Пользователь
20 декабря 2013 в 19:07

Администрирование → Вирус-шифровальщик. БОЛЬШАЯ статья

В новости «ОСТОРОЖНО. Вирус-шифровальщик Trojan.Encoder.225» я уже подробно рассказывал об одном конкретном вирусе Trojan.Encoder.225, но, на тот момент, решения по расшифровке я так и не получил.
Но в последствии (спустя 3 с лишним недели после начала дэшифровки) ситуация изменилась в лучшую сторону. За этот период мною были успешно расшифрованы данные сразу после двух вирусов Trojan.Encoder.225 и Trojan.Encoder.263 на разных ПК.

Напомним: троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее.
Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи:
1. жертва заражается через спам-письмо с вложением (реже инфекционным путем),
2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами,
3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.
Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 — BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.

Но не всё так гладко. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) и вовсе не поддаются корректной расшифровке даже для специалистов компании «Доктор Вэб», которая, собственно, играет ключевую роль в данной статье.

Теперь по порядку.

В начале августа 2013 года ко мне обратились клиенты с проблемой зашифрованных файлов вирусом Trojan.Encoder.225. Вирус, на тот момент, новый, никто ничего не знает, в интернете информации 2-3 тематических ссылки гугла. После продолжительных поисков на просторах интернета выясняется, что единственная (найденная) организация, которая занимается проблемой расшифровки файлов после этого вируса — это компания «Доктор Веб». А именно: дает рекомендации, помогает при обращении в тех.поддержку, разрабатывает собственные дешифровщики и т.д.

Негативное отступление.

И, пользуясь случаем, хочу отметить два жирнющих минуса «Лаборатории Касперского». Которые, при обращении в их тех.поддержку, отмахиваются «мы работаем над этим вопросом, о результатах уведомим по почте». И еще, минус в том — что ответа на запрос я так и не получил. Спустя 4 месяца. Ни«хрена» себе время реакции. А я тут стремлюсь к стандарту «не более одного часа с оформления заявки».
Стыдно, товарищ Евгений Касперский, генеральный директор «Лаборатории Касперского». А ведь у меня добрая половина всех компаний «сидит» на нем. Ну да ладно, лицензии кончаются в январе-марте 2014 года. Стоит ли говорить о том, буду ли я продлевать лицензию?;)

Представляю лица «спецов» из компаний «попроще», так сказать НЕгигантов антивирусной индустрии. Наверное вообще «забились в уголок» и «тихо плакали».
Хотя, что уж там, абсолютно все «лоханулись» по полной. Антивирус, в принципе, не должен был допустить попадание этого вируса на комп. Тем более учитывая современные технологии. А у «них», ГИГАНТОВ антиВИРУСНОЙ индустрии, якобы всё схвачено, «эврестический анализ», «система упреждения», «проактивная защита»…

ГДЕ ЭТИ ВСЕ СУПЕР-СИСТЕМЫ БЫЛИ, КОГДА РАБОТНИК ОТДЕЛА КАДРОВ ОТКРЫВАЛ «БЕЗОБИДНОЕ» ПИСЬМО С ТЕМОЙ «РЕЗЮМЕ»???
Что должен был подумать сотрудник?
Если ВЫ не можете нас защитить, то зачем ВЫ нам нужны вообще?

И всё бы хорошо было с «Доктор Вэб», да только чтобы получить помощь, надо, естественно, иметь лицензию на какой либо их программный продукт. При обращении в тех.поддержку (далее ТП) надо предоставить серийный номер Dr.Web и не забыть в строке «Категория запроса:» выбрать «запрос на лечение» или просто предоставить им зашифрованный файл в лабораторию. Сразу оговорюсь, что так называемые «журнальные ключи» Dr.Web, которые в интернете выкладываются пачками, не подходят, так как не подтверждают приобретение каких либо программных продуктов, и отсеиваются специалистами ТП на раз-два. Проще купить самую «дешманскую» лицензию. Потому как если вы взялись за расшифровку — вам эта лицензия окупится в «мулион» раз. Особенно если папка с фотками «Египет 2012» была в одном экземпляре…

