никонов [mailto:[email protected]]
Sent: Sunday, June 28, 2015 11:22 AM
To: itsupport
Subject: Re: Добрый день



не еще решаю а что у Вас?


--
С уважением! ЧТУП "Апдейт" http://apdate.ru http://mitut.by http://maryana.by

Воскресенье, 28 июня 2015, 6:15 UTC от itsupport <[email protected]>:

Добрый день,



Я нашел ваш адрес через форум, вы решили проблему с вирусом [email protected] ROTO file. Прощу помочь мне в этом деле.



Thanks With Regards,

Nurtas Kubyiev
System Administrator  assistant



Kazmunaiservices and Contracting LLP

S.Datova 11B, Atyrau - Kazakhstan

tel: +7 (7122) 32 63 60

mob.tel: 8 701 955 73 02

fax: + 7 (7122) 32-61-30

Mailto:[email protected]

http://  http://www.kazmunaiservices.kz

Description: Description: Description: Description: cid:[email protected]

(382) вот как бы и нужно всем пострадавшим собраться чтобы хотя быть в курсе

начать со сравнения источников заражения (письмо по мылу или как еще)

ЗЫ да еще многие "хацкеры" напарывались на том что их первые жертвы были из их окружения, на кого они "поимели зуб"

т.е. если найти самых первых жертв (причем очень важно найти всех в т.ч. уже решивших проблему заплатив или забив на это) то очень вероятно что они знают злоумышленников

(383) я уже во многих форумах в темах с похожей проблемой оставил просьбу скинуть дишифратор или ключи либо же как смогли решить проблему и т д но пока все молчат

(384) еще вариант это "скинуться" и "нанять специалистов" на фрилансерских сайтах

+(383) но проблема в другом )) дело в том что уж очень интересный у данного пользователя домем в мыле как вы считаете?

(385)+ самое смешное будет если вымогатели сами ничего не писали и заказывали "кому то"

а этот "кто то" выполнит заказ по расшифровке :)

(386) Вы по какому адресу с ним связывались?

ответом на [email protected]

http://kmgpl.com/ странно сайт совсем не связанный с айти

(389) как бы что в файлах написано что вирус то оставил?

как там сказано связаться и куда заплатить?

и вот вопрос у них по его словам так же все файлы на серваке легли а если судить о инфо с сайта то это не маленькая орг и данные у них должны быть защищены очень хорошо!

он звонил мне спрашивал как я борюсь с данной проблемой

(388) подождите а Вы о ком о злоумышленнике или о человеке что связался со мной что со схожей проблемой? если о зло ум то адрес вот [email protected] а что про домен то это я имел в виду что со мной связался человек со схожей проблемой с начал смотреть письма внимательней и обратил внимание на домен его мыла

да очень подозрительно потому что спецом даже наврал "[email protected]"

как бы настучите ка на эту филькину конторку управление К.

можно сначала по справочникам в Казахстане пробить

(395) не понял можно конкретнее?

(394) я то про злоумышленников ;)

просто домена .roto нету (вроде бы)

выходит у этих оленей мыло на @gmail.com

поэтому спишитесь на без .roto и еще звякните в офис Гугла в России

лучше сначала в Гугл а уже потом писать на без .roto

(396) попробуйте поискать по "[email protected]"

и сравнить с результат с правильным

да может человек и волнуется, но в других словах есть ошибки?

Подождите мы запутались ))) писал я злоумышлиннику на [email protected] переписка с ним есть требуют 2000$ но сегодня со мной связался человек и говорит что у него проблема схожая с моей но немного отличается система у него не легла и к дополнению к зашифрованным файлам появились еще и архивы какие то вот я позже посмотрел на его домен и ужаснулся не ужели в такой организации могут быть проблемы такого рода я вот наприме первый раз связался с таким вирусом а работаю в этой сфере уже много лет

(398) (396) попробуйте поискать по "[email protected]"

и сравнить с результат с правильным

да может человек и волнуется, но в других словах есть ошибки?
разве [email protected]" а не [email protected]"? у Вас M не работает!

