Форум города Пущино: НАШ ФОРУМ |
Облако тегов: |
Навигация форума: |
|
Для полноценной работы с сайтом вам необходимо установить Adobe Flash Player не ниже 10-ой версии. |
|
На главную | Форумы | Регистрация | Правила форума | Русская баня | Дневники | Сообщения за день | Поиск |
Важная информация |
Информационная безопасность Антивирусы, Firewall и другие средства защиты от злоумышленников. |
|
|
Опции темы | Опции просмотра |
29.07.2013, 08:35 | #1 | ||||||||||||
Тень интеллигенции
. Backyard Shootout Champion!Турниров выиграно: 7 Регистрация: 12.01.2008
Сообщений: 23,391
Вы сказали Спасибо: 9,143
Поблагодарили 20,571 раз(а) в 8,688 сообщениях
Изображений: 14044 Записей в дневнике: 3
|
Опасный вирус в локалке шифрует файлы
Предупреждаю всех! Сейчас гуляет опасный вирус в локальной сети Пущино и Серпухова, который имеет свою лазейку через RDP.
Шифруются все файлы на сервере и рядом кладется вот такой вот текстовый документ со следующим текстом: Код HTML:
Доброго времени суток! Доносим до Вас не самую приятную новость, ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере были зашифрованы с помощью самых криптостойких алгоритмов. Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы. Подобрать его невозможно. Переустановка ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная пароля. Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии. Напишите нам письмо на адрес decr03@mail.ru для получения дальнейших инструкций. Среднее время ответа специалиста 1-5 часов. Письма с угрозами ни к чему хорошему вас не приведут. НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
__________________
Как ставить хайд:
Скрытый текст:
Правила оформления релизов!!! | Как стать Power User? | Как залить файлы на Downloadcenter/Megaupload? Как стать модератором на нашем форуме Предложения по улучшению форума | VIP раздел - - - Автошкола города Пущино и Серпухова: www.karvetauto.ru |
||||||||||||
29.07.2013, 09:03 | #2 | ||||||||||||
Тень интеллигенции
. Backyard Shootout Champion!Турниров выиграно: 7 Регистрация: 12.01.2008
Сообщений: 23,391
Вы сказали Спасибо: 9,143
Поблагодарили 20,571 раз(а) в 8,688 сообщениях
Изображений: 14044 Записей в дневнике: 3
|
Писать этим пидорам не пытайтесь даже:
Delivery to the following recipient failed permanently: decr03@mail.ru Technical details of permanent failure: Google tried to deliver your message, but it was rejected by the server for the recipient domain mail.ru by mxs.mail.ru. [94.100.176.20]. The error that the other server returned was: 550 Message was not accepted -- invalid mailbox. Local mailbox decr03@mail.ru is unavailable: account is disabled
__________________
Как ставить хайд:
Скрытый текст:
Правила оформления релизов!!! | Как стать Power User? | Как залить файлы на Downloadcenter/Megaupload? Как стать модератором на нашем форуме Предложения по улучшению форума | VIP раздел - - - Автошкола города Пущино и Серпухова: www.karvetauto.ru |
||||||||||||
29.07.2013, 09:03 | #3 | ||||||||||||
Тень интеллигенции
. Backyard Shootout Champion!Турниров выиграно: 7 Регистрация: 12.01.2008
Сообщений: 23,391
Вы сказали Спасибо: 9,143
Поблагодарили 20,571 раз(а) в 8,688 сообщениях
Изображений: 14044 Записей в дневнике: 3
|
Кто как вылечился- отписываемся здесь.
__________________
Как ставить хайд:
Скрытый текст:
Правила оформления релизов!!! | Как стать Power User? | Как залить файлы на Downloadcenter/Megaupload? Как стать модератором на нашем форуме Предложения по улучшению форума | VIP раздел - - - Автошкола города Пущино и Серпухова: www.karvetauto.ru |
||||||||||||
29.07.2013, 09:28 | #4 | ||||||||||||
Падонаг
лейтенант
Регистрация: 23.01.2008
Сообщений: 287
Вы сказали Спасибо: 91
Поблагодарили 178 раз(а) в 84 сообщениях
|
Симптомы нужны. Да и КАК он попал(заразил)? Какие были действия в системе?
