Новый вирус, шифрующий данные

Тема в разделе "Свободное общение", создана пользователем Drul0, 17 дек 2014.

  1. 1 янв 2015
    #21
    Alexej Golov
    Alexej Golov БанЗабанен
    Не догадки.
    Сижу на Linux и WIN, коллеги на Mac. В одном мы все правы - вирусы есть везде.
     
  2. 3 мар 2015
    #22
    Мииха
    Мииха ЧКЧлен клуба
    Словила вирус. Пришло письмо от контрагента, что якобы требуются доки для ФНС.
    Почту проверяла рано утром дома. И словила его на свой комп(

    Аккуратней с письмами!!!!

    Результат:
    Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault
    Для их восстановления необходимо получить уникальный ключ.

    ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:

    КРАТКО
    1. Зайдите на наш веб-ресурс
    2. Получите уникальный ключ
    3. Восстановите файлы в прежний вид

    ДЕТАЛЬНО
    Шаг 1:
    Скачайте Tor браузер с официального сайта:
    Шаг 2:
    Используя Tor браузер посетите сайт:
    Шаг 3:
    Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели
    Авторизируйтесь на сайте используя ключ VAULT.KEY
    Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
    STEP 4:
    После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё

    ДОПОЛНИТЕЛЬНО
    a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
    b) Не забывайте про время, обычно оно играет против Вас
    c) Стоимость полного восстановления на ресурсе не окончательная
     
  3. 3 мар 2015
    #23
    Sergey-Chelny
    Sergey-Chelny ЧКЧлен клуба
    Подобный вирус попадался мне пару лет назад- обратились с проблемой не читаемости файла.
    Начал разбираться и выяснилось что : По почте (на *@mail.ru) был прислан файл *.xls с именем "Задолжность Сбербанку". У пользователя нету никаких "отношений" со Сбербанком (ни карт, ни взаиморасчетов), но любопытство пересилило и был открыт файл. В файле было оповещение о том что все документы, графические файлы и файл запуска 1С зашифрованы. Далее указан способ расшифровки (выслать 1000р. по указанному адресу для получения дешифратора). На ПК было ооооочень много документов, графики.
    Стал разбираться что случилось с файлом. Файл просто напросто не открывался- выходила ошибка о невозможности прочтения файла и все. К файлу добавлялась дописка. Выглядело это как то так: "имя_файла.xls.дописка" или "имя_файла.gif.дописка". Решение было найдено на сайте Касперыча (не считать за рекламу). Повезло в том, что кому то попался точно такой же шифратор (шифраторы различаются этими самыми дописками после расширения файла). Скачал дешифратор и все было восстановлено. Почитал эту тему на форуме выяснил что шифратор работает по принципу добавления определенного кода в файл- это можно вычислить при сравнении файлов- оригинала и шифрованного в программе HEX. У пользователя оказалась на флешке копия одного из зашифрованных файлов. Сравнил их и увидел что в 4-х частях файла был внесен код (или видоизменен. Это было давно- за точность не ручаюсь). Вот такая история с этим шифратором была у меня.
    P.S. Кстати. Все шифраторы различаются способом шифрования (дописки в конце файла различны). Поэтому дешифраторы тоже отличаются- проверял.
     
  4. 4 мар 2015
    #24
    Maximilian
    Maximilian ДолжникДолжник
    Читал про шифровальщики. То пишут "вирус зашифровал алгоритмом AES-256" (Американ Энкрипшен Стандарт с длиной ключа 256 бит - стандарт шифров в США) то еще какой нибудь алгоритм, а потом через неделю выходят дешифраторы. От Dr Web тут, от Касперского есть. Не верю чтобы это все были "анонимусы-злоумышленники".
     
  5. 14 мар 2015
    #25
    Warenic
    Warenic ДолжникДолжник
    У меня двое клиентов цепляли. Кстати, разные шифровальщики. Оказывается, по одному шифровальшику нормальные ребята, просто статистику собирают кто их пропустил. А второй барыга. В обоих случаях вложение в письме с двойным расширением. Для шифрования используется WinRar со скриптом, что в принципе вирусом не является, потому и антивирусами не ловится.
     
  6. 14 мар 2015
    #26
    Мииха
    Мииха ЧКЧлен клуба
    Я не стала выполнять их шаги. Но мои все документы зашифрованы doc, ecxl, jpg, pdf и др. более 10000 элементов зашифрованы.
     