есть еще интересный момент злоумышлинник расшифровал мне папку которую я ему отправлял и уже расшифрованную напривил мне не на прямую на почту а через этот сайт http://sderni.ru/279767 так вот я и думаю если судить что обмен файлами у нас затратил всего лиш 2 минуты а значит как по моему он работал на своей машине и на http://sderni.ru/279767 этом сайте должны быть его айпи думаю реальный айпи не так ли?

(399) "directorat1c" и "dicrectory1c" это вообще то разные адреса

гугл банит тор, поэтому чтобы прочитать почту им нужно каким то образом туда зайти

могут юзать цепочку прокси и(или) доступ (мобильный)  с левого подключения (симки)

но это все прекрасно отслеживается и управление К при желании делает запросы провайдерам и все

(401) иди уже в ми..полицию

ясно ну в отдел к пойду в понедельник!

Если почитать тему то Вы придете к выводу что в милиции я уже был )

(378)Вы что то страшное пишите.
Какие нафиг приватные и публичные ключи?
Приватные и публичные ключи используются в так называемом ассиметричном шифровании, когда надо зашифровать канал передачи данных.
Это так называемое ассиметричное шифрование.

Для шифрования данных на компьютере его не используют, т.к сложный и ресурсоемкий.
Данные шифруют как правило банальным алгоримом  AES и его модификациями.
Там один ключ. Им и шифруют и дешифруют.

195.239.144.59 по этому айпи постоянно после обещаний злоумышленника о том что он на недельку положит мой сайт появились запросы по странному адресу http://apdate.neteryahka.ru/favicon.ico интересно что бы это значило? такого никогда не было это значит что он ищет уязвимости или же хочет своими запросами положить сервер?

apdate.by/favicon.ico

(407)Бред какой -то.

что за бред почему?

данный запрос данного сайта происходит с интервалом в одну секунду и уже 8000 запросов это бред?

8000 с одного айпи на один и тот же адре я не считаю это бредом!

195.239.144.59 по этому айпи появились запросы по странному адресу http://apdate.neteryahka.ru/favicon.ico
------------
Это ваш айпи? если вы знаете какие он запросы отправляет?
Тогда при чем тут злоумышленник?

это не мой айпи!

я смотрю лог посещений кто когда посещал и какой из моих сайтов так вот я смотрю что данный сайт ещжесекундно ктото стучится с этого айпи

(415) Дык внеси его в файрвол, а потом сходи на Привоз и купи гУся.

(414)Если это не ваш адрес откуда тогда вы знаете какие он запросы отправляет?

от сюда!
IP
    
URL-адрес
    
Время
    
Размер (в байтах):
                
URL-адрес источника ссылок
    
Агент пользователя
195.239.144.59
    
/favicon.ico
    
28.06.15 12:24
    
0
                
    
Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.152 YaBrowser/15.6.2311.3473 (beta) Safari/537.36
195.239.144.59
    
/favicon.ico
    
28.06.15 12:23
    
0
                
    
Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537

я уже заблокировал его!

(415)Если с этого айпи к вам кто то стучиться тогда при чем тут http://apdate.neteryahka.ru/favicon.ico

с этого айпи кто то еже секундно стучится на этот адресм моего сайта (аэтого адреса на самом деле нет нету на моем сайт фавиконки и доступ к корню сайта не получить!) с айпи адреса  195.239.144.59  с интервалом с секунду стучаться на адрес http://apdate.neteryahka.ru/favicon.ico вот что я имею в виду я добавил этот айпи в черный список но он каким то образом проходит мимо блокировки и это тоже странно

(426)А так это на ваш сайт запрос.
Ну тогда заблокируйте в файерволе.

заблокимровал но толку нету! он обходит что ли звоню спецам пусть разбираются странно )))

"добавил этот айпи в черный список" - это как так?
Я вот не представляю что такое черный список и как туда можно добавить адрес.

