|
Дед Василий
P.M.
|
17-3-2016 10:04
Дед Василий
Мне вчера пришло письмо с вирусом Бухгалтер по незнанию открыла вложение... Итог: все вордорвские и экселевские файлы,(ПДФ,фото пока не понятно)-наглухо зашифрованы.Сисадмины с вирусом не справились После открытия вложения на экране появляется тетрадный листок в клеточку с изложение ситуации и припиской,что теперь нужен ключ... Работа с документами встала Озаглавлено было
""Отчетность за 2015 год"""
Содержание письма
"""Здравствуйте! Готовим годовую отчетность за прошлый год. Не можем найти первичку по нескольким поставкам, которые проводились нами в сентябре-октябре.
Прошу ознакомиться со списком необходимых документов (во вложении) и скинуть скан-копии счетов-фактур и актов.
|
|
|
Аристотель
P.M.
|
17-3-2016 11:31
Аристотель
Обычный вариант кибер - преступности. Вам прислали макрос, меняющий кодировку файлов. Сталкивался с таким. Справлялся при помощи Kaspersky rescue CD с последними базами. Грузился и сканировал с "чистой среды". При сканировании из под винды вирусня активно сопротивляется.
|
|
|
Аристотель
P.M.
|
17-3-2016 11:36
Аристотель
Как вариант - лезте в настройки ворда, екселя, смотрите куда он сохраняет резервные копии документов, вытягивайте копии на съемный носитель. Затем грузитесь с линуксового LiveCD и ппытаетесь открыть файлы в Libre Office. Именно в режиме LiveCD. Это - если по - быстрому.
|
|
|
Аристотель
P.M.
|
17-3-2016 11:47
Аристотель
|
|
|
badydoc
P.M.
|
если быстро, то платить. Если долго - ждать пока выпустят расшифровщик. Тут была аналогичная тема и вроде даже успешно разрешилась. Попробуйте ее найти. Originally posted by Аристотель:
Справлялся при помощи Kaspersky rescue CD с последними базами. Грузился и сканировал с "чистой среды". При сканировании из под винды вирусня активно сопротивляется.
ерунду не пишите. Причем тут СД с новыми базами? На момент окончания шифрования само тело вируса уже удалено. А файлы расшифровать лайв-сд не может. Originally posted by Дед Василий:
.Сисадмины с вирусом не справились
они и не справятся, потому-как по факту бухгалтер сама себе злобный буратино.
|
|
|
Аристотель
P.M.
|
17-3-2016 12:18
Аристотель
ерунду не пишите. Причем тут СД с новыми базами?
Хорошо. Но резервные копии файлов, сделанные до момента заражения должны же сохраниться. Если с офисом не шаманили, то по умолчанию что ворд, что ексель каждые 10 мин копии фалов делает. Если мне не изменяет память.
|
|
|
Аристотель
P.M.
|
17-3-2016 12:22
Аристотель
они и не справятся, потому-как по факту бухгалтер сама себе злобный буратино.
Не соглашусь. Работа админа в том, чтобы подобное предвидеть и почтовый клиент соответствующим образом настроить. Чтоб пользователь через веб - интерфейс не лазил в почту.
|
|
|
akitukitua
P.M.
|
17-3-2016 12:42
akitukitua
Originally posted by Аристотель:
Работа админа в том, чтобы подобное предвидеть
Это работа безопасника, админ просто должен выполнить инструкцию. По теме на данный момент данный криптовирус НЕ имеет расшифровщика, УВЫ но если нужна информация платить, под наблюдением отдела К, будт хоть какая то вероятность вернуть деньги и наказать халявщиков.
|
|
|
badydoc
P.M.
|
Originally posted by Аристотель:
Но резервные копии файлов, сделанные до момента заражения должны же сохраниться.
шифруется всё, в том числе и копии. Теневые копии - удаляются. Originally posted by Аристотель:
Работа админа в том, чтобы подобное предвидеть и почтовый клиент соответствующим образом настроить.
если пользователь идиот - это его личные проблемы.
|
|
|
Аристотель
P.M.
|
17-3-2016 13:58
Аристотель
если пользователь идиот - это его личные проблемы.
С этим не поспоришь. Самый страшный вирус всегда сидит перед монитором.
|
|
|
OCTAGON
P.M.
|
И не забудьте письмо вызвавшее заражение Кашпировскому переслать.
Пусть исследуют.
|
|
|
NE
P.M.
|
На будущее, делайте резервные копии на отдельный съёмный носитель. Хотя бы раз в неделю.
|
|
|
keks139
P.M.
|
Было у меня на фирме. Помимо копий вирус по сети ищет доступные диски и тоже их шифрует. Данные на флешке вставленной в роутер и доступной как сетевое хранилище тоже были зашифрованы. Осталась только ежемесячная копия на флешке физически отключенной и хранящаяся в сейфе. С касперским и др. Вебом связывался. В смысле общался. Или резервные копии или платите. Причем существует вероятность перекрестного шифрования. Например вирус запущен на компе а,б и с и шифрует один и тот же файл по сети. Сначало с компа а, потом еще раз уже шифрованный с б потом еще раз с С. Соответственно заплатив раз за комп А вы получите шифрований файл. И придется платить еще два раза за комп б и с. Кстати эта дрянь еще и отправляет хозяину вируса лог файл. Где указывается название и полный путь к зашифрованым файлам. От этого зависит ценник на расшифровку для вас. Это мне в др.вебе объяснили после того как я им вирусное письмо переслал.
|
|
|
polex
P.M.
|
И не забудьте письмо вызвавшее заражение Кашпировскому переслать.
