Вирус-шифровальщик: кто сталкивался? Позвонил знакомый с такой проблемой. Посмотрел: все файлы типов doc, docx, rtf, pdf, jpg, tif зашифрованы. Возможно, и ещё какие-то эти точно видел. У зашифрованных файлов расширене изменено на .code. Типа, xxxxx.jpg.code И в каждой папке лежит текстовый файл с сообщением типа: Пиздец, совсем уже обнаглели пидарасы. Вот таких точно убивать надо.
Re: Вирус-шифровальщик: кто сталкивался? Лезь на сайты drweb'а и каспера, на предмет утилит для расшифровки и лечения всякой заразы. Видимо речь идёт об утилите xoristdecrypt. Типа вот. http://forum.kaspersky.com/index.php?showtopic=264029&st=0&p=2079839&#entry2079839 http://forum.kaspersky.com/lofiversion/index.php/t271031.html
Re: Вирус-шифровальщик: кто сталкивался? Одно из двух: либо через какую-то дыру системы залезли, либо емылом пришло письмо с файликом, через который всё и завертелось. Письмо могло быть от самого близкого друга или из партнёрской конторы. Если стоял коммерческий антивирь, то в первую очередь писать/звонить в саппорт того антивиря, который стоял. Если это зашифровалось на компе, к которому есть доступ из инета через RDP, то провести аудит подключений и паролей. Вот тут можно узнать много интересного про эти пакости. И достаточно высока вероятность, что никто, кроме самого автора троянца, данные расшифровать не сможет. Ещё есть риск, что и сам автор не всё расшифрует - были прецеденты, когда шифровальщик файлы не шифровал, а необратимо портил. А на будущее есть только один надёжных способ защиты данных от таких неприятностей: регулярные бэкапы, причем так, чтобы копии не были доступны для записи с компа, на котором хранятся оригиналы...
Re: Вирус-шифровальщик: кто сталкивался? недавно столкнулись. пришло письмо якобы из арбитражного суда, человек открыл вложение с расширением scr (скринсейвер), дальше вирус заражает винрар (подмена файлов вроде происходит) и шифрует кучу самых используемых форматов. варианта два: или платить или ждать расшифровщика от касперского или др.веба. были официальные подписки на оба антивиря, отправили им образцы. чем закончилось - пока не знаю. ради эксперимента поставил виртуальную машину, на нее винду и винрар, заразили, зашифровало. ни один из расшифровщиков доступных с сайта каспера не сработал. на форумах пишет у др. веба есть, но там только через саппорт можно получить было
Re: Вирус-шифровальщик: кто сталкивался? Зараза пришла с письмом, да. Пока не удалось расшифровать. Получил информацию, что 30.10 многие у нас в городе подверглись этой атаке.(в том числе и мой знакомый тоже)
Re: Вирус-шифровальщик: кто сталкивался? только что еще один человек открыл вложение и зашифровал (админ. права имел и был невнимателен, не посмотрел от кого и что за вложение). вот теперь наводим шухер, проверка прав пользователей, запугивание и прочие админ. методы
Re: Вирус-шифровальщик: кто сталкивался? 1. Лишаем юзеров админских прав. 2. Запрещаем юзерам запись в любые каталоги, где лежат рабочие исполняемые файлы. 3. Запрещаем тем же юзерам запуск любых исполняемых файлов, находящихся за пределами каталогов, перечисленных в пункте 2. Подробности, как это сделать, к примеру, есть вот тут: http://support.microsoft.com/kb/324036/ru И бэкапы, бэкапы, бэкапы регулярно!!! ЗЫ. Запустившего троян админа уволить за профнепригодность!
Re: Вирус-шифровальщик: кто сталкивался? Ага, а потом внезапно выясняется что производительность работы упала раза в 3. Т.е. вместо работы идет борьба за работу. P.S. За то что юзер открыл почтовое вложение с вирусом надо ебать админа почтового сервера.
