Перейти к содержанию
Муромский форум
Авторизация  
nagmc

Вирус С Шифрованием Файлов

Рекомендуемые сообщения

Цитата(slaiter @ 1.7.2014, 23:53)
делайте бэкап важных файлов в облако, тогда возможно и платить не нужно будет)

Ну на счет облака спорно. К примеру есть папка "Мои документы", в которой общие документы организации и размер её составляет в упакованном виде 15Гб =) довольно хороший (дорогой) интернет нужен, чтобы заливать в облако такое количество информации.
Кстати, если на компьютере, который запустит данный вирус, установлены сетевые диски, то инфу на них он также зашифрует.

Единственный верный способ, который я для себя решил из этой ситуации - это делать архивы инфы, но после архивирования переименовывать расширение *.rar на своё (произвольное), тогда данные архивы останутся нетронутыми, т.к шифруются основные известные форматы (doc,xls,jpg,rar,zip,pdf и тд), в то время, например, tiff, rtf, odt не были тронуты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Чтобы усложнить отслеживание преступников по финансовому следу, вымогатели переходят на криптовалюту, поэтому попав в такую засаду, рубли сначала придется обменять на BTC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата
пс: если будете пробовать, то отпишитесь по результату.


Попробовал на виртаулке, запустить decode.exe без ключа, вы водит ошибку что ключ не найден и получить можно по мылу, но ничего плохого не сделал все документы в порядке

Запустить decode.exe с ключем, без файлов *.PRYECRYPT_GMAIL_COM, написал что все ок, и надо ребутнутся, так же ничего плохого не произошло

Пробовал переменовать файл, но почему то decode.exe перестал работать, ничего не делает даже ошибку не выводит, пробовал и заново извлеч из архива, все равно не работает Изменено пользователем djwow

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А ведь еще с 90-х годов говорят "Не открывайте невнятные вложения и документы, полученные через электропочту"... huh.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте. Я тоже заразился этим новым вирусом! Неделю назад получил письмо, в котором меня

приглашали на конференцию)) а подробности этой конференции были во вложении и я взял и запустил

файл, чтоб посмотреть чего там за конференция такая.. Но ничего не открылось и я на нее забил.

Но уже ближе к вечеру обнаружил, что все мои рабочие документы перестали открываться и у них переименовалось расширение на *.paycrypt@gmail_com. Попробовал переименовать файл обратно, но

файл не отображался и я сразу же подумал, что наверно вирус какой-то подцепил, хотя на

тот момент стоял бесплатный антивирус от microsoft(Спасибо им большое за антивирус).. после чего
начал проверять антивирусом Касперского и антивирусом DrWeb (вирусы какие то нашлись, но на

излечения файлов это никак не повлияло), параллельно искал информацию о том, как же вернуть мои

документы. Искал в интернете и спрашивал у друзей, но пришел к выводу, что ничего не получится

сделать и нужно связываться со злоумышленниками. Написал им письмо на paycrypt@gmail_com : "Помогите вернуть файлы!!!..". В ответ написали: "платите деньги за ключ...". А еще засомневался, а вдруг не пришлют ключ после оплаты. После чего написал им письмо с двумя прикрепленными зашифрованными файлами, если правда сможите расшифровать, то пришлите мне в ответ обратно расшифрованные мои файлы. В ответ они запросили файлик КEY.PRIVATE. Поиском нашел его на диске D и отослал им... Сразу же прислали документы мои родные расшифрованные..
Ну что же делать, файлы оказались важнее, пришлось заплатить деньги... После чего скинул им на

почту номер заявки и сумму оплаты... в ответ мне скинули два файла и сказали помести их на диск,

где файлы лежат закодированные и запустить exe'шник и ждать часа 3-4... Все закончелось

благополучно, но уж теперь, чтоб больше не платить, буду покупать внешний HDD и там всю

информацию нужную дублировать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

И тут спамеры, что тут рекламировать если и так всё понятно, что придётся платить деньги за расшифровку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(UrZa @ 1.7.2014, 23:24)
Т. е. они заплатили деньги и должны с Вами бесплатно поделиться?
Да и к тому же, наврятли шифровальщики настолько глупы, что используют один и тот же алгоритм для всех своих операций шифрования.

