Форум города Пущино

Форум города Пущино (http://nash-forum.itaec.ru/index.php)
-   Информационная безопасность (http://nash-forum.itaec.ru/forumdisplay.php?f=170)
-   -   Опасный вирус в локалке шифрует файлы (http://nash-forum.itaec.ru/showthread.php?t=21519)

administrator 29.07.2013 09:35

Опасный вирус в локалке шифрует файлы
 
Предупреждаю всех! Сейчас гуляет опасный вирус в локальной сети Пущино и Серпухова, который имеет свою лазейку через RDP.
Шифруются все файлы на сервере и рядом кладется вот такой вот текстовый документ со следующим текстом:


Код HTML:

Доброго времени суток!
Доносим до Вас не самую приятную новость, ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере были зашифрованы с помощью самых криптостойких алгоритмов.
Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
Подобрать его невозможно. Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не решит эту проблему не зная пароля.
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес decr03@mail.ru для получения дальнейших инструкций.
Среднее время ответа специалиста 1-5 часов.
Письма с угрозами ни к чему хорошему вас не приведут.
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

Следите за своей безопасностью, ограничивайте права пользователям, ставьте сложные пароли и заход только с одного-пары ip, а лучше и вовсе ограничьте доступ по rdp.

administrator 29.07.2013 10:03

Писать этим пидорам не пытайтесь даже:

Delivery to the following recipient failed permanently:

decr03@mail.ru

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for the recipient domain mail.ru by mxs.mail.ru. [94.100.176.20].

The error that the other server returned was:
550 Message was not accepted -- invalid mailbox. Local mailbox decr03@mail.ru is unavailable: account is disabled

administrator 29.07.2013 10:03

Кто как вылечился- отписываемся здесь.

Sardonix 29.07.2013 10:28

Симптомы нужны. Да и КАК он попал(заразил)? Какие были действия в системе?
СВЯТ,так не разберёшься... Попробуй прогнать прогу Malwarebytes Anti-Malware в безопасном режиме.

Valerius 29.07.2013 10:45

У меня вчера 404 ошибку выдал, 100 лет не было уже.

administrator 29.07.2013 12:35

Частичное решение найдено- есть дешифратор,восстановил базы 1С 8.2.

administrator 29.07.2013 13:30

Взято из просторов...


"Как пострадавший от этого вируса и долго с ним возившийся, я сделал следующие выводы: Вирус, приходящий в письме - не шифрует. Он в течении 1-3 дней загружает шифровальщик, который шифрует файлы (они кстати лохи, самое важное уцелело). После шифрования самоуничтожается шифровальщик и возможно загрузчик. Думаю, что шифровальщик в течении определенного промежутка времени не меняется (у всех страдающих грузится один и тот-же). Время смены - возможно несколько дней, может быстрее. После того, как они меняют шифровальщик, касперский и все остальные антивиры бессильны - не узнаешь механизма и ключа шифровки. Правила я так понимаю простые - надо немедленно выключить пк, винт переставить на другую машину и попытаться найти в удаленных файлах (и восстановить) шифровальщик. Имея его - отправить касперским и все ОК. Пары файл шифрованный и нет бесполезны, только для проверки пойдут. Загрузчик сидит тихо, его тоже не заметишь по глюкам или еще по чему. В этом вся и подлость этой фигни - винлоки убираются за 5 минут, а эти приводят к абсолютному капцу информации, работают гады чисто и четко. Через неделю пираты перестают отвечать на письма (меняют ящик и домен ящика) - не заплатил - попал. Когда попадет человек повлиятельнее - их найдут и посадят, а пока - мы в пролете. Еще как вариант, решение - срочно на тестовой изолированной машине запускать файл (загрузчик) из письма, ждать начала шифрования и вытаскивать с диска и отправлять касперскому шифровальщик (он целый будет до конца шифрования, возможно в темпе). Промедление - попадете, как я (версия шифра сменится).

Nik 29.07.2013 13:47

У меня тоже это было. Три дня назад вылечился, но у меня ничего особо ценного на этой машине нет, поэтому пох. Стоял бесплатный антивирь Комодо и ему наплевать было, что у меня в компе несколько червей завелось. В итоге загрузился с флешки, запустил Dr.Web CureIt, после чего поставил Каспера. Кстати, Каспер после Веба тоже вирус нашел.

RORIK 29.07.2013 14:07

Каспер и себя вирусом считает

administrator 29.07.2013 14:08

Каспер тут безсилен.

madcat 29.07.2013 19:04

Format c: и всё в порядке :) , много раз ловил на диске С:, но почем-то никада не ловился на второстепенных дисках,так что если тупо держать на С систему и подручные проги для интерфейса,не жалко и форматнуть :)

Nik 29.07.2013 21:10

На других дисках вирусы тоже в файлы автозапуска часто прописываются.

Fireleo 30.07.2013 08:29

Так вот откуда ноги у этой гадости растут - из локальной сети Пущино и Серпухова :)

Там шифрование файлов банальное по xor, в моём случае ключ был 6F9C67FDF5003563479486203195E9E2

Если надо могу поделиться самописным дешифратором (если сомнения в моей честности, то приложу исходники).

administrator 30.07.2013 08:52

Цитата:

Сообщение от Fireleo (Сообщение 183720)
Так вот откуда ноги у этой гадости растут - из локальной сети Пущино и Серпухова :)

Пущинские разработки настолько суровы... :)

Выложьте свой дешифратор, у меня пара файлов нерасшифрованных осталось.

Diogen 30.07.2013 09:21

Цитата:

Сообщение от administrator (Сообщение 183721)

Выложьте свой дешифратор, у меня пара файлов нерасшифрованных осталось.

Свят, - этот казачок:trolo3: не засланый ли... проверить бы надо... :trolo7:
СБ (служба беспеки)


Часовой пояс GMT +3, время: 07:48.

Работает на vBulletin® версия 3.7.2.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot

Время генерации страницы 0.08349 секунды с 11 запросами