Блокируют в файерволе, а не во всяких непонятных черных списках.

(424) В файрволе заводится чёрный список, и туда добавляется адрес...

(425)Это в каком? Первый раз слышу.
Просто пишешь правило - откуда, куда, тип трафика, действие.
И никаких черных списков.

(426)
Для Каждого адрес из ЧерныйСписок Цикл
  Файрвол.ДобавитьПравило(Адрес, Перечисления.Действия.Блокировать);
КонецЦискл;

(427) :-))))))))

Забанили мы его ))))))))))))))))))

он отправлял на сайты запросы с очень маленькими пакетами зачем ему это нужно было не понять ))))

(427) да выразился я так ))) правило я создал для этого айпи! но он всеравно проходил потом позваним админу сервера понял что в Кпанели создается запись для .htaccess а не для Файрвол админ добавил его сам в Файрвол

(426) В большинстве брандмауэров "откуда" и "куда" легко задается списком (айпишников, доменов, масок). И если действие для такого трафика - блокировка, то такие списки вполне допустимо именовать черными списками.

(432) вот имея это в виду я так и назвал )

(433)Да да вот это я и хотел сказать, вот именно этими словами, но сначала передумал а потом забыл как правильно сказать.

(434) ))))))))))))

(401) ну пусть даже узнаешь ты реальный айпи и что?

ну вот скажу я тебе, что он(злоумышленник) выходил в интернет вероятно из машины (а может, со скамейки) рядом с парком Горького в 15-00 с симки, зарегистрированной на 98-летнего дедушку иванова ивана ивановича, живущего в  мухосранске по адресу ул.Ленина дом 1., с непонятного gsm-модема с непонятной прошивкой и непонятным имэй.

дальше что?
слабо самому в яндексе  набрать "sim карты без паспорта"?
или "продаю gcm-модем разблокированный (прошитый)"?

всего-то нужно - пачку левых симок, парочку перепрошитых (разлоченных) gsm-модемов, ноут и заднее сиденье автомобиля с тонированными стеклами.
и максимум, что ты узнаешь, продравшись сквозь все анонимайзеры и прочие ухишрения и препоны сотовых операторов - это приблизительное место "выхода в эфир" левой симки с устройства с левым имеем.

дальше что?

учитывая, что злоумышленник будет просто выбрасывать эти левые симки и регулярно перепрошивать имеи ( может, тоже просто выбрасывать эти 3G-моддемы)... при стоимости дешифровки в 2000 баксов выкинуть 50 баксов в урну - хм..

ты же не полагаешь всерьез, что злоумышленник настолько дурак, что выходит в интернет с официально на него зарегистрированных симок и устройств?

(435) вот тут тоже ваяют что-то. Заголовки файлов переписывают.  ПереЗаписать в файл (большой 100 Гигов) заголовок (выбор среды разраб. и библ.)

Может им морду набить, если тех не найдете?

(437) и им тоже! ) + (436) по крайней мере я буду знать в каком городе он живет а если он даже и выбрасывает эти симкарты то божно отслеить по баз станциям где предположительно в каком районе он находился после можно отслеживать его пути перемещения ну а там подумать что дальше то делать ))))

(438) Вы маньяк? Или фильмов насмотрелись?

(438)Какой удивительный, наивный, фееричный молодой человек. Так вдохновенно нести анихею, что иногда даже можно самому поверить в то, что говоришь.

(438) думать всегда лучше заранее

(438) город? хм..
да место и время тебе уже сказал - город Москва район парка Горького.
все.
дальше что? кого отслеживать?
симку? которую он юзал максимум неделю, можешь найти там же возле парка в ближайшей урне.
зп модему можно пришарашить практически любой имей.

