Логин:   Пароль:   
   
 
X   Сообщение сайта
(Сообщение закроется через 2 секунды)
 
> Вирусы-шифровальщики, старая засада на новый лад
Кашалот
сообщение 3.6.2015, 22:19
Сообщение #1


Форуман
Иконка группы

Группа: Модераторы
Сообщений: 32070
Регистрация: 1.2.2008
Из: Сокольники
Пользователь №: 37639
Спасибо сказали: 1990 раз(а)



Коллега со старой работой обратился вот с такой бедой:
https://yandex.ru/search/?lr=213&text=x...%B0%D1%82%D1%8C
Я пока объявил бессилие - а что делать, все-все файлы изменить это не строчку в реестре поправить sad.gif
Ну и навскидку общедоступного легкого решения вроде пока нет sad.gif
Будьте внимательнее.
 
+Цитировать сообщение
AleksZ
сообщение 30.6.2015, 11:54
Сообщение #2


Форуман


Группа: Пользователи
Сообщений: 4605
Регистрация: 20.12.2007
Из: Лефортово
Пользователь №: 33347
Спасибо сказали: 266 раз(а)



что то активировались эти "шиифровальщики" уже два компа за 5 дней.
VAULT и *.xtbl.

и что делать? никто не знает способ "расшифровать"?
 
+Цитировать сообщение
_1_3_
сообщение 30.6.2015, 11:56
Сообщение #3


Форуман


Группа: Пользователи
Сообщений: 8323
Регистрация: 7.1.2012
Пользователь №: 212339
Спасибо сказали: 775 раз(а)



А способа нет. У товарища все вордовские и экселевские файлы зашифровались подобным зловредом. Хрен чего сделаешь без шифровальщика.


--------------------
Ведь при всей вашей религиозности, вы куда более враждебно относитесь ко мне, чем я, отпетый безбожник, к вам. ©
I survived because the fire inside me burned brighter than the fire around me.©
Опасайтесь людей верующих, ибо у них есть боги, которые им всё прощают.©
В защиту алкоголя могу сказать, то я творил херню и трезвым © Чарли Шин
 
+Цитировать сообщение
AleksZ
сообщение 30.6.2015, 12:22
Сообщение #4


Форуман


Группа: Пользователи
Сообщений: 4605
Регистрация: 20.12.2007
Из: Лефортово
Пользователь №: 33347
Спасибо сказали: 266 раз(а)



меня волнует вопрос: ЧТО ОНИ НАЖИМАЛИ?! откуда они это взяли?!
 
+Цитировать сообщение
Аero
сообщение 30.6.2015, 12:29
Сообщение #5


Форуман
Иконка группы

Группа: Супермодераторы
Сообщений: 7273
Регистрация: 22.5.2011
Из: Москва
Пользователь №: 191220
Спасибо сказали: 756 раз(а)



Цитата(AleksZ @ 30.6.2015, 12:22) *
меня волнует вопрос: ЧТО ОНИ НАЖИМАЛИ?! откуда они это взяли?!

На работе приходил спам на почту от отправителя со знакомым для них именем (ну или просто именем), а бухгалтерши и их коллеги, открыли эти письма smile.gif


--------------------
Всё будет как надо, даже если будет иначе.

 
+Цитировать сообщение
_1_3_
сообщение 30.6.2015, 12:44
Сообщение #6


Форуман


Группа: Пользователи
Сообщений: 8323
Регистрация: 7.1.2012
Пользователь №: 212339
Спасибо сказали: 775 раз(а)



Мой знакомый архив качнул из почты, название письма было что-то из разряда "информация по долгам от "ООО...", правда адрес был с gmail.com, но это его не остановило.


--------------------
Ведь при всей вашей религиозности, вы куда более враждебно относитесь ко мне, чем я, отпетый безбожник, к вам. ©
I survived because the fire inside me burned brighter than the fire around me.©
Опасайтесь людей верующих, ибо у них есть боги, которые им всё прощают.©
В защиту алкоголя могу сказать, то я творил херню и трезвым © Чарли Шин
 
+Цитировать сообщение
AleksZ
сообщение 30.6.2015, 15:03
Сообщение #7


Форуман


Группа: Пользователи
Сообщений: 4605
Регистрация: 20.12.2007
Из: Лефортово
Пользователь №: 33347
Спасибо сказали: 266 раз(а)



просканировал 2 компа, сам вирус так и не нашел. как же он запускается?

сейчас коллегам пришел на почту странный "счет".zip очень похож на вирус....

Сообщение отредактировал AleksZ - 30.6.2015, 15:35
 
+Цитировать сообщение
Аero
сообщение 30.6.2015, 16:21
Сообщение #8


Форуман
Иконка группы

Группа: Супермодераторы
Сообщений: 7273
Регистрация: 22.5.2011
Из: Москва
Пользователь №: 191220
Спасибо сказали: 756 раз(а)



Цитата(AleksZ @ 30.6.2015, 15:03) *
сейчас коллегам пришел на почту странный "счет".zip очень похож на вирус....

От кого? Напиши почту, внесу себе в черные списки, для профилактики.


--------------------
Всё будет как надо, даже если будет иначе.

 
+Цитировать сообщение
AleksZ
сообщение 30.6.2015, 16:41
Сообщение #9


Форуман


Группа: Пользователи
Сообщений: 4605
Регистрация: 20.12.2007
Из: Лефортово
Пользователь №: 33347
Спасибо сказали: 266 раз(а)



econom.north@admin.orenburg.ru
 
+Цитировать сообщение
Аero
сообщение 30.6.2015, 16:44
Сообщение #10


Форуман
Иконка группы

Группа: Супермодераторы
Сообщений: 7273
Регистрация: 22.5.2011
Из: Москва
Пользователь №: 191220
Спасибо сказали: 756 раз(а)



Цитата(AleksZ @ 30.6.2015, 16:41) *
econom.north@admin.orenburg.ru

Нормальная почта ): http://domw.net/result:network-email:econo...min.orenburg.ru
Ожидалось что-то подобное: http://admin35.ru/viruskoder/


--------------------
Всё будет как надо, даже если будет иначе.

 
+Цитировать сообщение
AleksZ
сообщение 30.6.2015, 16:47
Сообщение #11


Форуман


Группа: Пользователи
Сообщений: 4605
Регистрация: 20.12.2007
Из: Лефортово
Пользователь №: 33347
Спасибо сказали: 266 раз(а)



в почте файл, в архиве счет.scr.
 
+Цитировать сообщение
Аero
сообщение 30.6.2015, 17:00
Сообщение #12


Форуман
Иконка группы

Группа: Супермодераторы
Сообщений: 7273
Регистрация: 22.5.2011
Из: Москва
Пользователь №: 191220
Спасибо сказали: 756 раз(а)



Вот так выглядит не нормальная: http://domw.net/result:network-email:paycrypt%40gmail.com
С которой идет спам с такими зипами.

Цитата(AleksZ @ 30.6.2015, 16:47) *
в почте файл, в архиве счет.scr.

Грохните его, от греха по дальше...

Цитата(AleksZ @ 30.6.2015, 11:54) *
и что делать? никто не знает способ "расшифровать"?

На сайте касперского есть утилиты, но на сколько это действенно..? Я не экспериментировал. -)
http://support.kaspersky.ru/viruses/disinfection/8547

Да, кстати, почта-то нормальная, а "счет.scr" явно исполняющий файл и, кажется, ничего хорошего он не исполнит.


--------------------
Всё будет как надо, даже если будет иначе.

 
+Цитировать сообщение
AleksZ
сообщение 30.6.2015, 17:00
Сообщение #13


Форуман


Группа: Пользователи
Сообщений: 4605
Регистрация: 20.12.2007
Из: Лефортово
Пользователь №: 33347
Спасибо сказали: 266 раз(а)



я их уже запускал)))
никаких результатов
 
+Цитировать сообщение
Аero
сообщение 30.6.2015, 17:06
Сообщение #14


Форуман
Иконка группы

Группа: Супермодераторы
Сообщений: 7273
Регистрация: 22.5.2011
Из: Москва
Пользователь №: 191220
Спасибо сказали: 756 раз(а)



Цитата(AleksZ @ 30.6.2015, 17:00) *
я их уже запускал)))
никаких результатов

Может отправить им его в support, вдруг защиту придумают..)


--------------------
Всё будет как надо, даже если будет иначе.

 
+Цитировать сообщение
Кашалот
сообщение 30.6.2015, 18:08
Сообщение #15


Форуман
Иконка группы

Группа: Модераторы
Сообщений: 32070
Регистрация: 1.2.2008
Из: Сокольники
Пользователь №: 37639
Спасибо сказали: 1990 раз(а)



Цитата
просканировал 2 компа, сам вирус так и не нашел. как же он запускается?

Насколько я понял, он запускается один раз по клику пользователя, в текущем сеансе, и начинает потихоньку месить файло. Сколько успел замесить до выключения компа - столько его. Не факт, что он запустится при следующей загрузке, мож ему и не надо, но одной из рекомендаций все же является загрузиться с другой ОС и приступить к подсчету оставшихся в живых цыплят (файлов).
Файлы реально портятся, у них нарушается структура. Я не удивлюсь, если изменения там минимальные - может парочка символов испорчена в заголовке, он же быстро работает. Но этого достаточно, чтобы рядовой (и даже продвинутый) пользователь с этим не справился. К тому же, файло мочится все подряд - и видео, и картинки, и тексты, и музыка - ваще все подряд и у файлов меняются имена. Если бы, например, точно знать "а вот это был джипег" и в хекс-редакторе сверить его с чистым джипегом, то может и можно было бы нащупать алгоритм и даже исправить самые важные файлы вручную, но для оптовой починки нужна такая же циклическая программа, которую кто-то должен написать....а если кто и напишет, то не захочет ли он распространять её за деньги? Впрочем, тогда этот человек будет заподозрен в сговоре с создателями вируса или даже причислен к ним smile.gif
 
+Цитировать сообщение
MeXaon
сообщение 30.6.2015, 18:51
Сообщение #16


Опытный


Группа: Пользователи
Сообщений: 647
Регистрация: 4.4.2009
Из: Москва, Кожухово
Пользователь №: 67172
Спасибо сказали: 35 раз(а)



scr - это исполняемый файл, на равне с exe и com
Грохать его надо сразу и без греха, тем более сейчас. Все 99.9% сегодняшних scr - это вирусы.

Сообщение отредактировал MeXaon - 30.6.2015, 18:55
 
+Цитировать сообщение
AleksZ
сообщение 1.7.2015, 9:28
Сообщение #17


Форуман


Группа: Пользователи
Сообщений: 4605
Регистрация: 20.12.2007
Из: Лефортово
Пользователь №: 33347
Спасибо сказали: 266 раз(а)



Цитата(Кашалот @ 30.6.2015, 18:08) *
Насколько я понял, он запускается один раз по клику пользователя, в текущем сеансе, и начинает потихоньку месить файло.

ошибся я, нашел я вирус - *.xtbl.
работал он кстати два дня, файлы зашифрованные есть 25 числа и 26 числа.
а второй вирус "VAULT" отработал за час, т.к. объем маленький.
 
+Цитировать сообщение
Кашалот
сообщение 1.7.2015, 16:22
Сообщение #18


Форуман
Иконка группы

Группа: Модераторы
Сообщений: 32070
Регистрация: 1.2.2008
Из: Сокольники
Пользователь №: 37639
Спасибо сказали: 1990 раз(а)



Так и называется *.xtbl или ты так скрыл истинное название файла?
Цитата
работал он кстати два дня, файлы зашифрованные есть 25 числа и 26 числа.

То есть, запустился после перезагрузки? Кст, а когда он свои таблички развесил, когда решил, что напротил достаточно, чтобы перейти к вымогательству?
 
+Цитировать сообщение
AleksZ
сообщение 1.7.2015, 16:41
Сообщение #19


Форуман


Группа: Пользователи
Сообщений: 4605
Регистрация: 20.12.2007
Из: Лефортово
Пользователь №: 33347
Спасибо сказали: 266 раз(а)



hXb1uxr1ofZ7SN2q3fo9DeSQ3i9AUTvC81rW1DipO7lWjQJb7jpwfVSYLlEJqP91rjipysKbaupLwmJd
MG2Msmu1WDtD03Jhz3HwP73mF3E=.753D0068D4D284A89F6A.xtbl
вот полное имя файла)))

а "свои таблички вирус" ставит после шифрования всего диска, по дате это можно посмотреть.
 
+Цитировать сообщение
Кашалот
сообщение 1.7.2015, 19:33
Сообщение #20


Форуман
Иконка группы

Группа: Модераторы
Сообщений: 32070
Регистрация: 1.2.2008
Из: Сокольники
Пользователь №: 37639
Спасибо сказали: 1990 раз(а)



Ну видать всего да не всего - ведь винда запускается ровно настолько, чтобы показать рабочий стол и папки с "объявлениями", возможно, она также примет и купленный расшифровщик и не исключено, что жулики честные и все восстановится, никто же пока не пробовал, а если кто попробовал, то молчат поди - стесняются, что попались и...ну будь я на их месте, пришлось бы подавить жабу выложить расшифровщик бескорыстно, хотя все-таки пришел бы к этому, но не факт, что он общий-универсальный.
 
+Цитировать сообщение

2 страниц V   1 2 >
Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0



© 2005—2016 ООО «Нэт Бай Нэт Холдинг»,
Все права защищены.
Правила пользования ресурсами