Попытка №1

Итак, купив «лицензию на 2 ПК на год» за н-сумму денег, обратившись в ТП и предоставив некоторые файлы я получил ссылку на утилиту-дешифровщик te225decrypt.exe версии 1.3.0.0. В предвкушении успеха, запускаю утилиту (надо указать ей на один из зашифрованных *.doc файлов). Утилита начинает подбор, нещадно загружая на 90-100% старенький процессор E5300 DualCore, 2600 MHz (разгон до 3,46Ггц) /8192 MB DDR2-800, HDD 160Gb Western Digital.
Тут, параллельно со мной в работу включается коллега на ПК core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel (это для сравнения затраченного времени в конце статьи).
Спустя 6 суток у меня утилита отрапортовала об расшифровке 7277 файлов. Но счастье длилось не долго. Все файлы расшифровались «криво». То есть, например, документы microsoft office открываются, но с разными ошибками: «Приложением Word в документе *.docx обнаружено содержимое, которое не удалось прочитать» или «Не удается открыть файл *.docx из-за ошибок его содержимого». Файлы *.jpg тоже открываются либо с ошибкой, либо 95% изображения оказывается затертым черным или салатово-зелёным фоном. У файлов *.rar — «Неожиданный конец архива».
В общем полная неудача.

Попытка №2

Пишем в ТП о результатах. Просят предоставить пару файлов. Через сутки опять дают ссылку на утилиту te225decrypt.exe, но уже версии 1.3.2.0. Ну что ж, запускаем, альтернативы то все равно не было тогда. Проходит около 6 суток и утилита завершает свою работу ошибкой «Невозможно подобрать параметры шифрования». Итого 13 суток «коту под хвост».
Но мы не сдаемся, на счету важные документы нашего *бестолкового* клиента без элементарных бэкапов.

Попытка №3

Пишем в ТП о результатах. Просят предоставить пару файлов. И, как вы уже догадались, спустя сутки дают ссылку на всё ту же утилиту te225decrypt.exe, но уже версии 1.4.2.0. Ну что ж, запускаем, альтернативы то как не было, так и не появилось ни от Лаборатории Касперского, ни от ESET NOD32 ни от других производителей антивирусных решений. И вот, спустя 5 суток 3 часа 14 минут (123,5 часа) утилита сообщает о расшифровке файлов (у коллеги на core i5 расшифровка заняла всего 21 час 10 минут).
Ну, думаю, была-небыла. И о чудо: полный успех! Все файлы расшифрованы корректно. Всё открывается, закрывается, смотрится, редактируется и сохраняется исправно.

Все счастливы, THE END.

«А где же история про вирус Trojan.Encoder.263?», спросите вы. А на соседнем ПК, под столом… была. Там всё было проще: Пишем в ТП «Доктора Вэба», получаем утилиту te263decrypt.exe, запускаем, ждем 6,5 суток, вуаля! и всё готово.Подведя итог, могу привести несколько советов с форума «Доктор Вэб» в моей редакции:

Что необходимо сделать в случае заражения вирусом-шифровальщиком:
— прислать в вирусную лабораторию Dr. Web или в форму «Отправить подозрительный файл» зашифрованный doc-файл.
— Дожидаться ответа сотрудника Dr.Web и далее следовать его указаниям.

Что НЕ нужно делать:
— менять расширение у зашифрованных файлов; Иначе, при удачно подобранном ключе утилита просто не «увидит» файлов, которые надо расшифровать.
— использовать самостоятельно без консультации со специалистами любые программы для расшифровки/восстановления данных.

Внимание, имея свободный от других задач сервак, рпедлагаю свои безвозмездные услуги по расшифровке ВАШИХ данных. Сервак core i7-3770K c разгоном до *определенных частот*, 16ГБ ОЗУ и SSD Vertex 4.
Для всех активных пользователей «хабра» использование моих ресурсов будет БЕСПЛАТНА!!!