на, посмотри, сколько реально стоит симкарта без паспорта.
http://sim-ki.ru/

и посмотри, как быстро можно "превратить" 3г-модем хоть в айфон, хоть в нокию, хоть в хтс, хоть в самсунг, хоть в моторолу:
http://criminal.city/topic/4654-smena-imei-na-3g-modemah-za-15-minut-kitaiskie-modemi-zte-b/page__pid__17025#entry17025

перемещение ЧЕГО ты собрался отслеживать?
симки, которая валяется в урне?
или несуществующего смартфона?
так они больше НИКОГДА в эфире не появятся...

(442) это все да, но есть у меня подозрения что там не настолько продвинутые и уже успели наследить.

просто кто будет такой адрес электронки для такого юзать?
когда обычно юзают неприметных, абузоустойчивых китайцев или еще кого

ТС, уже понедельник, ходил в органы?

Добрый день. Та же проблема возникла.
Но есть большая вероятность, что расшифруем.
ТС помог бы, если бы скинул зашифрованные файлы, из папки которую вам расшифровали.
Написал вам на почту.

(406) иногда по уровню знаний в постах ну чисто 86-й

ЗЫ ЭЦП в курсе что такое к примеру? А про PGP слышали? Какой такой канал вы им зашифровать сможете?

Как раз асимметричное шифрование изначально совсем не для каналов придумали,

и еще и сами себе противоречите... если  асимметричное медленно то как им каналы передачи на лету то шифруют ))

ТС скинь куда нить пример 2-3 зашифрованных файла небольших, желательно текстовых и чтобы было известно какой там точно текст (слова) есть

Вообщем там обыкновенный xor, но с бесконечным ключом.
Ключ можно вычислить если взять зашифрованный файл, и найти такой же исходный. Получив ключ (xor) можно расшифровать все файлы, которые меньше размером полученного ключа.

И еще в конце каждого файла хвост в 1251 байт. Имеет, видимо, отношение к ключу. Его надо будет отрезать потом.

Найти исходный файл можно в интернете. Дистрибутивы программ, например. Копии больших файлов(word) на флешках и т.п.

(448) неужто исполнитель этого криптера?

(449)+ шутка

а попытаться понять откуда ключ берут? типа рандома или есть зависимость?

(450)+ просто бесконечный ключ как то не очень пересылать от жертвы вымогателям, даже если его бесконечность это размер самого большого файла из зашифрованных

так что 99,9% это нечто вроде числа Пи и т.д.

В начале генерируется код в 1250 байтов (не в 1251 - ошибся выще). Он вставляется в конец каждого файла. У меня во всех файлах эти 1250 байт одинаковые. Т.е. зависят от компа или от сессии. На основе этих байт скорее всего генерируется бесконечный ключ.
Анализ ключа, конечно, провести можно. Но уже сложнее.

Ну и надо понимать, что файл самодостаточен. Содержит в себе и данные и ключ. Т.е. если получить доступ к коду вируса - то можно написать дешифратор.
Вирус скорее всего скоро поймают - потому и дешифратор будет.

(452) как бы вирус то как то попал на комп? или в письме пришел только загрузчик основного шифровальщика?

Кстати каким то undelete (той же rstudio) пройтись по диску? может не затерт еще сам вирус

(453) Комп без доступа к инету, но с доступом идиотов, и плохим админом. Принесли на флешке или по почте.
И прочитав все посты ТС - сделал вывод что файл должен быть самодостаточен для расшифровки.

На всякий случай просто проверил xor'ом заголовки jpg и bmp. Оказался у них общий ключ на старте.
Потом сделал xor двух разных Thumbs.db. А они то сходятся, то расходятся. Пустил этот ключ на текстовой файл. Текст то появлялся, то исчезал. А значит чистый xor, без зависимости от содержания файла. Это сразу облегчало задачу.

А когда вычислил ключ в 2 кб, и не нашел повторений - понял, что ключ бесконечный(или больше двух кб).
А значит надо искать большой исходный файл.

(455) надеюсь фильмы были на диске и оно тоже их зашифровало?

