|
№1
12 11 2015, 13:21
не помню, была ли тема, периодически сталкиваюсь с такой хренью, короче, вот:
На почту приходит письмо с вложением. Содержание письма на первый взгляд не вызывает подозрений, тематика и содержание обычные (например, счет во вложении, с уважением, менеджер компании…), грамотно оформлено, присутствует подпись с контактами и прочие атрибуты деловой переписки, адрес отправителя может выглядеть даже как адрес рабочей почты коллеги за соседним столом. Вложение, как правило, содержит архив (может быть запаролен, например, для того, чтобы антивирусные программы не смогли просканировать архив сразу, пароль написан в письме). Архив, как правило, имеет формат .rar или .zip (возможны другие варианты). В архиве находится файл(ы) с «правильным» названием (например, счет №1543 от 10.11.2015), однако расширение файла неверное (например, вместо .doc или .pdf в конце файла может быть .scr, .exe, .bat, .xml, .cmd и так далее). Вложение необязательно может быть в формате архива. Может быть просто прикреплен файл-вирус Поэтому: 1. ВНИМАТЕЛЬНО СМОТРИМ НА СОСТАВ ВЛОЖЕНИЯ И ЕГО РАСШИРЕНИЕ. 2. Если кажется подозрительным адрес, письмо, вложение, ни в коем случае НЕ ОТКРЫВАТЬ, лучше его удалить. 3. Если все же файл был открыт (запущен) необходимо СРАЗУ же выключить компьютер долгим нажатием на кнопку питания (держать пока не выключится). Одним из признаков начавшегося процесса шифрования будет постоянное обращение к жесткому диску (светодиод на корпусе практически постоянно горит/быстро мигает), комп подтупливает, появляются файлы со странным расширением (часто содержит почту злоумышленников в названии) Что произойдет, если открыть: Ваши данные форматов .mp3, .doc, .docx, .pdf, .jpg, .rar и так далее будут зашифрованы. На расшифровку (если она вообще возможна) уйдут сутки, недели или даже месяцы. Так же в письмах может быть указана ссылка для скачивания документа. При переходе по указанной ссылке- так же происходит загрузка и запуск вредоносной программы. Помимо этого, крайне желательно проверять антивирусом все приходящие по почте файлы, но следует помнить, что любой антивирус слегка запаздывает в распознавании новых вирусов, и не может служить полной гарантией безопасности запускаемого Вами файла. а шифровальщик распознать еще сложнее в силу специфики его работы что делать если процесс был запущен, а потом комп выдернули из розетки: вытащить жесткий диск, вставить в другой комп и скопировать все непотерянные данные (внимательно отнестись к процессу, дабы и другой комп не заразить). Зараженный ж. диск внимательно просмотреть на предмет самого вируса (может быть в папках почты, пользовательских папках, автозагрузке, дофига где, короче). если уверены, что все удалили, ну юзать дальше на свой страх и риск. 100% гарантию дает только полная переустановка винды с удалением всех предыдущих данных по своему опыту скажу, что сталкивался с этой гадостью, ни доктор веб, ни каспер не увидели, их поддержка помочь не смогла (им писали, отсылали файлы, они пытались расшифровать) |
№2
12 11 2015, 13:31
уволить админа своей компании, или если есть СБ то ее всю
+ нефиг лазить на сомнительные сайты ... |
№3
12 11 2015, 13:36
SKVD
ну я сисадмин. ну есть СБ. ну нет админских прав у пользователей, ну стоит антивирус нормальный. думаешь это поможет? а вот и нет. дело не в сайтах, а в том, что на корпоративную почту приходит вложение, которое ни один антивирус не запалит и повышенных прав не потребуется для того чтоб зашифровать. это грамотный фишинг от которого спасение - внимательность юзеров |
№4
12 11 2015, 13:54
