millitarylion1973
P.M.
|
20-12-2014 18:14
millitarylion1973
Здравствуйте! 16 декабря вирус зашифровал все мои вордовские документы и семейные фотоархивы , изменил расширения все зашифрованных файлов. Вирус удалил - а вот файлы восстановить не удалось - говорят нужен какой-то закрытый ключ... который есть только у мошенников, который этот вирус запустили. Платить мошенникам не в моих правилах, а вот специалистам готовым откликнуться и помочь с дешифровкой - вполне приемлемо. Конечно, вопрос цены остается открытым. Могу выслать изменений файл для изучения.
|
|
badydoc
P.M.
|
Если у вас есть лицензионный антивирус - пишите им в техподдержку, но расшифровка займет как минимум месяц.
|
|
millitarylion1973
P.M.
|
21-12-2014 18:27
millitarylion1973
К сожалению, лиценз. антивируса не было, и общение со специалистами этих структур ничего не дало - нет, говорят, сейчас возможности расшифровать.
|
|
IDS
P.M.
|
Нужен файл-тело вируса. А не уже зашифрованный файл. Все достаточно сложно. Вообще затрахали уже эти крипторы - в сети лежат открыто проеты на дельфях для этого дела. Все кому не лень шпаклюют. Если сохранился файл исходный, файл зашифрованный и исполняемый файл криптора - мыло в профайле.
|
|
Архангел
P.M.
|
24-12-2014 10:14
Архангел
Мне с подобной проблемой помогли ребята из др.веба. Сначала выслали утилиту которая частично восставновила фотки, а потом месяца через полтора-два (когда я уже и забыл) выслали обновленную утилитку которая рассшифровала вообще всё! Там же мне сказали, что это мол хорошо что я им выслал сам вирь но его недостаточно так как вирь шифрует как-то там на два ключа, один из которых находится у вирусописателей и без него ничего рассшифровать не получится. Типа нужно будет ждать пока либо самих вирусописателей не поймают либо человека который заплатит вирусописателям денюжку и те ему отдадут дешефратор с ключем, который тот в свою очередь передаст антивирусникам.
|
|
IDS
P.M.
|
Конструкторы такой заразы как правило используют симметричное шифрование без изъебов. Самопальные крипторы используют уже ассимитричное шифрование. Чтобы приватный ключ не палить. Да и то в случае если используется блочный шифр. В случае поточного (что ощутимо быстрее) ключик один.
|
|
Дядюшка Ух
P.M.
|
24-12-2014 11:31
Дядюшка Ух
Интересно, а шифрует он только то, что на жестком диске лежит? Если фото и документы лежат в "облаке" и работа с ними осуществляется через приложение-клиент, они в безопасности?
|
|
IDS
P.M.
|
цитата:они в безопасности? Если через ZvEnumDisks() не возвращается абсолютный путь - в безопасности А то любят некоторые монтировать облако, как локальный диск.
|
|
millitarylion1973
P.M.
|
24-12-2014 20:44
millitarylion1973
Копии незашифрованных файлов есть, а вот с исполняемым файлом криптора - беда - все вычистил в борьбе с заразой. Пробовал разные утилиты от Касперского - без толку. цитата:Originally posted by IDS:
Нужен файл-тело вируса. А не уже зашифрованный файл. Все достаточно сложно. Вообще затрахали уже эти крипторы - в сети лежат открыто проеты на дельфях для этого дела. Все кому не лень шпаклюют. Если сохранился файл исходный, файл зашифрованный и исполняемый файл криптора - мыло в профайле.
|
|
Losevoi
P.M.
|
Отец вчера тоже словил "шифровальщика". Теперь почти все файлы с расширение .cbf. Хочется верить, что автора найдут и повесят на его же кишках.
|
|
IDS
P.M.
|
цитата:Хочется верить, что автора найдут и повесят на его же кишках. Риторический вопрос - бэкап делать умеете? : )
|
|
Losevoi
P.M.
|
Умеем, важного ничего не потеряли. Желание повесить вредителя на кишках от этого не меньше
|
|
IDS
P.M.
|
цитата:Желание повесить вредителя на кишках от этого не меньше Понятно конечно. Но "кулхацкеров" развелось - хоть жопой ешь. Хакеров мало стало.. . Обидно слышать порой что хакер априори преступник....
|
|
millitarylion1973
P.M.
|
27-12-2014 20:52
millitarylion1973
печально, когда нищие грабят нищих )))
|
|
millitarylion1973
P.M.
|
28-12-2014 11:03
millitarylion1973
Это я и не отрицаю, расслабился немножко - лет шесть в вирусами проблем не имел, думал что так теперь будет всегда... ))) цитата:Originally posted by IDS:
Т.е. по сути пострадавший - ССЗБ
|
|
RTDS
P.M.
|
цитата:Originally posted by millitarylion1973:
вирус зашифровал все мои вордовские документы и семейные фотоархивы
цитата:Originally posted by Losevoi:
Отец вчера тоже словил "шифровальщика"
Помогите "предупредиться и вооружиться" - при каких обстоятельствах был пойман вирус? Простой заход на сайт? Запуск экзешника добровольный? Что-то иное?
|
|
millitarylion1973
P.M.
|
28-12-2014 20:22
millitarylion1973
Как запустился экзешник я не заметил, вернее поздно заметил, когда иконки поменялись на рабочем столе и жесткий диск стал усиленно шуршать. Точно не по почте, это скорее всего через сайт... не знаю какой.... за какое то время до случившегося , при переходе с одной страницы на другую в гугл хроме стала вылетать капча требующая ввода текста для подтверждения перехода. Думаю эти вещи были взаимосвязаны с вирусом. После лечения эта капча до сих пор вылетает.... видимо мой комп теперь воспринимается как потенциально опасный сетью... как то так.
|
|
millitarylion1973
P.M.
|
28-12-2014 20:29
millitarylion1973
А мой косяк в том, что я ставил какую то прогу и был конфликт с антивирусом... я его успешно выключил.... и забыл включить.... и полгода у меня он был выключен... при этом я был уверен, что у меня все окей.. вот так лопухнулся... ))) почитал форумы - многие лицензионные антивирусы не видят шифровальщиков... каждый разработчик утверждает, что только его продукт и с своевременным обновлением реально может защитить... кому верить не знаю.. .
|
|
IDS
P.M.
|
цитата:кому верить не знаю... Никому.
|
|
Losevoi
P.M.
|
Чаще приходят через почту, от якобы суда или ФССП.
|
|
badydoc
P.M.
|
цитата:IDS: Да вот как показывает практика - эту заразу нужно запускать САМОСТОЯТЕЛЬНО. не всегда. У меня был случай, что к клиенту подцепились через RDP и всё зашифровали ночью (комп был включен). Правда там был прямой IP и какой-то лоховской пароль на учетку админа. Также видел последствия заражения подобным шифровальщиком, там клиенту под видом супер-пупер важного документа сначала втюхали прогу удаленного доступа, а потом через нее подключились и шифровали, причем как оказалось в этот момент он был на обеде, тоесть за его действиями следили в течении дня.
|
|
badydoc
P.M.
|
цитата:millitarylion1973: почитал форумы - многие лицензионные антивирусы не видят шифровальщиков... каждый разработчик утверждает, что только его продукт и с своевременным обновлением реально может защитить... кому верить не знаю... фактически шифровальщик это не вирус (грубо говоря, вы и сами можете создать запароленный архив), поэтому и антивирусы на это дело не реагируют.
|
|
IDS
P.M.
|
2 badydoc - это адресные атаки. Заеппутся массово так делать.
|
|
Старлей
P.M.
|
Забудь .. . мы так как-то потеряли ВСЕ файлы на серваке (за сутки) .. . когда тупая овца из бухгалтерии открыла вложение из письма "от налоговой" ... Более того .. . ЭТА ЖЕ овца на следующий день еще раз наступила на те же "грабли" .. . была уволена и выплачивала ущерб ..
|
|
Старлей
P.M.
|
цитата:RTDS: Помогите "предупредиться и вооружиться" - при каких обстоятельствах был пойман вирус? Простой заход на сайт? Запуск экзешника добровольный? Что-то иное? 146% открыли файл из письма с названием типа "важно.doc (туева хуча пробелов) .exe"
|
|
Henri
P.M.
|
цитата:146% открыли файл запустили
|
|
-=Александр=-
P.M.
|
16-1-2015 16:05
-=Александр=-
цитата:Отец вчера тоже словил "шифровальщика". расскажите, как ловится? по каким ссылкам не ходить? какой антивирус шифровальщика прошляпил? ------ Всякого, кто "знает, как мне будет лучше", я записываю в блокнотик в список "расстрелять в первую очередь".
|
|
Старлей
P.M.
|
цитата:-=Александр=-: какой антивирус шифровальщика прошляпил? любой т.к. шифровальщик НЕ ВИРУС .. .
|
|
millitarylion1973
P.M.