СВЯТ,так не разберёшься... Попробуй прогнать прогу Malwarebytes Anti-Malware в безопасном режиме.
__________________
Меня сдуло.... |
||||||||||||
29.07.2013, 11:35 | #6 | ||||||||||||
Тень интеллигенции
. Backyard Shootout Champion!Турниров выиграно: 7 Регистрация: 12.01.2008
Сообщений: 23,391
Вы сказали Спасибо: 9,143
Поблагодарили 20,571 раз(а) в 8,688 сообщениях
Изображений: 14044 Записей в дневнике: 3
|
Частичное решение найдено- есть дешифратор,восстановил базы 1С 8.2.
__________________
Как ставить хайд:
Скрытый текст:
Правила оформления релизов!!! | Как стать Power User? | Как залить файлы на Downloadcenter/Megaupload? Как стать модератором на нашем форуме Предложения по улучшению форума | VIP раздел - - - Автошкола города Пущино и Серпухова: www.karvetauto.ru |
||||||||||||
29.07.2013, 12:30 | #7 | ||||||||||||
Тень интеллигенции
. Backyard Shootout Champion!Турниров выиграно: 7 Регистрация: 12.01.2008
Сообщений: 23,391
Вы сказали Спасибо: 9,143
Поблагодарили 20,571 раз(а) в 8,688 сообщениях
Изображений: 14044 Записей в дневнике: 3
|
Взято из просторов...
"Как пострадавший от этого вируса и долго с ним возившийся, я сделал следующие выводы: Вирус, приходящий в письме - не шифрует. Он в течении 1-3 дней загружает шифровальщик, который шифрует файлы (они кстати лохи, самое важное уцелело). После шифрования самоуничтожается шифровальщик и возможно загрузчик. Думаю, что шифровальщик в течении определенного промежутка времени не меняется (у всех страдающих грузится один и тот-же). Время смены - возможно несколько дней, может быстрее. После того, как они меняют шифровальщик, касперский и все остальные антивиры бессильны - не узнаешь механизма и ключа шифровки. Правила я так понимаю простые - надо немедленно выключить пк, винт переставить на другую машину и попытаться найти в удаленных файлах (и восстановить) шифровальщик. Имея его - отправить касперским и все ОК. Пары файл шифрованный и нет бесполезны, только для проверки пойдут. Загрузчик сидит тихо, его тоже не заметишь по глюкам или еще по чему. В этом вся и подлость этой фигни - винлоки убираются за 5 минут, а эти приводят к абсолютному капцу информации, работают гады чисто и четко. Через неделю пираты перестают отвечать на письма (меняют ящик и домен ящика) - не заплатил - попал. Когда попадет человек повлиятельнее - их найдут и посадят, а пока - мы в пролете. Еще как вариант, решение - срочно на тестовой изолированной машине запускать файл (загрузчик) из письма, ждать начала шифрования и вытаскивать с диска и отправлять касперскому шифровальщик (он целый будет до конца шифрования, возможно в темпе). Промедление - попадете, как я (версия шифра сменится).
__________________
Как ставить хайд:
Скрытый текст:
Правила оформления релизов!!! | Как стать Power User? | Как залить файлы на Downloadcenter/Megaupload? Как стать модератором на нашем форуме Предложения по улучшению форума | VIP раздел - - - Автошкола города Пущино и Серпухова: www.karvetauto.ru |
||||||||||||
29.07.2013, 12:47 | #8 | ||||||||||||
Генерал
Регистрация: 17.01.2008
Сообщений: 2,183
Вы сказали Спасибо: 786
Поблагодарили 2,293 раз(а) в 1,019 сообщениях
Изображений: 331
|
У меня тоже это было. Три дня назад вылечился, но у меня ничего особо ценного на этой машине нет, поэтому пох. Стоял бесплатный антивирь Комодо и ему наплевать было, что у меня в компе несколько червей завелось. В итоге загрузился с флешки, запустил Dr.Web CureIt, после чего поставил Каспера. Кстати, Каспер после Веба тоже вирус нашел.