sstspb : SKVD ну я сисадмин. ну есть СБ. ну нет админских прав у пользователей, ну стоит антивирус нормальный. думаешь это поможет? а вот и нет. дело не в сайтах, а в том, что на корпоративную почту приходит вложение, которое ни один антивирус не запалит и повышенных прав не потребуется для того чтоб зашифровать. это грамотный фишинг от которого спасение - внимательность юзеров На работе была такая шляпа, письмо коллеге с файлом пришло с почты одного из сотрудников(у него рабочий ноут, он этого письма не отправлял) и по локальной сети вирус начал шифровать файлы на шаре, сразу не разобрались ещё на какой машине вирус, потеряли много важных документов, касперы ничего не расшифровали. В оконцове руководитель принял решение заплатить, все были крайне удивлены, когда реально нам прислали программу дешифратор и ключ, всё рабочее. Файлы восстановили, хэппи энд. Но я ни в коем случае не призываю доверять этим вирусоделам и платить, думаю в нашем случае тупо повезло, что не кинули, эти вирусы пишут тысячи гадов и не все такие честные каким оказался наш. Просто делюсь как победили |
№5
12 11 2015, 14:03
Года полтора назад клиенты поймали этот вирус, в татарстане рассылали под видом письма из арбитражного суда по оплате якобы какого-то долга, слали целенаправленно в бухгалтерию. Никакие танцы с бубном не помогли, потеряли все важные документы, также пришел тупой "сисадмин" и удалил все следы вируса, оставив только зашифрованные файлы. Оплачивать дешифратор никто не захотел. Аккуратнее надо быть.
|
№6
12 11 2015, 15:27
Биткоинами обычно потом оплачивают. Ценники примерно 2000-15000р но с ними можно торговаться. С 10 скидывали на 3-5тыс.руб
|
№7
12 11 2015, 16:11
sstspb : по своему опыту скажу, что сталкивался с этой гадостью, ни доктор веб, ни каспер не увидели, их поддержка помочь не смогла (им писали, отсылали файлы, они пытались расшифровать) добавлю, в итоге ГД вынужден был заплатить, вроде 5тыщ. Если шифровальщик новый и время не терпит, то только оплата или ждать пока расшифруют или распространят дешифровщик. |
|
Рекомендуем почитать на тему вирус-шифровальщик
|
№8
12 11 2015, 16:38
На работе такаяже хрень случилась. В итоге отдали 3 т.р. И прислали нам дешифровщик, сработал.
После с этими ребятами переписывался, говорят пока активной защиты нет. Файл исходник + шифрованный+дешифратор сохранил, но толку от него для "будущих поколений" нет. |
№9
12 11 2015, 16:54
зависит от новизны вируса, старые уже научились расшифровывать
|
№10
12 11 2015, 18:16
sstspb : На почту приходит письмо с вложением. Содержание письма на первый взгляд не вызывает подозрений, тематика и содержание обычные (например, счет во вложении, с уважением, менеджер компании…), грамотно оформлено, присутствует подпись с контактами и прочие атрибуты деловой переписки, адрес отправителя может выглядеть даже как адрес рабочей почты коллеги за соседним столом. sstspb : SKVD ну я сисадмин. ну есть СБ. ну нет админских прав у пользователей, ну стоит антивирус нормальный. думаешь это поможет? а вот и нет. дело не в сайтах, а в том, что на корпоративную почту приходит вложение, которое ни один антивирус не запалит и повышенных прав не потребуется для того чтоб зашифровать. это грамотный фишинг от которого спасение - внимательность юзеров ты описал ситуацию которая нормального безопастника должна очень задуматься и тебя как сисадмина в том числе! и жто не вирус, потому в данном случае антивирусы бесполезная штука мы раньше в универе что-то похожее писали и по сетке рассылали ... х было время =))) корочке говоря все новое - забытое старое )) |
№11
12 11 2015, 18:47
SKVD : или если есть СБ то ее всю Не СБ, а ИБ! Не путайте! Мне сегодня родители тоже вскрыли мозг!! Учите родителей правилам безопасной работы в интернете!! |
№12
12 11 2015, 19:31
Mobilniy : SKVD : или если есть СБ то ее всю Не СБ, а ИБ! Не путайте! Мне сегодня родители тоже вскрыли мозг!! Учите родителей правилам безопасной работы в интернете!! Ладно специалиста по ИБ в отделе СБ короче кто закончил ИБ, для него то класика, типо как ярлык на батник с командой "shutdown -s -t 30" в автозагрузке ))) |
|
№13
12 11 2015, 19:42
Без лоха и жизнь плоха... Хотя и по невнимательности можно тыкнуть, но маловероятно.
