|
Опасный вирус в локалке шифрует файлы
Предупреждаю всех! Сейчас гуляет опасный вирус в локальной сети Пущино и Серпухова, который имеет свою лазейку через RDP.
Шифруются все файлы на сервере и рядом кладется вот такой вот текстовый документ со следующим текстом: Код HTML:
Доброго времени суток! |
Писать этим пидорам не пытайтесь даже:
Delivery to the following recipient failed permanently: decr03@mail.ru Technical details of permanent failure: Google tried to deliver your message, but it was rejected by the server for the recipient domain mail.ru by mxs.mail.ru. [94.100.176.20]. The error that the other server returned was: 550 Message was not accepted -- invalid mailbox. Local mailbox decr03@mail.ru is unavailable: account is disabled |
Кто как вылечился- отписываемся здесь.
|
Симптомы нужны. Да и КАК он попал(заразил)? Какие были действия в системе?
СВЯТ,так не разберёшься... Попробуй прогнать прогу Malwarebytes Anti-Malware в безопасном режиме. |
У меня вчера 404 ошибку выдал, 100 лет не было уже.
|
Частичное решение найдено- есть дешифратор,восстановил базы 1С 8.2.
|
Взято из просторов...
"Как пострадавший от этого вируса и долго с ним возившийся, я сделал следующие выводы: Вирус, приходящий в письме - не шифрует. Он в течении 1-3 дней загружает шифровальщик, который шифрует файлы (они кстати лохи, самое важное уцелело). После шифрования самоуничтожается шифровальщик и возможно загрузчик. Думаю, что шифровальщик в течении определенного промежутка времени не меняется (у всех страдающих грузится один и тот-же). Время смены - возможно несколько дней, может быстрее. После того, как они меняют шифровальщик, касперский и все остальные антивиры бессильны - не узнаешь механизма и ключа шифровки. Правила я так понимаю простые - надо немедленно выключить пк, винт переставить на другую машину и попытаться найти в удаленных файлах (и восстановить) шифровальщик. Имея его - отправить касперским и все ОК. Пары файл шифрованный и нет бесполезны, только для проверки пойдут. Загрузчик сидит тихо, его тоже не заметишь по глюкам или еще по чему. В этом вся и подлость этой фигни - винлоки убираются за 5 минут, а эти приводят к абсолютному капцу информации, работают гады чисто и четко. Через неделю пираты перестают отвечать на письма (меняют ящик и домен ящика) - не заплатил - попал. Когда попадет человек повлиятельнее - их найдут и посадят, а пока - мы в пролете. Еще как вариант, решение - срочно на тестовой изолированной машине запускать файл (загрузчик) из письма, ждать начала шифрования и вытаскивать с диска и отправлять касперскому шифровальщик (он целый будет до конца шифрования, возможно в темпе). Промедление - попадете, как я (версия шифра сменится). |
У меня тоже это было. Три дня назад вылечился, но у меня ничего особо ценного на этой машине нет, поэтому пох. Стоял бесплатный антивирь Комодо и ему наплевать было, что у меня в компе несколько червей завелось. В итоге загрузился с флешки, запустил Dr.Web CureIt, после чего поставил Каспера. Кстати, Каспер после Веба тоже вирус нашел.
|
Каспер и себя вирусом считает
|
Каспер тут безсилен.
|
Format c: и всё в порядке :) , много раз ловил на диске С:, но почем-то никада не ловился на второстепенных дисках,так что если тупо держать на С систему и подручные проги для интерфейса,не жалко и форматнуть :)
|
На других дисках вирусы тоже в файлы автозапуска часто прописываются.
|
Так вот откуда ноги у этой гадости растут - из локальной сети Пущино и Серпухова :)
Там шифрование файлов банальное по xor, в моём случае ключ был 6F9C67FDF5003563479486203195E9E2 Если надо могу поделиться самописным дешифратором (если сомнения в моей честности, то приложу исходники). |
Цитата:
Выложьте свой дешифратор, у меня пара файлов нерасшифрованных осталось. |
Цитата:
СБ (служба беспеки) |
Часовой пояс GMT +3, время: 01:56. |
|
Работает на vBulletin® версия 3.7.2.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot