Вирус, шифрующий файлы. Что делать? #634212

Антивири их не видят. Тема была уже тут. Как от него уберечься? Каспер просто-напросто был выключен, как и кем, непонятно. Несмотря на пароли и юзерский доступ. Где дыра?

Антивири их не видят. Тема была уже тут. Как от него уберечься? Каспер просто-напросто был выключен, как и кем, непонятно. Несмотря на пароли и юзерский доступ. Где дыра?

Будь мужиком! Заплати, блеать! Просмотр порно того стоит

только оплата было такое, заплатили 10 тыров пиратам

что самое печальное , 2 базы убились

у меня бэкапы есть. больше платить не хочу. я спрашиваю, как защититься от этого в будущем? я не админ, кстати

при чем тут порно? я его качаю не ехешниками, ежелифчо. а людям так-то надо работать с разными файлами, в том числе исполняемыми.

штука зеленых + проезд в гондурас

вообще мне хочется узнать, через что он проникает, ломает фаервол, через радмин, тим, рдп или вообще это всякие ТП запускают что ни попадя?

защиты НЕТ, есть меры предосторожности

я уже там ((

уевенько. придется повышать ценники, чтобы еще и мерами предосторожности заниматься

есть простое правило - "что человеком сделано - всегда может быть сломано"

не тебе билет

наш админ после горького опыта закрыл доступ всем запускать экзешники на сервере , мне сделал папку из которой я могу запускать экзешники

Как правило через подбор паролей по RDP на 2008 поставили аудит на вход, за ночь были до пару тысяч попыток подключений. В учетной политике ограничили количество попыток ввода паролей до 5 и потом блокировку на 4 часа, через пару недель интерес к нам потеряли

подбор паролей - он же брутфорс - абсолютно не эффективный взлом можно даже не париться

+ в локалке через пару лет еще можно что то сбрутфорсить а в инете без толстого канала - даже делать нефиг самый эффективный способ - протроянивания лопухов через торенты

100% из "вконтакте" и "одноклассников"

могут и по почте прислать ,в одном филиале директор решил дрова для вебки поставить на сервер

+1 После того как запретили выход на соцсети - ни одного случая блокировщика не было.

+ Помню еще фигня всякая лезла через "защиту" от яндекса и примочку от "вконтакте" VK чего-то там. Mailguard замечен не был, но я его все равно грохаю. Вот от психологического развода лохов "нажми кнопочку" ничего не помогает к сожалению...

а у нас закрыто скачивание любых *.ехе и это правильно. прокси - это голова! © :) только мне, по моему письменному заявлению, разрешено скачивать cureit! с соответствующего сайта :)

+21 да, кстати о... вирусах.. у нас ни на одном из 35 компов в офисе нет авиря. я как-то спросил у злых админов, почто такое игнорирование, мне возответствовали: если проявлять аккуратность во всем, авирь не нужен.

А что мешает скачать *.exe в архиве? Да и много других расширений есть запускаемых.

Гм... вирь может и *.jpg сидеть. Или в *.scr Ага, ага. А еще они презервативами не пользуются - ведь если вовремя вытащить, то залета не будет ;)

а если это надо по работе? а вообще у меня в терминале не работают в браузерах, там нет ни одноклассов и вк, ни прочей лабуды. нашел, что вирь оказался у одного из юзеров, на запущен он был в 7 утра, в это время никто в базе не работает. пароль у него был 4 цифры. кто-то целенаправленно его сбрутить? или вирь ждал "своего" часа?

Защита на будущее? Бэндмауэр, постоянно активный антивир, отрубить нафиг автозапуск со съёмных..... задать тот-же вопрос на форумах др.Веб и Касперский.

там заданы сотни таких вопросов, антивирь у меня постоянно активный и обновленный, вся прочая херь отрублена. однако, каспер был отключен. видимо, ругался, но чел его отключил. надо опять пароли везде ставить ((

+ в инете сидеть на виртуальной машине

нам все это не помогло

так не у тебя? Конечно пароль, щас расскажу как оно было с вероятностью в 50%: чел притаранил ДВД с игрой, при попытке утановить антивир сказал чтоб чел шёл лесом, лесом пошёл антивир а следом и тебя позвали.... лечил такие компы...

, вроде как у гугля нет режимов кроме песочницы... ну и кукописание тоже отрубить нафиг!

двд с игрой?? по терминалке??

в 7 утра???

вероятность 90% - зашли под логином юзера (кто, не знаю) зашли в оперу, скачали ехешник с файлообменника, запустили, каспер ругнулся, его отключили, запустили снова, отключились и все. все файлы целы, кроме 1С, так как у юзера доступ открыт только к ней. поставлю скуль, че еще делать (((

не, локально. У теб точно всё через RDP пролезло?

вопрос, как узнали про список юзеров и их пароли? пароль простой, но юзер - Юрий, сомневаюсь, что это подбором выяснилось.

точно. локально даже я подойти к компу не могу, он в сейфе

за оставленгие парола на бмажке на столе или на стикере на мониторе бить по рукам! Универчаотное наказание - отрубить юзе5ру тырне на неделю - пусть ценит!

и че, ты думаешь, у нас по организациям ходят специально обученные люди и вынюхивают пароли на бумажках?? у меня это второй случай за месяц, тогда пришлось заплатить, совершенно другая структура, но там пароль был - Администратор - 111.

сильный пароль! Теперь думаю что-то типа 123123

ага ))) и поставили его люди, которые у нас в городе считают себя самыми крутыми в городе по безопасности и доступу.

(14-15) выставлять rpd наружу-оторвать ноги тому админу

Вот ты и ответил на свой вопрос "Где дыра?". Дыра по ходу в головах админов :))

там да, но здесь? Админский пароль крепкий, и видно, что дальше юзерского доступа ничего не повреждено. как Юрия "взломали", блин? процесс непонятен. хотя, у меня авторизация стоит такая, что список юзеров виден, может, в этом дело? хорошо хоть бэкапы делал..

а как работать? люди в разных городах. впн сами настроить не могут.

думаю стоить скачать вирус которые расшифровыввает файлы )

спасибо, кэп. только я про другое спрашивал. судя по всему, какой файл зашифровывает, такой же и расшифровывает, запрашивая код. код, судя по всему, пустышка, а шифратор - обычный хор.

Ты бы хот запостил сигнатуру, да что там еще есть про него. На всяк случ. Почитали бы, что за сверь.

Ответ один - БЭКАП.

не подскажешь чем делать, кстати? чтоб на болванки писал и на фтп

Внимание! Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024. Все зашифрованые файлы имеют формат .EBF Восстановить файлы можно только зная уникальный для вашего пк пароль. Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода. Не в коем случае не изменяйте файлы! Напишите нам письмо на адрес decrypting@tormail.org (если в течение суток вам не ответят то на beryukov.mikuil@gmail.com) чтобы узнать как получить дешифратор и пароль. Папка C:Program FilesInternet Explorer не зашифрована, там вы сможете запустить браузер. Среднее время ответа специалиста 1-5 часов. К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt". Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы! ==================================================================== hHW33yopZ5WnXSLbqfrOSiv736udwRrt ==================================================================== тела вируса нет, он сам себя уничтожил, но копию зашифровал, может, смогу расшифровать, он в зипе.

(если в течение суток вам не ответят то на beryukov.mikuil@gmail.com) бгггггг вот тролли ))) либо супер лохи

Не, сам не знаю (нету времени занятся, проги точно есть) - сам раздолбай бакаплю (архиватором) только важную инфу на внешний диск. А надо бы тупо весь рабочий диск и системный тоже.

"Ни один системный администратор в мире не решит эту проблему не зная кода" - Поржал. :))) А вот интересно, если им заплатишь, то действительно всё расшифруют?

если RSA1024, то да. если XOR, что половина точно... в первый раз платили, время было дорого.

больше удивляет то, что кто-то подключился и напакостил. Юра виноват только в том, что у него слабый пароль. сам он вряд ли че бы сделал. в 7 утра у нас даже менты спят

Тут вот эту темку перетирают. Тут вот чувак делится конкретным опытом. Обширно но и проблеммка не из копеечных. Так что читай внимательно.

Тут вот вроде от Майкрософт патч

там вроде ие используется. у меня ие никто не запускал. другие говорят, что рдп пароль сбрутили, с чем и я согласен. видно же как что делали. не понятно, как в систему зашли. Blowfish алгоритм, хер сломаешь

и у меня автоматическое обновление, если что

Т.е. ты читать не стал ...

если бы вы внимательнее посмотрели, то увидели, что он там пишет про Xorist, а у меня Cryptor, который использует Blowfish, и, естественно, я пытался найти те файлы, даже среди удаленных, но, код вируса уже другой и, возможно, он кодирует на ходу. не используя временные файлы, я нашел только делетеры

логины снимаются как здрасти, к вопросу: как они имя вычислили

не говори в чем не соображаешь

как интересно ?

Для борьбы с вредоносными программами семейства Trojan-Ransom.Win32.Xorist, Trojan-Ransom.MSIL.Vandev предназначена утилита XoristDecryptor.

не работает для половины вирусов

кстати, никто не подскажет, как сделать загрузку 1ски вместо шелла? в 2003-м это автоматом настраивалось, а в 7 как? прописал ее пока что как шелл, но она так запускается для всех юзеров (MachineAccount), а конкретно каждому прописать не удается, не могу найти юзерские аккаунты в реестре. они в 7ке разделены теперь по разным файлам? и еще надо завершить сеанс после закрытия 1С, остается черный экран. ща гляжу в сторону аутоита.

откуда вирус поймал ?

На сервере в настройках пользователя-закладка "Среда". Ставиш галочку "При входе в систему запускать следующую программу" и указываете путь к программе. При входе в терминал запускается только 1с без рабочего стола. так пойдет ?

вроде ее обновляют периодически

этого мало, Shift+Ctrl+Esc после этого отрабатывает как и кнопочка Win и др. у нас была самописка в которой при загрузке на экране было меню из списка баз - по какой кликнешь - та и загружается... что-б чего настроить - нужно было в 1 ихз углов кликнуть и ввести пароль - тогда десктоп становился доступен. и только так!!!

+ самаписка на закладке "Среда" была в автозапуке указана

кто платил? мы 10 тыс не платили! вот вы и кормите! Касперский сказал - это не вирус типа - это шифровальщик и его юзеры запускают

скинь вирус плиз, поюзать

касперский забавен - говорит что создает новую операционную систему и заодно пропускает все шифровальщики - типа не вирус

А это не вирус. Он не размножается. А насчет вредности - по каким формальным признакам прикажешь отличать вредный шифровальщик, от скажем трукрипта, которым ты пользуешься?

я про вин7, а не про сервер

по факту вымогательства

так это и не вирус, это вредоносная программа, если чО

я тебе где его возьму?

В семерке в интерфейсе таких настроек разумеется нет. Ибо там РДП немного для другого, нежели для терминала. Хотя настроить думаю можно, ежели реестр поковырять.

с чего ты взял?

во-во, писать буду софтиночку-мониторчик. 1С отлично запускается вместо шелла, даже пуск никак не вернешь )

ну я когда-то типа как тестил.... находил кое какие лазейки с ходу... понтно что 90% юзеров их не найдёт, но ведь есть и другие 10%... потом у нас там под терминалом была не только 7.7 но и датакрипт и ещё чегой-то (уже не помню)... не делать-же ещё учётку в актив директори что-бы юзер мог другое ПО запутить на том-же сервере

вот уже стопиццотый раз читаю здесь про то что нельзя RDP наружу показывать и стопиццотый раз задаюсь вопросом "а чего это вдруг?" ответы типа "ну несекьюрно же" не катят. можно развернутый ответ почему нужно админу ноги отрывать за выставление RDP наружу? есть какие-то критические уязвимости? готовые эксплойты? брутфорс не предлагать.

Рыба как всегда туп

они и в нт4 были разъединены по разным файлам, а так hkcusoftwaremicrosoftwindows ntcurrentversionwinlogonshell

какая рыба? только вот почему-то в серваке все юзеры доступны, а в обычной винде - только текущий. и кстати, по этому адресу у меня ничего нет, создавать свои ключики?

в ветке разве много рыб ?

а пусть они разлогинятся на сервоке, а ты позырь

не вижу ни одной и что я увижу?

аа, вот оно че, я просто использую треугольнички, поэтому рыб не вижу

а ты позырь а ты позырь

вот сервак 2003. ща никто не залогинен. вижу всех. что я делаю не так? вот 7ка. никто не залогинен. вижу только себя.

> Несмотря на пароли и юзерский доступ. Где дыра? > каспер ругнулся, его отключили, > все файлы целы, кроме 1С, так как у юзера доступ открыт только к ней. ты сам себе противоречишь

все ветки пользователей в независимости от системы начиная с нт3.51 в профайлпользователянтусер.дат

точно не залогинены ? или только прерваны сеансы ?