Форум города Пущино: НАШ ФОРУМ
 
Облако тегов:
Навигация форума:
Герб города ПущиноФорум Пущино  

Для полноценной работы с сайтом вам необходимо установить Adobe Flash Player не ниже 10-ой версии.

Вернуться   Форум города Пущино > Hard & Soft > Информационная безопасность
На главную Форумы Регистрация Правила форума Русская баняДневники Поиск Сообщения за день Все разделы прочитаны
Важная информация

Информационная безопасность Антивирусы, Firewall и другие средства защиты от злоумышленников.

Оценка этой теме - Опасный вирус в локалке шифрует файлы.
(14)
Рейтинг темы: голосов - 14, средняя оценка - 4.79.

Ответ
 
Опции темы Опции просмотра
Старый 29.07.2013, 09:35   #1
Тень интеллигенции

.
 
Аватар для administrator
 
Backyard Shootout Champion!Турниров выиграно: 7

Регистрация: 12.01.2008
Сообщений: 23,323
Вы сказали Спасибо: 9,098
Поблагодарили 20,549 раз(а) в 8,672 сообщениях
Изображений: 14014
Записей в дневнике: 3
administrator за этого человека можно гордится; 66%administrator за этого человека можно гордится, 66%administrator за этого человека можно гордится, 66%
Очки: 995,945, Уровень: 100 Очки: 995,945, Уровень: 100 Очки: 995,945, Уровень: 100
Опыт: 0% Опыт: 0% Опыт: 0%
Активность: 40% Активность: 40% Активность: 40%
Печаль Опасный вирус в локалке шифрует файлы

Предупреждаю всех! Сейчас гуляет опасный вирус в локальной сети Пущино и Серпухова, который имеет свою лазейку через RDP.
Шифруются все файлы на сервере и рядом кладется вот такой вот текстовый документ со следующим текстом:


Код HTML:
Доброго времени суток!
Доносим до Вас не самую приятную новость, ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере были зашифрованы с помощью самых криптостойких алгоритмов.
Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
Подобрать его невозможно. Переустановка ОС ничего не изменит. 
Ни один системный администратор в мире не решит эту проблему не зная пароля. 
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес decr03@mail.ru для получения дальнейших инструкций.
Среднее время ответа специалиста 1-5 часов.
Письма с угрозами ни к чему хорошему вас не приведут.
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
Следите за своей безопасностью, ограничивайте права пользователям, ставьте сложные пароли и заход только с одного-пары ip, а лучше и вовсе ограничьте доступ по rdp.
__________________
administrator вне форума   Ответить с цитированием
Старый 29.07.2013, 10:03   #2
Тень интеллигенции

.
 
Аватар для administrator
 
Backyard Shootout Champion!Турниров выиграно: 7

Регистрация: 12.01.2008
Сообщений: 23,323
Вы сказали Спасибо: 9,098
Поблагодарили 20,549 раз(а) в 8,672 сообщениях
Изображений: 14014
Записей в дневнике: 3
administrator за этого человека можно гордится; 66%administrator за этого человека можно гордится, 66%administrator за этого человека можно гордится, 66%
Очки: 995,945, Уровень: 100 Очки: 995,945, Уровень: 100 Очки: 995,945, Уровень: 100
Опыт: 0% Опыт: 0% Опыт: 0%
Активность: 40% Активность: 40% Активность: 40%
По умолчанию

Писать этим пидорам не пытайтесь даже:

Delivery to the following recipient failed permanently:

decr03@mail.ru

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for the recipient domain mail.ru by mxs.mail.ru. [94.100.176.20].

The error that the other server returned was:
550 Message was not accepted -- invalid mailbox. Local mailbox decr03@mail.ru is unavailable: account is disabled
__________________
administrator вне форума   Ответить с цитированием
Старый 29.07.2013, 10:03   #3
Тень интеллигенции

.
 