(456) способ защиты от шифрования файлов - хранить видео на сервере :)

(457) угу с разными расширениями .doc .xls .rar и т.д.

причем побольше чтобы оно сдохло при шифровании

ЗЫ а еще гениальнее это симлинк бесконечный

(457) Были дистрибутивы программ с большими файлами. Ищем оригиналы.

(459)  в rar у меня к примеру самое большое это дистры 1С 200мб вида 8.3.X.XXXX_windows.rar

Файлы с какими расширениями то хотя бы оно зашифровало?

Взял я два одинаковых файла один зашифрованный этим зверем другой нет два файла с расширением bat для старта клиент банка запустил Hex Editor  и сравнил эти два файла вышло что это xor а все что дальше просто мусор!

Странная какая-то аналитика. Если вы не расшифровали ни одного файла, то с чего вы взяли что там именно ксор? "Бесконечный ключ" на практике означает скорее всего, что вы видите просто случайную последовательность байт. Ключи бесконечными никто не делает, 128-256 байт вполне достаточно чтобы дешифровка современными средствами была, мягко скажем, маловероятна.

...при условии, конечно, использования стойкого шифрования

(463) Видимо так:
1. Берем оригинальный и шифрованный маленький файл, получаем небольшую xor-маску.
2. Берем другой файл, применяем к нему этот xor и сравниваем с оригинальным, если расшифрованные байты совпадают, значит алгоритм угадан верно
(455) Там, скорее всего, ключ генерится как-то на основе базового ключа по алгоритму

(462) Александр. Простите - мои посты сумбурны. Но вы мне очень помогли. И я хочу помочь вам. Постараюсь сейчас помочь вам подробно по пунктам тут. Если кому то еще понадобится помочь - обсуждаем тут.
1. Ставим приложение http://www.nirsoft.net/utils/xorfiles.html

2. Запускаем. Там 3 пунтка.
В первом выбираем чистый файл (в вашем случае надо взять самый большой файл который есть у вас чистый и грязный. Примерно на 500кб)
Во втором выбираем такой же грязный файл.
В третьем называем имя файла key777(на счастье).


3. Имея ключ можно расшифровать файлы меньшего размера чем ключ(500кб).
В первом пункте выбираем файл для дешифровки
Во втором наш ключ key777.
В третьем название нового файла, который станет дешифрованным, но с 1250 байтом мусора в конце.

PS. Это все сработает, если у вас последние 1250 байтов в конце файлов одинаковые.

(466) попробовать этот максимально длинный из найденных ключей прогнать по https://ru.wikipedia.org/wiki/Статистические_тесты_NIST

на поиск закономерностей

(467) еще можно банальный перебор запустить на текстовом файле

т.е. последовательно подбираем каждый следующий байт ключа, с одновременной расшифровкой какой символ получается

получаемый (расшифрованный) символ должен принадлежать множеству печатных символов (буквы, цифры, знаки препинания)

если это для разных текстовых файлов прогнать то по пересечению множеств можно определить нужный байт на нужном месте ключа

если была база данных 1С 7.7 файловая то это тоже пойдет, в dbf формате длина записи одинаковая всегда, легко узнать где к примеру наименования контрагентов и т.д.

вообщем алгоритм конечно шустрый но нифига не криптостойкий в случае если есть сведения о содержимом зашифрованных файлов

и скорее всего использовали ГПСЧ с некоторым инициализатором, который и записан в добавке к файлу

http://habrahabr.ru/post/151187/

(470)+ http://habrahabr.ru/post/183462/

(471)+ банально проверить на все ГПСЧ которые в инете выложены

http://www.wasm.ru/forum/viewtopic.php?id=18744

тут вообще все разжевано

"Я беру твою процедуру, для шифрования и загоняю в нее огромный файл состоящий только из нулей.
Что я получаю на выходе???
Твой ключ шифрования. И легко расшифровываю твой суперсекретный файл."

- ищите сам шифратор

(474)+ смотрим мой пост (302), берем этот вирус, засовываем его в виртуалку, подсовываем большой файл состоящий из 0 (любое расширение из "dbf, ini, exe, log,jpg, bmp, Doc,xls")

в результате этот зашифрованный файл и будет ключем для "Rapei Andrei"

ЗЫ ищите каждый свой шифратор, попытайтесь восстановить из удаленных на hdd разными утилитами

+(466) мне помагло и что интересно мусора нету!

а если нету копии файла? что тогда делать?

(466) а чем я то Вам помог?

Вооо до меня походу доперло ))) если взять самый большой файл шифрованный и не шифрованный после сравнить их и получить ключь такого же размера можно расшифровать все файлы не превышающие размер этого ключа так?

а мусор это оставшаяся часть ключа после расшифровки так?

вот же неудобство если расшифровывать 1с-ку тогда там же куча файлов задоблбешься ее расшифровывать (

Если у кого есть ключик дайте пожалуйста для этой утилитки Restorer102 спасибо!

(479)Бред.

(479) да, так
если действительно простое xor шифрование

(483) ...

За давностью уже не помню точно, какой был шифровальщик, но смысл не в том, после оплаты дали ссылку на файлообменник, там дешифратор лежал 2 дня и 18 скачиваний, то есть ключ шифрования 1 и встраивается в утилиту.
Дальше на виртуалке эксперименты, первым проходом шифратор проходит и шифрует все до чего может дотянутся, вторым при наличии правильного пароля расшифровывает и себя удаляет.

(484) ребят, ценность всех этих измышлений будет понятна только после того как вы хоть что-то расшифруете сами. Хоть файлик на 100 байт.

(466) Большое спасибо за подробное описание!
Сегодня столкнулись с такой же ситуацией. Спасло то, что в апреле делали бэкапы баз, и после этого, с некоторыми из них не работали.
Поэтому было несколько пар файлов от 300 мегабайт и более - оригинальных и зашифрованных.
С помощью утилиты xorfiles - удалось расшифровать базы с размером ориентировочно до 500 мегабайт.
А если этой утилите дать файлы на гигабайт и более - она вылетает.

Почитал в инете про XOR, и написал в Eclipse на Java програмку - которой передаешь 4 имени файла:
1. путь к базе до шифрования (чистый файл)
2. путь к зашифрованной базе (грязный файл)
3. путь к базе, которую нужно расшифровать
4. путь к файлу, в который пишется результат обработки.

И реализовал побайтное чтение файлов 1,2,3 и вычисление XOR для записи в 4 файл:
temp = data1 ^ data2; // XOR для каждого байта из 1 и 2 базы
rez = temp ^ data3; //XOR для временного ключа и 3 базы, которую нужно расшифровать

Результат добавляем в буфер:
buf_rez[j] = (byte) rez;

И записываем в файл:
out.write(buf_rez);

Таким образом получилось расшифровать базу с размером 800 Мб.

Может кому пригодится...

(487) сам исходный троян/вирус шифровальщик не выцепили?

нужен для получения алгоритма формирования ключа этого бесконечного

(438) боксер по пере-писке

(488) Чушь это все:
на ключ вешается гамма, от чего гамма зависит - Аллах ведает. Я пытался xor применять - один и тот же шифровальщик дает разные ключи на разных файлах. Скорее всего гамма берется из того же файла, но смещения (где она в файле) записываются каким-то образом в конец - и это только xor. Там есть ещё и второй проход при помощи RSA - это не вскрыть.

(488) Троян системщики обнаружили антивирусом и удалили

Leonidas, напиши свои контакты плизз.. icq skype
есть пару вопросов) спасибо!

(491) и сохранить не догадались "для истории"? гнать таких системщиков которые сначала пропустили а потом с концами похерили ;)

(490) С чего такое безаппеляционное утверждение? У товарищей сверху вот сработало, а у вас может более новая версия попалась, т.к. хрякеры из (101) могли прочесть ветку и подправить код.

