Кто имел дело с этой дрянью?

(0) Ты поделись как поймал? Антивирус был какой?

(3) смотря где лежат данные, сетевые диски их расшифровщик может не обработать

(4) Avast.
У компа нет связи с интернетом, а шифрование произошло в выходные, когда в офисе никого не было. Похоже, кто-то целенаправленно подгадил.

(6) Avast бесплатный?
Я NIS каждый год покупаю, постоянно мне что-то блокирует, но пока на всех 5 компах, где стоит ни разу не ловилось.

(7) Да.

(5) Диски обычные.

Как вообще происходят дела в подобных случаях? Какую сумму обычно требуют? Что они пришлют, если пришлют: файл-раскодировщик, ключ, расшифрованные файлы?

(9) Раньше 1 биткоин просили

Я однажды сталкивался. У клиента зашифрованы были файловые базы и файлы офисные. Внутри каждой директории лежал файл текстовый с е-майл для связи со злодеем. Я с клиентом вместе писали ему. Но клиенту файлы были не нужны, поэтому переписка была скорее для ржача. В итоге по разговору было похоже, что мы разговариваем с 15-ти летним ушлепком. Конечно Х что он получил гаденыш.

(11) Нам нужны :\

(12) Недавно была беда. В итоге решили, что легче восстановить архив за пару дней, чем платить и ждать. Благо сейчас ЭСФ можно с сервера скачать, банковские документы тоже. Операторы заполнили базу, админ получил по шапке.

(13) У нас полностью самописные базы, увы :\

Помогу настроить сервер бэкапирования. Платно. :)

(15) Спасибо, но это явно не то, что нам нужно в данный момент :\

(16) Архивов нет совсем?

(17) Есть далеко не на всё.

Хоть кто-то интересно расшифровывал файлы оплачивая им? В интернете искали? Какая там статистика?

(19) В интернете везде советуют никому не платить и не поддерживать мошенников. Но нам данные важнее чем возможные угрызения совести :\

(9) Есть те, кто не делает бекапы, а есть, кто начал делать.
Бекапы нельзя хранить в одной и той же папке с БД (с того момента, как появились шифровальщики)
Доступ к архивам должно быть ограничено даже для Администратора домена, только избранная учетка "BackUp_Service" должна иметь полный доступ к бекапам :)

(16) Как-то лет 5 назад удалось вернуть файлы через теневые копии с помощью проги ShadowExplorer. Правда с тех пор шифровальщики шагнули довольно далеко вперед. Может быть и не прокатит.
А пока обдумываются варианты восстановления лучше накатать этим редискам и узнать про их требования.

(20) Как хочешь, расшифровка, это тоже 50% успеха и 50% что кинут.
И вы понимаете, что вас зашифруют завтра повторно? :)

(19) да, в сша был случай когда электроснабжения сервера зашифровались, они тогда платили, в свое время года 2 назад очень много народу пострадало. Каспер тогда выпустил утилиту для расшифровки.

(23) если расшифровать удастся, то к завтрашнему дню сервер будет стоять в сейфе :\

+ А могут дать дешифратор, который окончательно  убьет данные... Это же преступники, а не дон-жуаны. :)

(25) Сейф не спасет вас, только правильная настройка безопасности и раскошеливание на доп оборудование (HDD для бекапов)

https://ru.wikibooks.org/wiki/Системы_хранения_данных

(25) в сейфе и обесточенный?

(26) +1
Копии дисков сделать. Мало ли что...

(25) еще если не бэкпы то хоть apache который будет лочить 1cd

Неоднократно читал что в подобной вирусне иногда отсутствует возможность расшифровки или она не работает(ключ, который должен сохраняться для дальнейшей расшифровки, не сохраняется или не передаётся куда должен передаться).
Так что смотрите, готовы ли рисковать.