Лично мне этот дешифратор не нужен. Как то сталкивался с шифровальщиком который дописывал номер модификации к концу файла, у клиента кучу доков пошивровал, купили дешифратор около 6 тысяч рублей, с разрешения же клиента выложил во всеобщий доступ дешифратор. Может котел в моем аду будет на пару градусов прохладнее. Зачем он вам??? Вам греет душу что бы за него бабло отдали? Вот никто же не выложил- а я что л*о-х чтоли, лучше спрячу подальше. Изменено пользователем ТДемон

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(ТДемон @ 2.7.2014, 22:59)
Лично мне этот дешифратор не нужен. Как то сталкивался с шифровальщиком который дописывал номер модификации к концу файла, у клиента кучу доков пошивровал, купили дешифратор около 6 тысяч рублей, с разрешения же клиента выложил во всеобщий доступ дешифратор. Может котел в моем аду будет на пару градусов прохладнее. Зачем он вам??? Вам греет душу что бы за него бабло отдали? Вот никто же не выложил- а я что л*о-х чтоли, лучше спрячу подальше.


У меня его и нет, на такое я не попадался, да мне и не жалко было бы выложить.
Тем более человек уже Вам его выложил, только толку от него, другому попавшемуся на этом, ноль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(ТДемон @ 2.7.2014, 22:59)
Лично мне этот дешифратор не нужен. Как то сталкивался с шифровальщиком который дописывал номер модификации к концу файла, у клиента кучу доков пошивровал, купили дешифратор около 6 тысяч рублей, с разрешения же клиента выложил во всеобщий доступ дешифратор. Может котел в моем аду будет на пару градусов прохладнее. Зачем он вам??? Вам греет душу что бы за него бабло отдали? Вот никто же не выложил- а я что л*о-х чтоли, лучше спрячу подальше.

Первый пост второй страницы)) все выложено. Я лично за то, чтобы как можно меньше люди попадались на их уловки и буду рад, если кому-то моя инфа (или файлы) поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Подскажите, пож-та, меры безопасности в таких случаях. (Если письмо приходит от "своих", но взломанных адресатов).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(matreshka @ 2.7.2014, 23:12)
Подскажите, пож-та, меры безопасности в таких случаях. (Если письмо приходит от "своих", но взломанных адресатов).

Если в архиве будет файл с неизвестным расширением (особенно *.js - javascript, hta и подобные), то не запускать однозначно. Проверить касперским или dr.web. Документы у всех в основном в *.doc, docx, odt, jpg, bmp.
Также обратите внимание на то, что обычно не упаковывают единичный документ в архив, а здесь вроде как всегда в архиве присылают.
Ну и если вдруг появились сомнения по поводу письма, то запросить достоверность информации, отправив письмо в обратный адрес (если это действительно "свои"). Изменено пользователем nagmc

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(matreshka @ 2.7.2014, 23:12)
Подскажите, пож-та, меры безопасности в таких случаях. (Если письмо приходит от "своих", но взломанных адресатов).

Самый рабочий вариант перезвонить и уточнить была ли отправка письма. Ну и еще конечно же нужно следить за актуальностью версий программного обеспечения которое взаимодействует с сетью (ОС - обновления, браузеры, почтовые клиенты, месенеджеры и т.п.), а так-же того ПО с помощью которого вы открываете вложения (pdf ридеры, архиваторы и т.п.). Проверить все это дело можно с помощью бесплатной программы - Secunia PSI, которая должна быть установлена и запускаться при каждом старте ПК (автоматически). Ну и разумеется, коммерческий антивирус, например KIS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(matreshka @ 2.7.2014, 23:12)
Подскажите, пож-та, меры безопасности в таких случаях. (Если письмо приходит от "своих", но взломанных адресатов).


Как выше уже сказал Э_L_A_Y, купить KIS, один из немногих, кто сможет защитить от этого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В принципе ничего кроме мозгов не сможет от этого защитить т.к. это не вирус, а просто обычная программа скаченная из инета. Чтобы понять намерения, достаточно Вин7 с максимальным уровнем контроля учетных записей. А так да, каспер давно уже лучший антивирус в части собирания опытных образцов. По ним наверняка и находит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(matreshka @ 2.7.2014, 23:12)
Подскажите, пож-та, меры безопасности в таких случаях. (Если письмо приходит от "своих", но взломанных адресатов).