(492) У меня в карточке Email есть, посмотри

(487) Муторно, но спасибо.
А так шифровальщик шифрует только малюсенькую часть файла. В основном заголовок. У пакетного файла так то тело мало играет значение. Так что шифровку могут не сразу заметить :)

я у себя победил сегодня эту заразу.
если окончание файла [email protected] могу попробовать разшифровать

(497) выложи уже куда нить сам вирус-шифратор ? тока в архиве с паролем

[email protected]

Интересно, одно и тоже?

rapei, как ты расшифровываешь???
Очень много файлов подверглось шифровке сегодня. Готов предоставить для эксперимента шифрованный файл и он же в исходном состоянии (бэкап). Есть и сам вирус. Eset его определил как модифицированный Win32/Filecoder.NEL

Ответь пожалуйста на [email protected]
тут редко бываю.

Два файла и вирус для экспериментов, форумчане!

http://rghost.ru/7q8tn68l4

Всё решилось покупкой лицензии Dr.Web-а за14 долларов.
Через 2 часа после отправки прислали дешифратор и ключ к нему.
Скриншот: http://clip2net.unet.by/clip/m451/1435764820-clip-11kb.png
Без ключа дешифратор не работает.
В файле ключа значится 1214:[какой-то шестнадцатеричный код объёмом 512 байт]

(502) знаете по вот такому посту я могу сделать только один вывод... как и многие другие

что этот шифратор разработка отдельного отдела др-веб... и видать совсем плохо стало с продажами

(502) Я вчера писал в касперский, лицензия есть. В ответ - тишина.

(501) симантек на лету определяет и сносит "Trojan.Cryptolocker.E"

Вообщем вам повезло... что не https://xakep.ru/2014/03/26/62262/ схватили

(494) чего же безаппеляционное-то? (506)

(503) Есть ещё вариант, что dr. web создает командные сервера для шифровальщиков. Режим оверрайд. Только признаться в этом нельзя.

Добрый день, такая же проблема зашифровано все  [email protected]
Как бороться, тут выше написано про dr.web, что они дают дешифратор? как его получить можно подробнее, и расшифровываются ли файлы

(509) Либо покупаете dr Web. Они через обращение в поддержку дают дешифратор.
Либо самостоятельно. (466) (487)
Но последнее может не всем подойти.

(506) >>> подозрительные сетевые соединения и отслеживать вновь появившиеся с помощью какого-нибудь брандмауэра.


Устанешь отслеживать. Рано или поздно попросту пропустишь...
Да и не каждый на такое способен, многие даже и не задумываются о том, "откуда Еда появляется". А у же про безопасность и подавно :)

(509) Не качай порно :)

Доброго дня ко мне обратились за поднятием 1с (думаю что писать нужно здесь)
1с  7 после расшифровки в некоторых дбв заголовки повторяются То есть например умножен на два подумали что проще некуда просто убрать вторую половину (но убирать не стал) а вырезал и создал файл из второй половины после сравнил два файла мне было сказано что файлы идентичные
после эти файлы были помещены в каталог 1с и после ре индексации открыли базу и что мы увидели данные все на месте все можно кричать урааа
НО
через день бухгалтерша заметила одну аномалию (((
в документах в табл частях есть повторяющиеся строки ((( то есть томат красный номер строки 1 и вторая строка томат красный номер строки обратите внимание = 1
что я только не делал таблицу операций меня дбф табл части документа менял нечего не помогает и что еще интересно когда открываешь операция документа эти строки повторяющиеся в операции есть! но суммы пустые у повторений как это может быть и как с этим бороться?

да если меняю дбф шапки и табличной части док и после реиндексации опять та же картина значит дело в других табл но есть одно но я уже брал менял таблицу проводок не помагло таблицу операций не помагло короче много таблиц поменял но толку ни какого как отследить весь путь движений док? в ДД смотрел но там же только структура и имя дбф отвечающего за тот или инной док или спр или счет и т д а как найти где эти строки повторяются?