Аватар для administrator
 
Backyard Shootout Champion!Турниров выиграно: 7

Регистрация: 12.01.2008
Сообщений: 23,323
Вы сказали Спасибо: 9,098
Поблагодарили 20,549 раз(а) в 8,672 сообщениях
Изображений: 14014
Записей в дневнике: 3
administrator за этого человека можно гордится; 66%administrator за этого человека можно гордится, 66%administrator за этого человека можно гордится, 66%
Очки: 995,945, Уровень: 100 Очки: 995,945, Уровень: 100 Очки: 995,945, Уровень: 100
Опыт: 0% Опыт: 0% Опыт: 0%
Активность: 40% Активность: 40% Активность: 40%
По умолчанию

Кто как вылечился- отписываемся здесь.
__________________
administrator вне форума   Ответить с цитированием
Старый 29.07.2013, 10:28   #4
Падонаг
лейтенант
 
Аватар для Sardonix
 

Регистрация: 23.01.2008
Сообщений: 287
Вы сказали Спасибо: 91
Поблагодарили 178 раз(а) в 84 сообщениях
Sardonix пока неопределено; 1%Sardonix пока неопределено, 1%Sardonix пока неопределено, 1%
Очки: 10,360, Уровень: 67 Очки: 10,360, Уровень: 67 Очки: 10,360, Уровень: 67
Опыт: 78% Опыт: 78% Опыт: 78%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Симптомы нужны. Да и КАК он попал(заразил)? Какие были действия в системе?
СВЯТ,так не разберёшься... Попробуй прогнать прогу Malwarebytes Anti-Malware в безопасном режиме.
__________________
Меня сдуло....
Sardonix вне форума   Ответить с цитированием
Старый 29.07.2013, 12:35   #6
Тень интеллигенции

.
 
Аватар для administrator
 
Backyard Shootout Champion!Турниров выиграно: 7

Регистрация: 12.01.2008
Сообщений: 23,323
Вы сказали Спасибо: 9,098
Поблагодарили 20,549 раз(а) в 8,672 сообщениях
Изображений: 14014
Записей в дневнике: 3
administrator за этого человека можно гордится; 66%administrator за этого человека можно гордится, 66%administrator за этого человека можно гордится, 66%
Очки: 995,945, Уровень: 100 Очки: 995,945, Уровень: 100 Очки: 995,945, Уровень: 100
Опыт: 0% Опыт: 0% Опыт: 0%
Активность: 40% Активность: 40% Активность: 40%
По умолчанию

Частичное решение найдено- есть дешифратор,восстановил базы 1С 8.2.
__________________
administrator вне форума   Ответить с цитированием
Старый 29.07.2013, 13:30   #7
Тень интеллигенции

.
 
Аватар для administrator
 
Backyard Shootout Champion!Турниров выиграно: 7

Регистрация: 12.01.2008
Сообщений: 23,323
Вы сказали Спасибо: 9,098
Поблагодарили 20,549 раз(а) в 8,672 сообщениях
Изображений: 14014
Записей в дневнике: 3
administrator за этого человека можно гордится; 66%administrator за этого человека можно гордится, 66%administrator за этого человека можно гордится, 66%
Очки: 995,945, Уровень: 100 Очки: 995,945, Уровень: 100 Очки: 995,945, Уровень: 100
Опыт: 0% Опыт: 0% Опыт: 0%
Активность: 40% Активность: 40% Активность: 40%
По умолчанию

Взято из просторов...


"Как пострадавший от этого вируса и долго с ним возившийся, я сделал следующие выводы: Вирус, приходящий в письме - не шифрует. Он в течении 1-3 дней загружает шифровальщик, который шифрует файлы (они кстати лохи, самое важное уцелело). После шифрования самоуничтожается шифровальщик и возможно загрузчик. Думаю, что шифровальщик в течении определенного промежутка времени не меняется (у всех страдающих грузится один и тот-же). Время смены - возможно несколько дней, может быстрее. После того, как они меняют шифровальщик, касперский и все остальные антивиры бессильны - не узнаешь механизма и ключа шифровки. Правила я так понимаю простые - надо немедленно выключить пк, винт переставить на другую машину и попытаться найти в удаленных файлах (и восстановить) шифровальщик. Имея его - отправить касперским и все ОК. Пары файл шифрованный и нет бесполезны, только для проверки пойдут. Загрузчик сидит тихо, его тоже не заметишь по глюкам или еще по чему. В этом вся и подлость этой фигни - винлоки убираются за 5 минут, а эти приводят к абсолютному капцу информации, работают гады чисто и четко. Через неделю пираты перестают отвечать на письма (меняют ящик и домен ящика) - не заплатил - попал. Когда попадет человек повлиятельнее - их найдут и посадят, а пока - мы в пролете. Еще как вариант, решение - срочно на тестовой изолированной машине запускать файл (загрузчик) из письма, ждать начала шифрования и вытаскивать с диска и отправлять касперскому шифровальщик (он целый будет до конца шифрования, возможно в темпе). Промедление - попадете, как я (версия шифра сменится).
__________________
administrator вне форума   Ответить с цитированием
Старый 29.07.2013, 13:47   #8
Генерал
 