Пишите мне в личку или по иным контактам. Я на этом уже «собаку съел». Поэтому мне не лень на ночь поставить сервак на расшифровку.
Этот вирус — «бич» современности и брать «бабло» с однополчан — это не гуманно. Хотя, если кто-нибудь «бросит» пару баксов на мой счет яндекс.деньги 410011278501419 — я буду не против. Но это совсем не обязательно. Обращайтесь. Обрабатываю заявки в своё свободное время.

Новые сведенья!

Начиная с 08.12.2013 года началось распространение нового вируса из всё той же серии Trojan.Encoder под классификацией «Доктора Вэба» — Trojan.Encoder.263, но с шифрованием RSA. Данный вид на сегодняшнее число (20.12.2013г.) не поддается расшифровке, так как использует очень устойчивый метод шифрования.

Всем, кто пострадал от этого вируса рекомендую:
1. Используя встроенный поиск windows найти все файлы, содержащие расширение .perfect, скопировать их на внешний носитель.
2. Скопировать так же файл CONTACT.txt
3. Положить этот внешний носитель «на полочку».
4. Ждать появления утилиты-дешифратора.

Что НЕ надо делать:
Не надо связываться со злоумышленниками. Это глупо. В более чем 50% случаев после «оплаты» в, примерно, 5000р., вы не получите НИЧЕГО. Ни денег, ни дешефратора.
Справедливости ради стоит отметить, что в интернете есть те «счастливчики», которые за «бабло» получали свои файлы обратно путем дешифрования. Но, верить этим людям не стоит. Будь я вирусописателем, первое, чтоб я сделал — дак это распространил информацию типа «я заплатил и мне выслали дешифратор!!!».
За этими «счастливчиками» могут быть всё те же злоумышленники.

Что ж… пожелаем удачи остальным антивирусным компаниям в создании утилиты по дешифровке файлов после вирусов группы Trojan.Encoder.

Отдельная благодарность за проделанную работу по созданию утилит-дешифраторов товарищу v.martyanov`у с форума «Доктор Вэб».
Максим Молотов @m_molotov
карма
0,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Администрирование

Комментарии (74)

  • +10
    Господи, что за бездарности писали эти вирусы, которые можно расшифровать за 6 суток.
    • +4
      миллионерам трудно заставить себя работать :)
    • –3
      Такие вот «спецы». Вы, наверное, как и они, думаете, что уж Ваш шифр никто в мире не вскроет. Кстати, данные староваты. На новом серваке на i7 я подобные случаи расшифровываю за 24 часа. Вот прогресс то куда шагнул…
      • +1
        Мой шифр никто в мире не вскроет, потому что мой шифр использовал бы стандартные алгоритмы, проверенные временем.

        (рассуждения чисто теоретические, не подумайте чего)
        • –3
          … так думает каждый «кул-хацкер2». Однако, на каждый «лом» находится другой, побольше.
          • +1
            Я в 16 лет думал, что XOR по ключу дает полностью равномерный «белый шум» и очень радовался… Потом радовался полиморфному шифрованию… А потом понял, что более-менее надежны системы вроде PGP, да и то, не факт, что будут и они скомпрометированы, как AES.
            • –12
              Как я Вам искренне соболезную…
              Я в свои 16 лет думал, что круче велика BMX ничего нет в мире. Потом я радовался, когда в парке закатали новую велосипедную дорожку. А далее я понял, что надо не институты «заканчивать», а брать в руки книжку «Windows Server 2003».

              Уж извините, но мне Ваш текст кажется «сомнительным». А всё от того, что я не полез сразу в ВИКИ и не стал искать значения всех ваших слов. Иначе, спустя 30 минут я Вам накатал бы диссертацию на эту тему;)
              Ведь Вам тоже будет неприятно, что вы в своих расчетах просто не учли возможность DFT при возникновении банальных TRD, это если не учитывать SSHD, которые надо было бы использовать в такой ситуации.
              • +5
                XOR, полиморфные шифровщики, PGP и AES — это для вас неизвестные слова?
              • +2
                Не стану с Вами спорить в силу своей тотальной безграмотности в области шифрования.
                И неприятно мне не будет, поскольку не тратил время и силы по данному вопросу.
              • +3
                А далее я понял, что надо не институты «заканчивать», а брать в руки книжку «Windows Server 2003».

                я не полез сразу в ВИКИ и не стал искать значения всех ваших слов.

                Знаете, есть такое слово — «кругозор». Если человек много лет назад взял в руки одну из книг «Windows Server 2003», но при этом до сих пор не знает слов «XOR», «AES» и «PGP», то мне кажется, что ему не стоило брать в руки эту книжку, да и вообще IT — это не для него. Без обид.
                • 0
                  Тем более, Википедия — неплохая отправная точка перед покупкой книги — чисто, чтобы решить, а нужно ли тебе это. За всю жизнь не станешь «аникеем», либо ты разбираешься в чем-то конкретном хорошо, либо во всем никак. Но «слышать звон» обо всем тоже полезно.
            • +5
              >Я в 16 лет думал, что XOR по ключу дает полностью равномерный «белый шум» и очень радовался

              Белый, не белый, но «XOR по ключу» является невзламываемым способом шифрования, если размер ключа не меньше размера шифруемых данных, сам ключ сгенерирован случайным образом и не используется для шифрования других данных. :)
              • +1
                «Одноразовый блокнот».
                • 0
                  OTP (One Time Password) — это в принципе единственный «идеальный» способ шифрования, но он технически неприменим потому что если можно безопасно хранить/передавать ключ такой-же длины как и данные, то что мешает по этому каналу передавать сами данные?

                  А по поводу того что пишет автор — дилетанство. Легко вскрывается RC4 и DES потому что для современных процов он слабоват, да и есть обходные пути. С AES всё намного сложнее и даже если известны первые символы файла (дешифровщик просит именно .doc файл для теста), подбор длинного пароля может занять годы. Просто вирусописатели сильно не заморачивались длиной пароля. Но когда их начали активно подбирать, решили таки перейти на один из самых стойких на данный момент алгоритмов. Тут вопрос не в том, что им лень, вопрос в том, что код нужно клепать быстро и устаревает (попадает в антивирусные базы) он быстро, т.ч. тут не до исследований. Клепают из готовых блоков каждые 2-3 недели новый вариант. Минимум усилий — максимум прибыли.

                  Из личного опыта: на подбор пароля к zip архиву было безуспешно потрачено 3 месяца 32-х ядерного сервера. Архив создан в 7zip и использует шифрование AES, человек не поленился придумать сложный пароль. Подбирал профессиональным инструментом. Скорость подбора (если не изменяет память) 300М вариантов в секунду.
                  • 0
                    one time pad, а не one time password.
                    • 0
                      Каюсь, грешен :)
                  • 0
                    А что вы надеялись найти в архиве, если не секрет?)
                    • 0
                      Мой ответ будет традиционен: «Забыл пароль от своего архива» ;)
    • 0
      Скажите спасибо что они вообще шифруют, а не затирают рандомом(хотя похоже это сделано для того что бы продемонстрировать дешифрацию файла)…
      • 0
        Да видел я такие вирусы. Их очень мало, они не получают распространения и не носят практического назначения. А вообще, я мог бы и ответить, что мне «похрен», у меня есть «бэкапы;)»
  • +3
    Всегда интересовал вопрос, неужели все же не вышлют дешифратора? Ведь это вопрос имиджа, если можно о нем говорить в данной ситуации, но все же. Сами ведь себя наказывают, если допустим зашифровался не 1 компьютер, а несколько в компании. Тогда заплатив раз и не получив ключа, будут искать иные способы, что отразится для злоумышленников очевидным убытком.
    Ведь совершенно не сложно написать дешифратор для своего же шифровальщика.
    • 0
      Наверное зависит от вируса. Недавно была новость про вирус, зашифровавший файлы в каком то департаменте полиции США, я так понял, что они заплатили и получили расшифровку.
      • 0
        Вы правильно поняли. Они тупо заплатили и получили расшифровку (дешифратор).
        Вы, надеюсь, понимаете, что они опустились «ниже плинтуса»?
    • –1
      А нафига высылать? Для поддержания своего имиджа? В надежде, что этот пользователь побежит по форумам писать, что мне помогли «эти бравые ребята»?
      Это похоже на «синдром заложника».
      • 0
        А зачем тогда файлы действительно шифруют? Ведь могли бы просто перезаписывать мусором, и поверх этого показывать баннер «Файлы зашифрованы, требуем 100500 денег!»
        • 0
          Затем, чтоб все думали, что восстановить реально! И потом некоторым показывать, что восстановить действительно реально.
  • +8
    А где большая статья то?
    • –7
      А 9600символов — это мало? Хотя это почти первая статья на данном сайте. Буду конечно исправлять…
  • +1
    Интересно, почему вирмейкеры каждый раз изобретают велосипеды (с квадратными колесами). Встроить в троянца кусок TrueCrypt'а, AESCrypt'а или GnuPG какого-нибудь — и всё! Никакая антивирусная лаборатория не вернет файлы, ни через 5 суток, ни через 5000.
    Узкое место только в генерации и передаче ключей, но и здесь проблема решаема (тот же GPG?).
    • –11
      «Вот ви такой умний, да?»
      Как Вы думаете, кто пишет вирусы? Школьники после уроков? Нихрена.
      Их пишут алчные программисты, желающие быстрой наживы. И уж если у них была бы хоть одна возможность внедрить Ваши примеры — они бы их внедрили.