Купить любую старую книку по работе с компьютером и читать до просветления пункт "не открывайте вложения из электропочты, если полностью не уверены в их безопасности". ninja.gif
Все новое - это ведь хорошо забытое старое. smile.gif Мошенничество через электропочту - тоже. Изменено пользователем Samael

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Для Apple OS X обнаружен первый вымогатель

07/03/2016 13:10

Специалисты компании Palo Alto Networks обнаружили первый настоящий вымогатель (ransomware) для Apple OS X. Вредоносная программа получила название KeRanger и обнаруживается нашими антивирусными продуктами как OSX/Filecoder.KeRanger.A. KeRanger относится к типу crypto-ransomware или filecoder и специализируется на шифровании файлов пользователя с дальнейшим требованием выкупа за расшифровку.

Для распространения вредоносной программы злоумышленники выбрали эффективный способ компрометации дистрибутивов ПО под названием Transmission для OS X. Эта программа представляет из себя простой свободно распространяемый клиент BitTorrent. Несколько дней назад два дистрибутива Transmission v2.90 были скомпрометированы KeRanger и распространялись на официальном веб-сайте клиента. Так как Transmission является свободным ПО, злоумышленники могли просто скомпилировать специальную backdoored-версию и заменить ее на сервере разработчиков. Кроме этого, скомпрометированный дистрибутив был подписан легитимным цифровым сертификатом разработчика для Mac.

Так как файл снабжен легитимной цифровой подписью, вредоносная программа может успешно обойти проверку защитного ПО Apple Gatekeeper. После установки скомпрометированного приложения, на компьютере пользователя активируется вредоносный код. После этого, KeRanger выжидает целых три дня до первого подключения с своему управляющему C&C-серверу, причем с использованием анонимной сети Tor. Такой трюк маскирует присутствие вымогателя после непосредственной компрометации пользователя.

После подключения к C&C, KeRanger инициирует процесс шифрования определенных типов файлов пользователя на компьютере. Для расшифровки файлов злоумышленники требуют выкуп размером в один биткоин (около $400). В дополнение к этому, KeRanger пытается шифровать файлы резервного копирования для предотвращения возможности пользователя восстановить из них свои данные.

читать далее: https://habrahabr.ru/company/eset/blog/278725/


Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(Citrus @ 8.3.2016, 23:23)
Для Apple OS X обнаружен первый вымогатель

07/03/2016 13:10

Специалисты компании Palo Alto Networks обнаружили первый настоящий вымогатель (ransomware) для Apple OS X. Вредоносная программа получила название KeRanger и обнаруживается нашими антивирусными продуктами как OSX/Filecoder.KeRanger.A. KeRanger относится к типу crypto-ransomware или filecoder и специализируется на шифровании файлов пользователя с дальнейшим требованием выкупа за расшифровку.

Для распространения вредоносной программы злоумышленники выбрали эффективный способ компрометации дистрибутивов ПО под названием Transmission для OS X. Эта программа представляет из себя простой свободно распространяемый клиент BitTorrent. Несколько дней назад два дистрибутива Transmission v2.90 были скомпрометированы KeRanger и распространялись на официальном веб-сайте клиента. Так как Transmission является свободным ПО, злоумышленники могли просто скомпилировать специальную backdoored-версию и заменить ее на сервере разработчиков. Кроме этого, скомпрометированный дистрибутив был подписан легитимным цифровым сертификатом разработчика для Mac.

Так как файл снабжен легитимной цифровой подписью, вредоносная программа может успешно обойти проверку защитного ПО Apple Gatekeeper. После установки скомпрометированного приложения, на компьютере пользователя активируется вредоносный код. После этого, KeRanger выжидает целых три дня до первого подключения с своему управляющему C&C-серверу, причем с использованием анонимной сети Tor. Такой трюк маскирует присутствие вымогателя после непосредственной компрометации пользователя.

После подключения к C&C, KeRanger инициирует процесс шифрования определенных типов файлов пользователя на компьютере. Для расшифровки файлов злоумышленники требуют выкуп размером в один биткоин (около $400). В дополнение к этому, KeRanger пытается шифровать файлы резервного копирования для предотвращения возможности пользователя восстановить из них свои данные.

читать далее: https://habrahabr.ru/company/eset/blog/278725/


Мда, при Джобсе такого не было...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

  • Последние посетители

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×