__________________
МУЖЧИНА - ИСТОЧНИК ВСЕХ БЛАГ! (С) |
||||||||||||
29.07.2013, 13:08 | #10 | ||||||||||||
Тень интеллигенции
. Backyard Shootout Champion!Турниров выиграно: 7 Регистрация: 12.01.2008
Сообщений: 23,391
Вы сказали Спасибо: 9,143
Поблагодарили 20,571 раз(а) в 8,688 сообщениях
Изображений: 14044 Записей в дневнике: 3
|
Каспер тут безсилен.
__________________
Как ставить хайд:
Скрытый текст:
Правила оформления релизов!!! | Как стать Power User? | Как залить файлы на Downloadcenter/Megaupload? Как стать модератором на нашем форуме Предложения по улучшению форума | VIP раздел - - - Автошкола города Пущино и Серпухова: www.karvetauto.ru |
||||||||||||
29.07.2013, 18:04 | #11 | ||||||||||||
Полковник
Регистрация: 17.01.2008
Сообщений: 1,803
Вы сказали Спасибо: 1,854
Поблагодарили 571 раз(а) в 365 сообщениях
Изображений: 1
|
Format c: и всё в порядке , много раз ловил на диске С:, но почем-то никада не ловился на второстепенных дисках,так что если тупо держать на С систему и подручные проги для интерфейса,не жалко и форматнуть
|
||||||||||||
30.07.2013, 07:29 | #13 | ||||||||||||
Форумчанин
Курсант
Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
|
Так вот откуда ноги у этой гадости растут - из локальной сети Пущино и Серпухова
Там шифрование файлов банальное по xor, в моём случае ключ был 6F9C67FDF5003563479486203195E9E2 Если надо могу поделиться самописным дешифратором (если сомнения в моей честности, то приложу исходники). |
||||||||||||
30.07.2013, 07:52 | #14 | |||||||||||||||||||||||||||||||||||
Тень интеллигенции
. Backyard Shootout Champion!Турниров выиграно: 7 Регистрация: 12.01.2008
Сообщений: 23,391
Вы сказали Спасибо: 9,143
Поблагодарили 20,571 раз(а) в 8,688 сообщениях
Изображений: 14044 Записей в дневнике: 3
|
Пущинские разработки настолько суровы... Выложьте свой дешифратор, у меня пара файлов нерасшифрованных осталось.
__________________
Как ставить хайд:
Скрытый текст:
Правила оформления релизов!!! | Как стать Power User? | Как залить файлы на Downloadcenter/Megaupload? Как стать модератором на нашем форуме Предложения по улучшению форума | VIP раздел - - - Автошкола города Пущино и Серпухова: www.karvetauto.ru |
|||||||||||||||||||||||||||||||||||
30.07.2013, 08:21 | #15 | |||||||||||||||||||||||||||||||||||
.
Регистрация: 17.01.2008
Адрес: В диком, диком лесу... в Пущино
Сообщений: 10,772
Вы сказали Спасибо: 3,366
Поблагодарили 4,890 раз(а) в 2,809 сообщениях
Изображений: 53
|
Свят, - этот казачок не засланый ли... проверить бы надо... СБ (служба беспеки)
__________________
Так-то я — пенсионер, а работаю — для души... Чтобы было на что эту душу в теле удержать. |
|||||||||||||||||||||||||||||||||||
Этот пользователь сказал Спасибо Diogen за это полезное сообщение: | administrator (30.07.2013) |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|