Аватар для Nik
 

Регистрация: 17.01.2008
Сообщений: 2,183
Вы сказали Спасибо: 786
Поблагодарили 2,293 раз(а) в 1,019 сообщениях
Изображений: 331
Nik - весьма и весьма положительная личность; 46%Nik - весьма и весьма положительная личность, 46%Nik - весьма и весьма положительная личность, 46%
Очки: 53,788, Уровень: 100 Очки: 53,788, Уровень: 100 Очки: 53,788, Уровень: 100
Опыт: 0% Опыт: 0% Опыт: 0%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

У меня тоже это было. Три дня назад вылечился, но у меня ничего особо ценного на этой машине нет, поэтому пох. Стоял бесплатный антивирь Комодо и ему наплевать было, что у меня в компе несколько червей завелось. В итоге загрузился с флешки, запустил Dr.Web CureIt, после чего поставил Каспера. Кстати, Каспер после Веба тоже вирус нашел.
__________________
МУЖЧИНА - ИСТОЧНИК ВСЕХ БЛАГ! (С)
Nik вне форума   Ответить с цитированием
Старый 29.07.2013, 14:07   #9
Администратор Галереи
Полковник
 
Аватар для RORIK
 

Регистрация: 17.01.2008
Адрес: Серпухов
Сообщений: 1,820
Вы сказали Спасибо: 899
Поблагодарили 1,388 раз(а) в 659 сообщениях
Изображений: 786
Записей в дневнике: 1
RORIK - весьма и весьма положительная личность; 30%RORIK - весьма и весьма положительная личность, 30%RORIK - весьма и весьма положительная личность, 30%
Очки: 56,683, Уровень: 100 Очки: 56,683, Уровень: 100 Очки: 56,683, Уровень: 100
Опыт: 0% Опыт: 0% Опыт: 0%
Активность: 0% Активность: 0% Активность: 0%
Отправить сообщение для RORIK с помощью ICQ Отправить сообщение для RORIK с помощью Skype™
По умолчанию

Каспер и себя вирусом считает
__________________
RORIK вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо RORIK за это полезное сообщение:
Max (29.07.2013)
Старый 29.07.2013, 14:08   #10
Тень интеллигенции

.
 
Аватар для administrator
 
Backyard Shootout Champion!Турниров выиграно: 7

Регистрация: 12.01.2008
Сообщений: 23,323
Вы сказали Спасибо: 9,098
Поблагодарили 20,549 раз(а) в 8,672 сообщениях
Изображений: 14014
Записей в дневнике: 3
administrator за этого человека можно гордится; 66%administrator за этого человека можно гордится, 66%administrator за этого человека можно гордится, 66%
Очки: 995,945, Уровень: 100 Очки: 995,945, Уровень: 100 Очки: 995,945, Уровень: 100
Опыт: 0% Опыт: 0% Опыт: 0%
Активность: 40% Активность: 40% Активность: 40%
По умолчанию

Каспер тут безсилен.
__________________
administrator вне форума   Ответить с цитированием
Старый 29.07.2013, 19:04   #11
Полковник
 
Аватар для madcat
 

Регистрация: 17.01.2008
Сообщений: 1,798
Вы сказали Спасибо: 1,852
Поблагодарили 570 раз(а) в 364 сообщениях
Изображений: 1
madcat на пути к лучшему; 7%madcat на пути к лучшему, 7%madcat на пути к лучшему, 7%
Очки: 56,821, Уровень: 100 Очки: 56,821, Уровень: 100 Очки: 56,821, Уровень: 100
Опыт: 0% Опыт: 0% Опыт: 0%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Format c: и всё в порядке , много раз ловил на диске С:, но почем-то никада не ловился на второстепенных дисках,так что если тупо держать на С систему и подручные проги для интерфейса,не жалко и форматнуть
madcat вне форума   Ответить с цитированием
Старый 29.07.2013, 21:10   #12
Генерал
 
Аватар для Nik
 

Регистрация: 17.01.2008
Сообщений: 2,183
Вы сказали Спасибо: 786
Поблагодарили 2,293 раз(а) в 1,019 сообщениях
Изображений: 331
Nik - весьма и весьма положительная личность; 46%Nik - весьма и весьма положительная личность, 46%Nik - весьма и весьма положительная личность, 46%
Очки: 53,788, Уровень: 100 Очки: 53,788, Уровень: 100 Очки: 53,788, Уровень: 100
Опыт: 0% Опыт: 0% Опыт: 0%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