      А вообще Какого «буя» ВЫ даёте им советы? Может Вы причастны?
    • 0
      А ведь информация с хабра достаточно быстро и широко разносится по интернету.
      Не боитесь, что следующий вирус будет использовать озвученную информацию? ;)
      • –1
        Какую озвученную? Я так то наоборот пытаюсь тут выложить максимум известной информации. А дальше уж стоит бояться, что НАШИ «Касперские» и " ВЭБы" ПЕРВЫМИ не среагируют на топики Хабра;)
        Уж если они не следят за хабром — то мне вообще не охото с ними иметь что то общее…
        • 0
          Мой комментарий с забытым тегом <ирония> был адресован пользователю Ocelot
          • +1
            > Не боитесь, что следующий вирус будет использовать озвученную информацию?
            Будет, обязательно. Но вряд ли в этом будет заслуга хабра. Такие идеи лежат на поверхности и приходят в голову сразу многим независимо.

            Не так давно тут кто-то говорил, что с локерами и крипторами нужно бороться, отслеживая получателя платежа. И что bitcoin был бы идеальным выбором для вируса-вымогателя. Проходит некоторое время — бабах! — появился локер, который требует выкуп через bitcoin.
    • 0
      Встроить в троянца кусок TrueCrypt'а, AESCrypt'а или GnuPG какого-нибудь — и всё!