(30) Я так понимаю, для начала надо им один файл для расшифровки дать?
Нет гарантий - нет оплаты, это ясно :\

Я знаю как минимум пару компаний, у которых не было бекапов, или где бекапы были зашифрованы. Компании платили деньги. Ключ высылался. Как минимум необходимые данные и базы были восстановлены.
  В случае этих компаний, бекапы, апачи не помогли. Шифровали через RDP с паролем админа :)

3-е клиентов платили за расшифровку, расшифровали, принцип такой, пишешь на емейл и прикрепляешь небольшой зашифрованный файл, если в обратку пришлют расшифрованный файл, то можно платить, пришлют дешифратор, все данные восстоновите, но тогда аппетиты были не такие как сейчас, первый 5000 рублей платил, остпльные по 10000 рэ, крайний раз хотели около 60 000, но были посланы, кстатиу одного настроил бекапы(в облако) и локально лежали но с расширением dll, шифровальщик их не тронул

(31) Нет гарантий - нет оплаты, это ясно
  По такой схеме они не работают. Слишком опасно.
  Обычно не кидают - это их бизнес

главное сейчас не чистить комп, и подключить его к интернету, чтобы шифровальщик выплюнул данные в инет

(35) Забавно, может тогда хардкор, еще парочку вирусов скачать, что бы наверняка :)

Ещё мерзость в том, что у них не имейл, а джаббер :\
Сейчас пытаюсь разобраться в этой пакости :\

(36) если он уже заражен, в чом смысл еще качать?
как выше уже сказали, это их бизнесесли была задача убить данные, их бы убили, а не шифровали

(0) Проверь что внутри шифрованных файлов. Бывает что только хидер портят.
Из моих один раз, там копий вообще не было, обошлось в 40к. Восстановили.
В другой раз раз 5 побольше вышло, дешифратор прислали но ничего не восстановилось...

Постоянно такие случаи ;(
А бэкапы да, причем не по самбе, а на ftp с паролем или еще как то.
А то они еще и все сетевые шары начали шифровать, даже меня успело по рдп зацепить, пока я его прибивал.
И бэкапы за несколько дней! Был случай - шифранули, а бэкап был уже после шифратора ;)

С (35) согласен, ключ еще может быть не потерян.
Если комп перегружали, наверное ключ потерян и платить бесполезно.
Хотя черт его знает, что там за ключ был...

этой весной с конторы которую шифранули просили 2 биткоина, но там не вирусняк или письмо было, а целенаправленно их вскрывали, знали деньги у них есть

(0) забей... восстанови что можно из архивов, остальное набивайте ручками...
Делайте нормальную защиту и не открывайте рдп наружу, по крайней мере на стандартном порту...
У мня недавность домашнюю торентокачалку открытую всем ветрам и с паролем 1234 по рдп типа хакнули... поржал... переставил систему усложнил пароль, убрал рдп из доступа извне... Причем прикол самый в том, что эта машинка пару лет так работала и никому не нужна была, а тут пришёл ростелеком и сразу дятлы полезли, хотя по идее сидим на серых ИП...

(41) Это не вариант, увы :\

мы однажды словили какой то другой ..
в общем с нас хотели 15 тысяч рублей ..
мы стали конючить что дорого , но у нас есть 7 тысяч ..
видимо понимая, что мы не их клиенты на третье письмо нам не ответили ..

(42) сколько просят то ?

(44) Пока ещё не удалось связаться с гадами, настраиваю чёртов джаббер-клиент :\

(45) jabber.ru что его настраивать то, 3 минуты.

(45) домен жабера не обязательно должен совпадать ..

(42) https://noransom.kaspersky.com/ru/ здесь пробовали

(48) 09 Янв 2018, последняя версия, скорее всего не прокатит.

(49)  можно отправить запрос на расшифровку, у всех крупных производителей антивирусов есть эти сервисы

(50) при наличии лицензии

+и все равно шансы почти равны нулю

(6) так а выявить кто? Комп разблокирован? Планировщик смотреть.

(0) Почему сразу дрянью? Очень полезный шифровальщик. Приучает делать бекапы.

По локалке пролез? все шифранул?