Re: Вирус-шифровальщик: кто сталкивался? Проверенно на личном опыте. Самое лучшее. 1 5 минут погуглить на предмет известных раширений таких файлов. 2 Создать правило на запрет создания файлов с таким расширением. 3 Сопрвождающий файл messages.txt. При появлении файлов - messages.txt и любых файлов с известными расширениями отсылаем письмо администратору. P.S. в первый раз у нас было зашифровано и потеряно около 300к фалов. Хорошо что это всё находилось на ресурсе обмена. После применений правил 1-3, 5 или 6 попыток вторжения, были обломаны.
Re: Вирус-шифровальщик: кто сталкивался? Вирус работает без админских прав. А смысл? Шифруются doc, docx, jpg и прочая муть. Вариант, но мутно. Думаешь в %appdate% нет нужных исполянемых файлов? Где взять столько места? Да ладно. Проф риск. Но то что админ это делает в общей сети то это просто лишение премии.
Re: Вирус-шифровальщик: кто сталкивался? юзеры у нас и так без админ. прав в 95% случаев. почему почтовый сервер не блочит - это уже не к нам вопрос. расширения зашифрованных файлов встречал разные. седня ставили касперского, хотя он новых шифровальщиков вроде как не блочит и пропускает
Re: Вирус-шифровальщик: кто сталкивался? Извиняюсь, что влажу в вашу беседу, но спроси у человека: как часто он письма с вложениями из арбитража получает? Я вот ни разу. Это я им шлю всякие pdf и doc вложения. А вот мне арбитраж до сих пор присылал только уведомления, что мои доки приняты/не приняты. И то сцуко робот отвечает. Остальное все только через определения суда. Никаких писем собаки на почту не пишут.
Re: Вирус-шифровальщик: кто сталкивался? да понятное дело, что подобная хрень рассчитана на невнимательность и неожиданность. типа ой! страшное письмо! что ж там они прислали? всегда ж найдется кто откроет.
Re: Вирус-шифровальщик: кто сталкивался? И именно по этому письма со вложениями типа Document.doc.scr не должны доходить до юзера! Это даже если антивирус их проигнорировал. Хотя вангую что антивируса там тупо нет.
Re: Вирус-шифровальщик: кто сталкивался? В правильно настроенной системе их там быть не должно! И второе с третьим должно идти вместе! А тут уж считаем, что дешевле - потери от подобного рода атак или просто рухнувшей в результате взглюка винды файловой системы или дополнительные диски для бэкапа. И без вазелина!!!
Re: Вирус-шифровальщик: кто сталкивался? А также Document.doc.vbs, Document.doc.js и т.д., а ещё архивы с такими файлами. И подобные шифровальщики могут быть не аттачем в письме, а ссылкой на внешний сайт, где выложен файл троянца. А ещё это может быть просто Document.doc, у которого внутри RTF-эксплойт с приветом МСОфису без установленных исправлений. Ворд с апдейтами просто сообщает об ошибке при попытке открыть такой doc, а ворд без апдейтов запускает процесс шифрования...
Re: Вирус-шифровальщик: кто сталкивался? С чего вдруг? Все нужные для работы приложения запускаются, все файлы сохраняются куда нужно, но при этом всякую левизну юзер запустить не может. Собственно, при правильной настройке даже антивирус не нужен - "левые" или заражённые вирусом файлы сама система не запустит. Заодно юзверь не запустит притащенную на флэшке пакость. Жаль, нет в винде простой возможности (желательно - прямо при установке) перебросить весь %userprofile% на другой раздел с полным запретом запуска исполняемых файлов из этого раздела, как в линухе, да и у авторов виндовых программ дурная привычка на любой чих требовать админских прав или запускать что-нибудь и юзерского каталога. Особенно если это doc-файл cо свеженьким эксплойтом, который ещё не детектится антивирусами...