      У меня подозрение, что это будет «красной тряпкой для быка», и антивирус на такое завопит как резанный ещё до запуска :)
      p.s: вирусам скрытность нужна, а потому костыли — велосипеды :)
      • 0
        Это же всё опенсорсные продукты. Код можно так перекомпилить-перевыкомпилить, что не только антивирус — родная мама не узнает.
        • 0
          деобяускацию, ясное дело, можно применить любую, но алгоритмы шифрования всё равно будут видны, к тому же прошу обратить внимание, что используются исключительно быстрые алгоритмы, а жанные шифруются е полностью. В общем анализ поведения тоже заподозрит неладное
  • +1
    Буду банален, но резервные копии же ж. И не надо расшифровывать мусор ни месяц, ни сутки.
    Хоть как «P.S.» упомяните про них в статье, как напутствие будущим… :)
    • +1
      На один из вариантов шифровальщика-вымогателя попала недавно контора моего товарища. Бекапы? Да, они были, делались ежесуточно на подключенный USB-диск и раз в неделю по сети на соседний сервер. Но, как уже можно догадаться, вирус точно также зашифровал и файлы резервных копий (архивы zip) на USB-диске и сетевом диске.
      Так что сам по себе факт бекапа ничего не дает, нужно тщательно продумывать бекап так, чтобы и резервные копии не подверглись заражению.
      Сейчас я уже настроил товарищу бекап в облачное хранилище по scp+ftp, но все еще сижу и думаю, как бы еще снизить риск «расползания» заразы по бекапам.
      • 0
        Ну, это проблема разделения полномочий. Заразам доступ к бэкапам давать нельзя ) Иначе это и не бэкап получается, а проходной двор.
        • 0
          Ну, как правило, дефолтный админ имеет доступ, если зараза работает от его привилегий — то дотянется всюду. Заранее себя насиловать, предварительно отнимая у админа права на бекапы — тот еще рекурсивный mindfuck, особенно если это не корпорация какая, а маленький интернет-магазин, где 8 сотрудников всего. У них и админа-то нет никакого, иногда помогаю им что-то наладить, по возможности.
          • 0
            Еще раз повторю мысль. Она короткая. Выделю ее. _Бэкап_должен_БЫТЬ_. Здесь же описывается ситуация «бэкапа НЕТ».
            Он перестал существовать, потому что «как правило, дефолтный админ имеет доступ...».
            Растекаться «мыслью по древу» о решениях мы не будем. Каждый найдет в итоге свое. Сразу или «уже» )
            И даже описание вот таких ошибочных вариантов в комментариях опять же кого-то подтолкнут к необходимости еще раз подумать. Всё на пользу )
            • +1
              Растекаться следует не мыслью, а мысию.
              • 0
                Я рад, что основную мысль, наконец, удалось донести, что комментариев она не вызывает.
                • 0
                  До меня не требовалось никаких мыслей доносить, поэтому остальное я просто проигнорировал, потому как ценной информации мозг там не уловил.
                  • 0
                    Приветствую!
                    Осмелюсь предложить такую схемку:
                    — Право записи в директории на usb-диск и соседний сервер — отдельная учетная запись(от имени которой запускается бэкап), Администраторов — исключить.
                    — на чтение — группа пользователей(дабы иметь возможность восстанавливать информацию рядовыми сотрудниками)

                    • 0
                      Эта гениальная схема — первое и самое простое, что вообще можно придумать. И именно о ней и ее производных я говорил, когда писал
                      Заранее себя насиловать, предварительно отнимая у админа права на бекапы — тот еще рекурсивный mindfuck, особенно если это не корпорация какая, а маленький интернет-магазин, где 8 сотрудников всего.
                    • 0
                      Эмм. А тупо спрятать бекап сервер за нат, и делать так, что бекап сервер сам забирает нужное фейло по расписанию не?
      • –3
        БЛИИИИИИН! Вам бы почитать вырезку из моей предыдущей статьи!

        КАК Я ДЕЛАЮ БЭКАП С ДОМАШНИМ ПК:

        1. Все фотки и документы раз в день ночью, благодаря автоматизации, копируются на винт «F» в 1ТБ в папку «Х».
        2. Эта папка «Х» является исходной папкой для облака «Mail.ru Cloud», соответственно всё выгружается в облако.
        3. Каждые пару дней акронис клонирует винт «F» на диск «G» тоже в 1ТБ.
        4. Все фотки и документы раз в неделю копируются на этот же диск «F» но в папку «Y»,
        5. которая является исходной папкой для облака Яндекс.Диск, и они благополучно выгружаются в облако Яндекса.
        6. А еще, иногда, раз в месяц, я беру свободный винт с работы, и несу домой. Там копирую все фотки и документы на него, клею бирку «14.12.2013. Доки, фотки», и отношу винт обратно на работу, где тот пылится на полке в ожидании следующего раза.
        7. Ну и, иногда, тоже раз в месяц, все фотки я копирую на переносной винт, чтоб всегда держать с собой, в случае, если захочется показать в гостях другу как круто мы с сыном оторвались на лыжной базе.
        8. Я уж и не говорю, что раз в полугодие у меня случается «параноя» и я скидываю фотки и доки в совсем сторонний малораспространенный облачный сервер. Так, на всякий случай.
        • +2
          Все эти бекапы на соседний диск в папочки Х и У ничем не помогут при попадании вируса на комп. Он успешно пройдется по всем дискам и папкам, а далее они уже весело и бодро синхронизируются зашифрованные на яндекс диск и куда там еще. Автоматизация, она такая, сработает отлично!
          А таскать раз в месяц «свободный винт с работы» есть возможность не у всех, да и как-то это уже не в ту степь.
          • –6
            Вот ерунда же. Откровенная. Сколь ко времени Вам потребуется для того, чтоб распознать что вирус зашифровал файлы? Сутки?
            Я вот сразу такую «ерунду» опознаю. Всё таки я на то и есть, чтоб подобную фигню распознавать.