(55) по локалке вроде шифровальшики еще не научили вроде лазить

(56) Что ему мешает из реестра дернуть кэш проводника и поползать по этим путям. А поди еще C$ был открыт.

(57)где то читал, Если он начнет лазить по локалке его будет легко поймать, по этому он этим не занимается, а тихо мирно шифрует и выпиливается

(50) единственный момент на расшифровку может уйти от 5 - **** дней

(55) Научились. У знакомого, но бестолкового админа с 3го раза шифровальщик все что было доступно по сетке убил.
А когда я полез эту хрень прибивать по рдп (потому как он не осилил такое действие) он и мои диски слегка успел покоцать.
Завел отдельный пустой диск для рдп ;)

Как сейчас не знаю, но в прошлые годы несколько знакомых контор ловило шифровальщики, некоторые не по одному разу. Все платили, данные расшифровывали.
В одной конторе забавно вышло, шифровальщик сагрился на сетевую помойку где сотни пользователей хранили свои файлы. Чего там только не накопилось за 7 лет. В результате застрял там так, что уже пользаки сами заметили, что что-то не так с файлами, сказали админам, а те не спешно нашли комп с вирусом и отключили от сети. Вирус так и не успел все зашифровать.

(60) >> У знакомого, но бестолкового админа

>> он и мои диски слегка успел покоцать

Ахаххаха! Два бестолковых админа :))))

(58) там на его совесть рассчитывают что ли? Не вполне видно, в чем тут может быть проблема, кроме прав на запись в шару пользователя, из-под которого эта дрянь простартовала. Все что доступно на запись из-под оболтусов - должно бэкапиться, все файлопомойки и прочее подобное. Полезно и на случай саботажа, если кто-то решит нагадить и нужные файлы удалить.

(62) А я не админ, я программер! Мне заблуждаться в системах безопасности можно... Но не во второй раз ;)

Dr.WEB лицензионный. Определяет 50/50. Вроде бы есть еще превентивный механизм обнаружения (по характеру действия, а не по сигнатурам), но на него надежды мало. Регулярно мониторю шифровальщики, приходящие в письмах клиентам. Отправляю тех. службам Dr.WEB. Ответ всегда один: добавим в базы. На возмущение о дырявости их антивирусника - реакции никакой :)

По поводу расшифровки ответ соответствующего сервиса Dr.WEB на одном из форумов...

Александр Бролин, служба технической поддержки DrWeb
"Возможность полноценной расшифровки может появиться только в следующих случаях :
1) полиция поймает злоумышленников (разумеется, если не будет заявлений от пострадавших, то вымогателей ловить никто не будет);
2) кто-нибудь выкупит у вымогателей соотв. шифроключ и поделится этим ключом с общественностью;
3) случится революция в криптографии, и будут разработаны эффективные методы взлома RSA

В принципе, вы можете надеяться на то, что реализуется вариант (2)
Такой шанс есть - по имеющемуся опыту : процентов ~10 в течение месяца, и ~20 , что вообще когда-нибудь

Итого: некоторое время хранить зашифрованные файлы - смысл есть"

(66)  А как она ключ закрытый запросила? Или генерит его на лету?

Чудеса случаются.
Нашли свежий бэкап на другой машине.
Не повторяйте моих ошибок :\

(68) А в чем твоя ошибка?

Народ [email protected] КИДНЯК - не платите ни копейки. После оплаты первой суммы прилетит требование оплатить вторую. И так до бесконечности

И что, даже для пруфа файл не расшифровывает?

(69) думаю, что основная ошибка, что бэкапы бывает тоже доступны для шифрования. И он гад сначала бэкапы шифрует, а потом уже базы.

(72)Бекапы сделать без расширения

(72) Основная моя ошибка в том, что бэкапить нужно ВСЁ :\

(73) ну это они обойдут. Они тоже развиваются.

(75) Это понятно. Но те шифровальщики которые работают по списку расширений откуда будут знать к примеру такое расширение ._7_z_i_p ? или вообщем "рандомно" сделать расширение.