|
17-1-2015 20:50
millitarylion1973
тема закрыта. Файлы расшифрованы, мир не без добрых людей. )))
|
|
Кречет-М
P.M.
|
цитата:Старлей: Забудь .. . мы так как-то потеряли ВСЕ файлы на серваке (за сутки) .. . когда тупая овца из бухгалтерии открыла вложение из письма "от налоговой" ... Более того .. . ЭТА ЖЕ овца на следующий день еще раз наступила на те же "грабли" .. . была уволена и выплачивала ущерб .. Какая миленькая у вас организация. Что ж админу тогда сделали по результатам инцидента - заставили продать квартиру и почку? Или наоборот, наградили героя?
|
|
IDS
P.M.
|
цитата:что ж админу тогда сделали по результатам инцидента А админ тут причем? К каждой ТП не приставишь по админу. цитата:Файлы расшифрованы, мир не без добрых людей. ))) Хорошо то, что хорошо кончается. Думаю что выводы вы извлекли из ситуации?
|
|
Кречет-М
P.M.
|
цитата:IDS: А админ тут причем? К каждой ТП не приставишь по админу. Действительно. Сотрудник организации получил вложение с вредоносной программой - при чём тут админ? Сотрудник сумел запустить эту программу - при чём тут админ? У сотрудника были лишние права на файлы на сервере - при чём тут админ? А ни при чём. Потому что в той организации он вообще не при делах. Так просто, зарплату получает и не более.
|
|
badydoc
P.M.
|
Если вам ставят бронированную дверь, а вы запирая ее, оставляете ключи под ковриком - это проблема установщиков двери?
|
|
Кречет-М
P.M.
|
Двери, коврики - мы можем продолжить эту аналогию, да боюсь что мы с ней запутаемся. Давайте попробуем чуть иначе. Допустим вы владелец организации в коей триста рабочих мест. Какого сисадмина вы предпочтете - который в случае инцидента красиво объяснит про то что виноват кто-то другой и покажет подпись сотрудника возле "с правилами ознакомлен" - или который просто закроет возможность запускать левые файлы?
|
|
Henri
P.M.
|
цитата:Какого сисадмина вы предпочтете Который подешевле. После первого большого косяка уволю, найду другого. После 2-3 раз плюну на это дело, и подпишу договор на аутсорсинг. В организации оставлю только эникейщика. Суперопытный админ на 1/3 ставки по аутсорсингу обойдется дешевле, чем недоучка с хоть каким-то опытом работы, а пользы больше, упущенная выгода меньше.
|
|
badydoc
P.M.
|
цитата:Originally posted by Кречет-М:
Двери, коврики - мы можем продолжить эту аналогию, да боюсь что мы с ней запутаемся.
я вам про то, что в большинстве случаев самое слабое место в системе безопасности это как раз пользователь. Теперь касательно вашего примера - на 300 компов по вашему хватит одного админа? Да чтобы еще за всеми следил (фактически взяв на себя и обязанности службы безопасности)?. Нет - одного не хватит. Нужен целый отдел. А это как-бы денег дохрена стоит. Поэтому руководителю проще ознакомить сотрудника с правилами. И нанять за копейки мальчика студента. Что мы и видим в реальной жизни. И да, если у кого-то шило в попе, то он один хрен всё сломает и порушит. Следи за ним или не следи. Тут вопрос только в минимизации потерь. Примеров этому я могу привести просто кучу.
|
|
Кречет-М
P.M.
|
Снова не туда, коллеги. Один админ или два или отдел ИТ, на ставку или на четверть, в штате или оутсорсе - это ничего не меняет. Есть админы, и есть "типо админы". Точно так же как есть строители, а есть криворукие шабашники - которые смогут привести кучу никому не нужных причин почему стена вышла кривая. Есть достаточно базовые вещи которые админ должен делать, иначе он превращается в эникейщика в самом худшем смысле этого слова. И разграничение доступа и ограничение прав - это одна из них. Такая же базовая как, допустим, резервное копирование. Если вы допускаете и оправдываете чужую говенную работу - вы тем самым унижаете свою, имху. Ну а снобизм по поводу "тупых пользователей" - он как бы не красит. P.S. цитата:Следи за ним или не следи. про аудит я ещё ни слова не сказал
|
|
Кречет-М
P.M.
|
цитата:badydoc: я вам про то, что в большинстве случаев самое слабое место в системе безопасности это как раз пользователь. человек слабое место, а уж пользователь это окажется или админ - it is depends.
|
|
|