            Я сегодня узнал что у меня файлы зашифровались. Ой… Заливаем вчерашний образ (позавчерашний) и «ЧИК»! Я работаю дальше как будто ничего и не было. Бэкапы рулят!

            Он успешно пройдется по всем дискам и папкам, а далее они уже весело и бодро синхронизируются зашифрованные на яндекс диск


            А я что, просто так получаю зарплату? Это надо быть каким «жОским» админом чтоб позволить гулять «вирусне» в своей сети?
            • +10
              Я даже не хочу отвечать на этот поток эмоций. Вроде 28 лет, а как будто шестиклассник-двачер за клавиатурой, честное слово.
              • –5
                Я даже не хочу комментировать этот поток комментариев. Вроде 29 лет, а всё стараетесь одной строкой перечеркнуть все начинания НОВОГО пользователя на хабре… Поступок, достойный музшсчины…
                • +2
                  • 0
                    • +3
                      • –12
                        Короче. Идешь ты в попу. Я до конца не разобрался с этой хренью+)))))
                        • +5
                          Маловато скобочек.
                          Вот, держи:
                          ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
                          • –10
                            О. Спасибо. А я думаю, кто у меня все скобки списдел.
                            Зачем тебе столько?
                          • –6
                            А вообще, харэ засирать мою дебютную тему. Я ведь все таки старался не один день…
                            • +5
                              Не пишите больше на хабр, правда.
                            • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    habrahabr.ru/post/159811/ вот что есть нормальная статья про шифровальщика. Извините но может это вам поможет осознать что произошло.
  • 0
    Насколько я понял, события по ссылке относятся к 2013 году, а уязвимость была закрыта в 2012 так technet.microsoft.com/en-us/security/bulletin/ms12-027 это был непропатченныйт комп или я что-то не понял?
  • 0
    Сейчас история повторяется. И ещё с более большими проблема у пользователей. И как всегда Касперский вообще игнорирится от всего, но и Dr Web рапортует, что тоже не особо помогает. На работе пк подхватили keybtc@gmail_com
    • 0
      Я слушал передачу про keybtc после чего попытался найти какую-то информацию про вектор атаки, который они используют и по-быстрому не получилось.

      Не могли бы вы подробнее описать как произошло заражение?

      • 0
        Конечно. На почту пришло письмо с темой: Акт сверки-взаиморасчётов.

        Напарник прочитал письмо в котором было написано, что предприятие которое нам поставляло продукцию нашло расхождение в документах и просит свериться. К письму было прикреплен архив zip. После открытия на 2х пк на обоих видоизменились файлы с известными нам расширениями.

        А теперь пришло письмо, что за 73 файла дешифровки просят 18 тыс рублей.
        • 0
          Спасибо.
          А что было в архиве?
          • 0
            псевдо вордовский документ ( как оказалось имевшим расширение .js)
            • 0
              Ага попробовал щас себе послать — винда спрашивает при запуске — точно ли вы хотите запустить исполняемый файл.

              А какая верися винды у вас?
              • 0
                8.1, а где вы письмо взяли?!
                • 0
                  Я просто зазиповал пустой test.js и послал его себе сам. А бекап у вас как устроен?
  • 0
    8.1, а где вы письмо взяли?!
  • 0
    Автор, как с вами связаться? Хотелось бы совет по восстановлению данных.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.