(76) У себя к стати в хранилище так и сделал.

(76) Вот этот конкретный урод зашифровал почти всё кроме txt. А файлы без расширения сдохли :\

(78) Без расширений обычно затирает, без шифрования с подменой имени в туже папку

(70) он вообше жив ещё? В джаббере онлайн так и не засветился ни разу :\

(79) + та же прога dmde легко это восстановить.

(80) так он может быть в скрытом режиме

(81) ну вообще-то им проще всё подряд шифровать. Какая разница какое расширение. Если файл более менее большой, шифровать. Не понимаю, зачем им расширения.

Надо резать права на запись, стандартная виндовая архивация на диск, пишет через свою учетку, если на диск, то он даже в проводнике не виден.

(84) ну там у стандартной виндовой записи офигенный пароль придуман для ее учетки?  или просто пароль пробел?

(83) Чтобы система работала и была возможность прочитать их послание. И шифровать всё подряд тоже хлопотное дело. Особенно на слабых пк. Ведь могут и спалить в самый ответственный момент. Знаю контору у которой шифровальщик неделю(!!!!!) хозяйничал, пока базы 1с не сожрал. А они думали, что просто комп стал слишком старый и тормозит.

(85) Под встроенной в систему учеткой, пароли к ней вы не назначаете.

Все не читал, но база походу файловая

(88) еще во время "плаксы" обсуждали преимущества клиент-серверного в плане безопасности. К единому мнению не пришли)

Никто не пользуется встроенной защитой в виндовсе?

Я сам раньше не знал, недавно только наткнулся, когда хотел отключить антивирус на время, чтобы проекты компилировались быстрее.
Пункт меню называется "Ransomware protection". По умолчанию отключен, почему-то. Включил, стало написано что файлы и папки и даже оперативка будут защищаться от неавторизованных изменений неизвестными программами. Так же можно восстановить данные, если они как-то окажутся зашифрованы.

Пользуйтесь.

(90) спасибо, что куда зачем, где этот "Ransomware protection" находится,как включается? но пользоваться будем, ок

(91) Учу пользоваться компьютером, бесплатно:

Пишешь в пуске Ransomware protection, можещь даже скопировать отсюда. Он сразу находит эту настройку, открываешь, остается только нажать переключатель чтобы ее запустить.

(92) Учу работать и правильно составлять вопросы и ответы на них в интернете, бесплатно:
в win 7 нет такой настройки, по этому надо указать как это делается и на каких ОС доступно

(92) скорее всего не вариант. Эта настройка наоборот кучу полезных фишек отключит, которые неавторизованные. А шифровальщик всё равно зашифрует, потому что он знает про эту настройку.

Буквально вчера словили [[email protected]].harma, благо был бекап за предыдущий день и за ночь частично восстановили документы(~3000шт) за потерянный день из других смежных баз

оцениваем последствия))

(43) аналогично у моих клиентов было, которые не делали бекапы:
Одни словили шифровальщик, оплатили после расшифровки одного файла, им выслали ключ и они расшифровали данные.
Другим так же сперва расшифровали один файл, потом они сторговались на половину суммы которую просили сначала, оплатили, но им ничего не прислали и перестали отвечать.
А вообще да, 50/50 что после оплаты расшифровку вышлют злодеи.

(96) "потом они сторговались на половину суммы" значит не сторговались ))

(93) Скажи еще в досе нет такой настройки. Про устаревшие версии виндовс никто и не говорит.

(94) Вроде ничег оне отключилось. Как я понял, известные ему программы он не блокирует. А для неизвестных запрашивает разрешение админнистратора прежде чем дать им доступ на изменение файлов. Но у меня пока все работает как раньше

(96) Надо было ответить: "пришлите еще одну половину суммы" :)

+(100) Или расшифровать только половину файлов

почти все шифровальщики дешифруют за 2-3 недели в лабах касперского и тд. гугли. Пол года назад нам там помогли.

Чекай сайт https:// safezone cc возможно там уже все готово.