Остерегайтесь новейшего вируса-шифровальщика!
Тема уже поднималась на форуме, но не говорили, каким образом запускается вирус.
Вот такое письмо приходит:
http://makvak.com/pismo.jpg
При чем что интересно - фамилия и имя указывается владельца почты, то есть откуда-то стырена база данных.
"Вложенные" файлы таковыми не являются, а являются внешними ссылками, которые и запускают вирус.
Ну а дальше - уже писалось: Шифровальщик VAULT
Вот такой новый тип мошенничества.

Ну и конечно - кто знает, как расшифровать файлы, буду благодарен. Жена подхватила вирус...

(0) 1. вырубить комп сразу (из розетки) как только увидели подозрение
2. вытащить HDD/SSD из компа, воткнуть в другой (причем лучше линукс чтобы ничего не писал на диск сам)
3. на другом компе запустить сканирование диска на удаленные файлы
4. попытаться найти ключ шифрования
5. если нашли ключ (не 0 размера) то расшифровать
6. молиться на бэкапы
7. если нет бэкапов то некоторые папки/файлы вирус иногда не успевает обрабатывать в результате остаются и *.gpg b *.vault, в этом случае vault стереть (поменяв расширение назад)
8. если очень нужны файлы и есть $ то платить
9. если не очень нужны или нет $ то начать жизнь заново, забыв все и переустановив winx64 систему или linux или купив мак

(1) Вобщем попадос... Антивирусы в топку... Чем занимается отдел "К"?

мак не спасёт

(2) да попадание
антивирусы потом с задержкой отрабатывают и то не все
а заявление написано-отдано?

да чисто теоретически можно расшифровать 1 - несколько файлов
к примеру если был бэкап всего в zip то есть смысл вскрыть за много процессорного времени нехилых компов
симметричный шифр этого конкретного файла(ов)

проблема что остальные файлы зашифрованы совсем другими симметричными ключами

а чтобы узнать этот симметричный ключ для каждого, нужно знать приватный ключ зловредов

Короче только платить мошениикам...

А нефиг всякими сберами пользоваться

(6) ну никто из моих попавшихся знакомых не стал платить
у кого то были бэкапы, кто то расшифровал (восстановив ключ  в удаленных) а многие просто забили на фотки

речь про разные шифровщики/вымогатели не только сабжевый, за несколько лет

причем одна фирма предпочла восстановить базу (только текущие остатки) проведя инвентаризацию и забив вручную
потому что статьи расходов "оплата вымогателям" в вычетах нету

внятная система резервирования данных, и пофигу вообще на все крипто и прочие вирусы

(8) Если речь о 2000 р, то легче заплатить.


Меня удивляет другое: почему никто не может поймать мошенников?

(10) предложи варианты, как это сделать

(10) там таких сумм нету
на этом денег пока не заработаешь и медалей не получить
вот будет % попавшихся ближе к 1-2% от всех пользователей ПК, тогда будет какое то решение
к примеру тупой запрет провайдерам тор и прочих биткойнов

(11) можно на социалке подловить, по попадутся только лохи по партнерке

ты вату не катай. Вот ты сотрудник, пришла баба дуся, "у меня компьютер зашифрован, вот что на мониторе".
с чего начнешь героическое задержание злодеев

(14) с социальной инженерии - общения с вымогателями

(14) Все намного проще: я полагаю, что у компетентных органов есть методы отслеживания платежей. А также можно попытаться отследить общение с мошенниками. Я не должен знать, КАК должны найти преступники, на то есть специальный отдел "К".

отследи, общение идет через почтовые акки, зарегистрированные в Гондурасе. платежи на телефонные номера, которые после суток "отработки клиентов" выкидываются. Приобретаются пачками на бомжей.

(16) понимаете, есть такая проблемка что спецов там мало
именно спецов а не "окончивших с красным дипломом"

при этом, каждый малолетний кулхацкер мечтает написать свой криптовирус, их тьма

ну да, в очередной раз технический прогресс сильно обогнал социальный

(17) Заплатил ты на телефонный номер, но с него же еще как-то снять надо. Цепочку се равно отследить можно.

(21) угу на номер в 404 и там и сняли
попробуй из России достань, без Шойгу

(0) А сбер в курсе, что от их имени шлют?
Это же недобросовестной конкуренцией попахивает.

(23) Вот это меня меньше всего интересует :)

(22) Ты прав, никак не отследишь, если они где-то в Зимбабве...

как бы в любой ситуации всегда есть как минимум 2 выхода, даже если вас проглотили

к примеру самое простое найти это объявить награду
к примеру банально хотя бы в 1-2 миллиона рублей
за информацию которая поможет найти

(24) Тебя, понятно. Но получается, что любой клиент сбера может такую фигню получить. А сколько у сбера клиентов? Скорее всего, несколько миллионов. Т.е. слишком много для случайных совпадений.
(26) Вот и надо сберу сообщить, они скорее найдут кому это нужно - имхо.

Помогает лишь белый список действий

(28) боюсь, что так. ходить только на сайты, которые знаешь и открывать только почту от тех, кого знаешь.

(29) я про белый список прав

(29) угу .. недавно у мну манагерша словила шифровальщика. банально. письмо типа Пришлите ваши цены по заявке, заявка - внутри" и ссылка. На вопрос - нафейхоа запускали? Ответ - так этож новый клиент! и все. хоть кол на голове теши.

(30) каких нгапример?

(30) а, понятно.

В локальной политики винды настраивается - в том году здесь где-то писал
Нужно запретить запуск виндового приоржения вскрипт

(34) а всякие макросы в офисе будут при этом работать?

(10) Их практически нереально поймать, уже выкладывали ссылку на админу шифровальщика - хитропопые дяди поставили бизнес на поток.

*админку (точнее возможности её)

(0) Сбер на почту редко шлёт... как правило всё приходит через клиент/интернет-банк.

при любом раскладе напиши заявление куда положено, очень хочу крови врага.

(10) вот скажи, ты заявление написал? Вот и не ловят.

(35) у нас работают, хотя иногда нужно в екселе поправить настройки безопасности

(0) Лох, это судьба :)

+(0) Жене привет, дай ей почитать про вирус "Волли" и форматни систему :)
В будущем будет умнее :)

(1) По пункту № 1, это не работает. Человек, который и ПК видит только со стороны Екселя и Ворд, понять, что что-то не так увы не в состоянии. :)

А все остальное уже побоку, заголовки файлов уже зашифрованы, ПК сегодня не так уж и медленные :)

(21) Оплата же идет в биткоинах, а это анонимно.

(10) За 2000 мне легче форматнуть и накачать всего по новой :)

(44) нет, в РФ любые операции с биткоинами запрещены, поэтому первая транзакция пойдёт в рублях и того кто ей получит с  том стороны можно уже брать и на шпинделе от винта вертеть

(46) сам лично видел шифровальщика, в инструкции которого было написано: платите в btc по курсу

(45) ну если у вас все фотографии онлайн, тогда да. а если фотки только на компе хранились? да и суммы обычно гораздо больше, чем 2000

(47) в РФ уже около года как любые операции с биткоинами запрещены...

В конторе у супруги кто-то из бухов попался на шифратор где-то год назад, переводили что-то типа 10 тыр... заявление писать не стали - ну и лохи!

(48) Да нет, все фото уже забекапил :)

Автор, а письма шлет именно сбер???

(0) мне тоже такое приходило. НО. я не являюсь клиентом сбера и емейла моего у них нет

ИМХО, полиция в этой стране мелкими делами не занимается вообще. Решайте свои проблемы сами :-(

(51) Конечно нет, левый адрес...

Под обычным юзером работать надо. А не под админом сидеть

(55) какая разница? фоточки-то восстанавливать надо бухов, а не админа