  7. 14 мар 2015
    #27
    ZibukaZavr
    ZibukaZavr ЧКЧлен клуба
    Достаньте их из резервной копии...
     
  8. 14 мар 2015
    #28
    Warenic
    Warenic ДолжникДолжник
    Одна клиентка, мать 3-их детей списалась с одними (которые нормальными оказались), объяснила ситуацию (ну откуда такие деньги?). Они попросили копию страницы паспорта с детьми, извинились и прислали расшифровщик.
     
    1 человеку нравится это.
  9. 14 мар 2015
    #29
    Мииха
    Мииха ЧКЧлен клуба
    Жаль, у меня нет детей. Решила попробовать, вступить с ними в диалог. Если не получится, все удалю.
     
  10. 14 мар 2015
    #30
    ZibukaZavr
    ZibukaZavr ЧКЧлен клуба
    Технически, могу помочь...
     
  11. 14 мар 2015
    #31
    Мииха
    Мииха ЧКЧлен клуба
    :D
     
  12. 14 мар 2015
    #32
    Мииха
    Мииха ЧКЧлен клуба
    Паспорт подделаем, а они св-ва о рождении запросят:)
     
  13. 14 мар 2015
    #33
    Очередной складчик
    Очередной складчик БанЗабанен
    Дальше читать не стал. Я не думаю, что какой-нибудь человек настолько плохо знает себя:D
     
  14. 14 мар 2015
    #34
    Boroda
    Boroda БанЗабанен
    Ребят вы с ума посходили? На ваши паспорта потом наоформляют электронных кошельков, напереводят на них "черный нал" (кража с кредитных карт, наркота и прочее - вплоть до терроризма (ну чисто теоретически)) или кредитов наберут. Потом хрен "отмоетесь". Еще и с детьми! Ужасти какие. За детей то не страшно?
    Делайте резервные копии важных данных. И если попадетесь на шифровальщик и дешифратор не обнаружится - то и хрен с ним. Все сносить и восстанавливать данные из бэкапов. Никогда не вступайте в диалог со злоумышленниками. Никогда не сообщайте им никаких дополнительных сведений о себе, и тем более не предоставляйте инфу ни о каких документах. Никогда не платите им денег (даже если заплатите и вам выдадут ключ для дешифрации - это не будет гарантировать чистоту вашего компьютера от них же - они на него еще столько всего скрытого могут прогрузить). Заразился - только лечение (если возможно) или удаление. И полнейшая инвентаризация (если речь о корпоративе).
    "Нормальные ребята" без злых умыслов поставили бы себе тестовую лабу и тестировали бы свои продукты, стату собирали. А не занимались бы преступными деяниями.
     
    2 пользователям это понравилось.
  15. 14 мар 2015
    #35
    Мииха
    Мииха ЧКЧлен клуба
    А по файлу confirmation.key - что они могут определить?


    Про паспорт мы шутили...
     
  16. 15 мар 2015
    #36
    Warenic
    Warenic ДолжникДолжник
    Попроси кого-нибудь, у кого дети есть. Все равно никто не проверит.Ну и не факт, что прокатит.
    По одной странице паспорта без ФИО, информации о выдаче и прописки? К тому же, даже номер паспорта с картинки можно срезать.
     
  17. 15 мар 2015
    #37
    Boroda
    Boroda БанЗабанен
    Вы думаете женщины - скажем так - домохозяйки, будут отправляя скан затирать номер паспорта?
    И вобще - если жертва согласна выслать страницу с детьми, то она с таким же "удовольствием" вышлет и все остальные страницы
    ну вот вы пошутили, а в реальности же так действительно все и бывает
     
    1 человеку нравится это.
  18. 15 мар 2015
    #38
    ZibukaZavr
    ZibukaZavr ЧКЧлен клуба
    вместе с детьми в качестве бонуса...
     
    1 человеку нравится это.
  19. 15 мар 2015
    #39
    Warenic
    Warenic ДолжникДолжник
    Мы ничуть не шутим, мы вполне серьезно обсуждаем и делимся опытом. Чтоб другие учились на чужих ошибках.
     
  20. 15 мар 2015
    #40
    Boroda
    Boroda БанЗабанен
    Я тоже вполне серьезно, т.к. вопрос серьезный,
    Но для кого то это шутки :)