Пусть исследуют.
НЕ ПОМОЖЕТ. По сути это вовсе не вирус, это шифровщик. Вполне легальный. И антивирус его не видит. В моем случае обращение в Касперского не помогло. Ничем помочь не можем - вот и весь сказ. За что только деньги берут? С тех пор делаю архивы на автономный носитель и не читая удаляю все письма от неизвестного мне абонента.
|
|
|
badydoc
P.M.
|
Originally posted by polex:
Ничем помочь не можем - вот и весь сказ.
такаяже петрушка. Отсылали и в каспер и в дрвеб и в нод. Никто не помог. Единственное НОД через полгода прислал утилиту-расшифровщик, но это скорее из-за того, что я им и тело вируса прислал и дешифровальщик, купленный у вымогателей.
|
|
|
OCTAGON
P.M.
|
polex:
НЕ ПОМОЖЕТ. По сути это вовсе не вирус, это шифровщик. Вполне легальный. И антивирус его не видит. В моем случае обращение в Касперского не помогло. Ничем помочь не можем - вот и весь сказ. За что только деньги берут?
Ничего легального во вредоносном ПО нет. И антивирусы не только с вирусами борются. Новые вредоносные программы в антивирусные компании надо отсылать обязательно, дабы они смогли научиться их выявлять. Не нравится, как работает Кашпировский, пользуйтесь иным антивирусом. Или вообще не пользуйтесь.
|
|
|
badydoc
P.M.
|
Originally posted by OCTAGON:
Ничего легального во вредоносном ПО нет.
мне кажется вы что-то путаете  Originally posted by OCTAGON:
надо отсылать обязательно, дабы они смогли научиться их выявлять.
проблема в том, что "шифровальщики" тело самого "вируса" удалят сразу по завершению шифрования. Отправлять обычно нечего. У меня были случаи когда пользователь, заметив подозрительную активность, вырубал комп. И удавалось получить всё файлы "вируса". Но, как правильно заметил polex - это по факту не вирус. Это утилита удаленного доступа и архиватор - грубо говоря. Ни один антивирус такое не просечет. Запрещать архивацию с паролем? Нереально. Запрещать RDP (или подобное)- тоже.
|
|
|
Roman Prag
P.M.
|
7-4-2016 18:44
Roman Prag
Бесполезно. Тип шифрования простой, но если не знать исходного ключа, ничего не сделаешь. И никакая антивирусная лаборатория не берется, кстати.
|
|
|
DEeM0NX
P.M.
|
Был случай у одного из клиентов бухгалтер открыл подобное письмо. Все естественно зашифровалось. У организации был куплен антивирус касперского, написали туда о проблеме, отправили им образцы файлов. Примерно через две недели от касперского получили дешифровальщик, который в итоге все восстановил. Правда стоит сказать, что это единственный случай в моей практике. Во всех остальных случаях (более 20 за последние пару лет) ничего сделать не удалось.
Тут просто повезло, видимо шифровальщик простенький и был знаком специалистам касперского.
|
|
|
Senecarus
P.M.
|
22-5-2016 11:06
Senecarus
Это, а в чем проблема разобрать код шифровальщика и посмотреть как он шифрует файлы. Даже если он получает ключи по сети, то задача расшифровки все равно тривиальная.
|
|
|
Esterdes
P.M.
|
Это, а в чем проблема разобрать код шифровальщика и посмотреть как он шифрует файлы. Даже если он получает ключи по сети, то задача расшифровки все равно тривиальная.
Если применяется симметричное шифрование, то проблемы нет. Если, конечно, удалось получить ключ из вируса. Если применяется асимметричное шифрование, то для расшифровки необходим другой ключ. Тут все зависит от сложности ключа и от алгоритма шифрования. Если ключ простой, или использовался алгоритм, в котором есть дырки, то Примерно через две недели от касперского получили дешифровальщик, который в итоге все восстановил.
В ином случае получение ключа может занять годы. Поэтому никто и не берется. Посмотрите статью на википедии о криптографии, там все есть.
|
|
|
Yeasayer
P.M.
|
Была аналогичная ситуация c вирусом. Спасло наличие архивов на другом компьютере. Почитав в интернете о шифровальщиках понял, что спасают только архивы на отдельном хранилище.
|
|
|
Esterdes
P.M.
|
Резервное копирование это вообще залог успеха. Ладно вирус, это еще можно предусмотреть, а вдруг винт навернется.
|
|
|
ankil
P.M.
|
Создатели трояна-шифровальщика TeslaCrypt закрыли проект и опубликовали master-ключ для разблокировки habrahabr.ru
|
|
|
Дед Василий
P.M.
|
26-5-2016 20:19
Дед Василий
спасибо
а как этот ключ теперь использовать7
|
|
|
Gruch
P.M.
|
Кстати теневые копии не всегда удаляются. Я недавно у клиента после шифровальщика из shadow copy выковырял нешифрованные данные. Повезло ему.
|
|
|