На других дисках вирусы тоже в файлы автозапуска часто прописываются.
__________________
МУЖЧИНА - ИСТОЧНИК ВСЕХ БЛАГ! (С)
Nik вне форума   Ответить с цитированием
Старый 30.07.2013, 08:29   #13
Форумчанин
Курсант
 

Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
Fireleo пока неопределено; 0%Fireleo пока неопределено, 0%Fireleo пока неопределено, 0%
Очки: 324, Уровень: 6 Очки: 324, Уровень: 6 Очки: 324, Уровень: 6
Опыт: 48% Опыт: 48% Опыт: 48%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Так вот откуда ноги у этой гадости растут - из локальной сети Пущино и Серпухова

Там шифрование файлов банальное по xor, в моём случае ключ был 6F9C67FDF5003563479486203195E9E2

Если надо могу поделиться самописным дешифратором (если сомнения в моей честности, то приложу исходники).
Fireleo вне форума   Ответить с цитированием
Старый 30.07.2013, 08:52   #14
Тень интеллигенции

.
 
Аватар для administrator
 
Backyard Shootout Champion!Турниров выиграно: 7

Регистрация: 12.01.2008
Сообщений: 23,323
Вы сказали Спасибо: 9,098
Поблагодарили 20,549 раз(а) в 8,672 сообщениях
Изображений: 14014
Записей в дневнике: 3
administrator за этого человека можно гордится; 66%administrator за этого человека можно гордится, 66%administrator за этого человека можно гордится, 66%
Очки: 995,945, Уровень: 100 Очки: 995,945, Уровень: 100 Очки: 995,945, Уровень: 100
Опыт: 0% Опыт: 0% Опыт: 0%
Активность: 40% Активность: 40% Активность: 40%
По умолчанию

Цитата:
Сообщение от Fireleo
Так вот откуда ноги у этой гадости растут - из локальной сети Пущино и Серпухова

Пущинские разработки настолько суровы...

Выложьте свой дешифратор, у меня пара файлов нерасшифрованных осталось.
__________________
administrator вне форума   Ответить с цитированием
Старый 30.07.2013, 09:21   #15
.
 
Аватар для Diogen
 

Регистрация: 17.01.2008
Адрес: В диком, диком лесу... в Пущино
Сообщений: 10,759
Вы сказали Спасибо: 3,366
Поблагодарили 4,887 раз(а) в 2,806 сообщениях
Изображений: 53
Diogen - очень-очень хороший человек; 71%Diogen - очень-очень хороший человек, 71%Diogen - очень-очень хороший человек, 71%
Очки: 149,565, Уровень: 100 Очки: 149,565, Уровень: 100 Очки: 149,565, Уровень: 100
Опыт: 0% Опыт: 0% Опыт: 0%
Активность: 99% Активность: 99% Активность: 99%
По умолчанию

Цитата:
Сообщение от administrator

Выложьте свой дешифратор, у меня пара файлов нерасшифрованных осталось.

Свят, - этот казачок не засланый ли... проверить бы надо...
СБ (служба беспеки)
__________________
Так-то я — пенсионер, а работаю — для души... Чтобы было на что эту душу в теле удержать.
Diogen вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо Diogen за это полезное сообщение:
administrator (30.07.2013)
Ответ

Метки
.barbitariat, .vault, decr03@mail.ru, rdp, sos на мыло, te94decrypt.exe, trojan.encoder.94, vault, zubagugu@aol.com, бабосы, взлом, вирус, восстановить, дешифратор, доброго время суток, заблокированы, кокосы, новость, пароль, повреждены, салют буржуа, файловоз, файлы, шифр, шифрователь


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Часовой пояс GMT +3, время: 10:40.

Форум города Пущино: Наш Форум

Форум о жителях города Пущино пущинцах Московской области.

Внимание!Администрация сайта не несет ответственности за сообщения и материалы, оставленные посетителями форума.

Вся информация предоставлена в ознакомительных целях.

Внимание! Все файлы на сервере проверены Антивирусом Касперского.




Все права защищены © 2023 Форум города Пущино

Яндекс цитирования Яндекс.Метрика


Время генерации страницы 0.25554 секунды с 17 запросами