Антивирус это не найдет, т.к. это не вирус, а шифровальщик, так рассуждать, можно и архиваторы к вирусам отнести. Для шифрования (из тех что мне попадались) используют очень длинный ключ, на расшифровку без него думаю уйдет несколько десятков лет. Так что расшифровать можно только рискнув заплатить (понятное дело, что могут и кинуть). Интересно причём тут сисадмин и СБ, если это может произойти только из-за безграмотности/халатности сотрудника, который запустил шифровальщик? |
№14
12 11 2015, 19:54
да ладно сотрудник запустил, а то что у них всю поднаготную кто-то слил то [censored] никому не надо )
и походу дела через теже запущенные архивы все сливается вот может кому понадобится познавательный сайт в области ИБ http://www.securitylab.ru/ |
№15
12 11 2015, 20:14
для решения данной проблемы возможно поможет RectorDecryptor http://support.kaspersky.ru/viruses/uti ... rdecryptor
если повезет расшифрует файлы |
№16
12 11 2015, 21:01
SKVD
вот приходит тебе архив с паролем, как следствие этот архив по сути сам зашифрован, соответственно никакая прога его не разберет, сидит тетка советских времен за компом с пользовательскими правами и включенным антивирусом. приходит ей, она открывает, вводит пароль, открывает "документ" и все, процесс пошел. что по-твоему тут должен сделать безопасник или сисадмин, ну кроме как провести профилактическую беседу, что периодически делается, но висеть у всех над душой тоже анриал а вероятность помощи от каспера или др. веба небольшая, просто не смогут |
№17
12 11 2015, 21:02
Единственный выход - резервное копирование
Касперыч, кстати, некоторые ловит E46 330XI E21 адская колесница http://www.drive2.ru/users/m50b20/ |
|
Рекомендуем почитать на тему вирус-шифровальщик
|
№18
12 11 2015, 21:11
m50b20 : Единственный выход - резервное копирование Касперыч, кстати, некоторые ловит это периодически делается специально каспером проверил - ноль на массу |
№19
12 11 2015, 21:15
Асинхронрое шифрование, вам поможет только хороший специалист) админ тут не поможет извиняюсь..
Платите эньги, как говорил морковкин |
№20
12 11 2015, 21:31
Как же здорово, когда вокруг столько любопытных долбанов....
|
№21
12 11 2015, 21:55
butch : Асинхронрое шифрование, вам поможет только хороший специалист) админ тут не поможет извиняюсь.. Платите эньги, как говорил морковкин вот и я про то, что не вижу спасения от глупости пользователей. ЗЫ в этот раз тетка не словила вирус, но была близка, хорошо, что успел подойти посмотреть, удалить и отругать |
№22
12 11 2015, 21:59
sstspb : butch : Асинхронрое шифрование, вам поможет только хороший специалист) админ тут не поможет извиняюсь.. Платите эньги, как говорил морковкин вот и я про то, что не вижу спасения от глупости пользователей. ЗЫ в этот раз тетка не словила вирус, но была близка, хорошо, что успел подойти посмотреть, удалить и отругать Такое бывает раз в жЫзни. |
№23
12 11 2015, 22:13
butch : sstspb : butch : Асинхронрое шифрование, вам поможет только хороший специалист) админ тут не поможет извиняюсь.. Платите эньги, как говорил морковкин вот и я про то, что не вижу спасения от глупости пользователей. ЗЫ в этот раз тетка не словила вирус, но была близка, хорошо, что успел подойти посмотреть, удалить и отругать Такое бывает раз в жЫзни. на работе уже не раз ловили |
№24
12 11 2015, 22:24
Кукуево работаете
Доставка была по какому протоколу?что ж, ловите и далее... |
№25
12 11 2015, 23:39
butch
да по какому протоколу? по почте приходит письмо |
Рекомендуем почитать на тему вирус-шифровальщик
|
Кто сейчас на форуме |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 13 |
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения