Тоже поймали вирусняк, может кто поможет
Попробуем помочь, был единичный положительный опыт расшифровки вируса - шифровальщика, другого правда, Watnik 91, если сейчас правильно помню название. Здесь зависит от типа вируса, есть ли у того хелпера который помог нам, программа по подбору ключей под этот вирус, или еще нет. Контакты нужно будет искать, но вроде не удалял. Нужно будет снимать логи антивирусными программами, и отправлять образцы зашифрованных файлов в большом количестве хелперу, для подбора ключа. Сама расшифровка после получения ключа заняла 15 минут, расшифровались все файлы, doc, jpg, xls, pdf. Заняло по времени 2 недели переписки с хелпером, причем комп, или хотя бы жесткий на это время придется забрать к нам. Паспортные данные оставим. По цене пока не знаю сколько назначить, не интересовался данной темой. Расшифровал знакомому ИП на рабочем компе, тогда со мной расплатились планшетом 10 дюймов, с 3G, с IPS матрицей. Если кому нужно телефон обращайтесь в Р.М.
Тоже недавно поймали, слава богу теневые копии спасли)
1. если включено восстановление системы - ФАЙЛ - СВОЙСТВА - ПРЕДЫДУЩАЯ ВЕРСИЯ. пофайлово
2. если НЕ включено восстановление системы - перебить ручками, после перебивки ручки оторвать, доступ на ццц.зщктгрфдлявсехнахаляву.рф перекрыть.
3. восстановить с \\server\backup$\doc, ручки оборвать, доступ запретить
так все-таки есть те, кто поможет??? тоже словили, фоток детских кучу... жалко, блин...
quote:
Изначально написано yulia28:
так все-таки есть те, кто поможет??? тоже словили, фоток детских кучу... жалко, блин...
очень маловероятно, что вам кто-то поможет, к сожалению...
новое поколение вирусов шифровальщиков расшифровать невозможно. Только резервные копии спасут или выплата злоумышленникам (.
В случае с детскими фотками, вряд-ли были резервные копии(
Vault и Xtbl умеют перезатирать исходные файлы шифрованным файлом (по крайней мере Recuva так показывает, или содержимое просто заливается в этот же файл и файл переименовывается).
Универсального дешифровщика нет. Конторы, которые заявляют что могут дешифровать ваши файлы на деле связываются с авторами вируса и накидывают свою маржу за расшифровку.
Поэтому если бекапа нет, то вы приехали на остановку "Вылезайка".
quote:
Изначально написано @Artem@:
В случае с детскими фотками, вряд-ли были резервные копии(
храните в облачных дисках
Тож словил 9.11 vault на рабочий комп. Запросили 78$. Особо ценных доков не было, поэтому были посланы.
quote:
Изначально написано wad:
2. если НЕ включено восстановление системы - перебить ручками, после перебивки ручки оторвать, доступ на ццц.зщктгрфдлявсехнахаляву.рф перекрыть.
3. восстановить с \\server\backup$\doc, ручки оборвать, доступ запретить
Можно подробнее и по-русски 
в
quote:
Изначально написано yulia28:
так все-таки есть те, кто поможет??? тоже словили, фоток детских кучу... жалко, блин...
Вот до чего доводит экономия на платных антивирусных программах - стоит 1200 или того дешевле, радостные воспоминая детства - бесценны
quote:
Изначально написано pc_service2012:
Вот до чего доводит экономия на платных антивирусных программах - стоит 1200 или того дешевле, радостные воспоминая детства - бесценны
ни один антивирус тут не поможет. ваш ник не соответствует вашим высказываниям
Прямые руки, автономный бэкап или жесткая настроенная политика безопасности на компе спасет) Но чаще всего хватает первого варианта (не запускать что попало).
Вставлю и свои пять копеек.
На самом деле, как правильно подметил участник "yulia28" ни один платный антивирусник не поможет.
Вариантов заражения от подобной заразы сейчас достаточно много, ведь это именно выгодно (оборты там очень большие), плюс ко всему, часто такие вещи сначала используются для промышленной разветки (шпионажа), потом уже собирают и сливки второго сорта (обычные пользователи, мелкие компании и т.д.).
По вариантам заражения от обычной flash-анимации на сайтах, ссылки на такую анимацию в почте (до сих пор уязвимость не устранили), до обычной рассылки заархивированных файлов с паролями о якобы сверках для бухгалтерии, либо черех scr файлы (тоже уязвимость акутальна на многих машинах).
Так что самый правильный вариант - голова и прямые руки, а в бухгалтерии повесить напоминание о том, что никакие запароленные файлы не открывать, никакие файлы с двойными расширениями а-ля "акт сверки третий квартал 2015 года.docx [куча пробелов] .scr" не открывать. Тем более бесполезно занятие проверки антивирусами.
PS: А бэкапы надо делать всегда, как контора, занимающаяся восстановлением информации с разных носителей, мы давно уже отметили, что люди, работающие с информацией, делятся на две категории:
1) которые делают бэкапы, и
2) которые ТЕПЕРЬ делают бэкапы.
quote:
Изначально написано yulia28:
ни один антивирус тут не поможет. ваш ник не соответствует вашим высказываниям
зато Ваш ник соответствует
quote:
Изначально написано Директива:
а в бухгалтерии повесить напоминание о том, что никакие запароленные файлы не открывать, никакие файлы с двойными расширениями а-ля "акт сверки третий квартал 2015 года.docx [куча пробелов] .scr" не открывать.
обращалась за помощью компания, у них единый адрес корпоративной почты, поймали такое письмо и все 100% сотрудников его быстренько открыли, два десятка рабочих мест остались без данных, спаслись прошаренные, сохраняющие доки в гугол и один комп, который на линухе 
После восстановления всех компов и подробных инструкций по безопасности, они снова ловят и снова все открывают
а на файловый сервер денег зажопили...
Да чему тут удивляться)
Единственный верный выход, как мне кажется, это не принимать подобную почту..
а это уже задача сисадмина..
------------------
Восстановление информации с любых носителей ICQ:334747713 Mob:89127443066
quote:
Изначально написано Andy C:
Изначально написано wad:
2. если НЕ включено восстановление системы - перебить ручками, после перебивки ручки оторвать, доступ на ццц.зщктгрфдлявсехнахаляву.рф перекрыть.
3. восстановить с \\server\backup$\doc, ручки оборвать, доступ запретить
Можно подробнее и по-русски
что именно подробнее, как восстановить или как оборвать?
2wad:
Вадим, если не возражаете, завтра позвоню Вам
quote:
Вот до чего доводит экономия на платных антивирусных программах - стоит 1200 или того дешевле, радостные воспоминая детства - бесценны
В нынешней ситуации лучше потратить деньги на хорошую программу резервного копирования-с встроенным планировщиком,копированием по сети,работой в фоновом режиме.
Наверное задача автоматического формирования нормального автономного бэкапа неподьемна для обычного домашнего пользователя...Нужны еще затраты на устройство для бэкапа,типа сетевого винчестера,NAS..
А сейчас надо внимательно посмотреть на системные настройки формирования теневых копий томов,выделить больше дискового места на хранение точек восстановления,чтобы бы сохранялось несколько точек восстановления.За пару дней после шифрования на Win7 все это поднимается.Win XP в этом смысле вообще беззащитная система.
quote:
Изначально написано adG297:
Наверное задача автоматического формирования нормального автономного бэкапа неподьемна для обычного домашнего пользователя...
Да, с тех пор как в России запретили Dropbox, Google Drive, Mega, ЯндексДиск, Сopy.com, Bitcasa и прочих - с этим делом просто задница.
@vitamin впервые слышу. Можно пруф?
Яндекс чет не показывает эту новость.
quote:
Originally posted by vitamin:
Dropbox, Google Drive, Mega, ЯндексДиск, Сopy.com, Bitcasa
Конечно хороший вариант, но...
мой внутренний параноик протестует.
Т.е. для дома: фото, какие-то доки хранить - хорошо. Для бизнеса - ну, не знай.
ELForcer, там надо значок "сарказм" поставить.
@ГороИЖанин ясно. У меня наверно юмор еще с утра не проснулся))
Кстати если облако подключено как диск, то это это не спасет от шифрования, поскольку шифрованные файлы так же синхронизируются и удалятся норм файлы. Нужно заливать через браузер или отключить автоматическую синхронизацию.
Тоже схватанула, и на старуху бывает проруха
13800 просили, обязательно в биткоинах надо было отправлять. тоже были посланы лесом.
quote:
Изначально написано ELForcer:
[b]...или отключить автоматическую синхронизацию
Или пользоваться хранилкой с возможностью отката версии файла.
У Dropbox точно есть, у остальных надо смотреть
quote:
Да, с тех пор как в России запретили Dropbox, Google Drive, Mega, ЯндексДиск, Сopy.com, Bitcasa и прочих - с этим делом просто задница.
Ну да...
quote:
Кстати если облако подключено как диск, то это это не спасет от шифрования, поскольку шифрованные файлы так же синхронизируются и удалятся норм файлы. Нужно заливать через браузер или отключить автоматическую синхронизацию.
Да,если это просто один из сетевых дисков то думаю с таким же успехом зашифруется...
Кто бы проверил...Может vitamin и попробует,могу письмо с шифровальщиком послать..
quote:
Изначально написано adG297:
Может vitamin и попробует,могу письмо с шифровальщиком послать..
Любой каприз, за ваши деньги!
quote:
Originally posted by adG297:
Да,если это просто один из сетевых дисков то думаю с таким же успехом зашифруется...
Кто бы проверил...Может vitamin и попробует,могу письмо с шифровальщиком послать..
Я могу сказать - зашифруется. Уже проверено.
Кстати инетересный факт. Вирус не шифровал папки со знаком восклицания вначале "!Новая папка" например.
quote:
Изначально написано ELForcer:
Я могу сказать - зашифруется. Уже проверено.
Неприятность эту, мы переживем! (С) кот леопольд
Интересно. Дропбокосом, я просто не пользовался. Не знал про эту фичу. В основном Я-Диском только.
quote:
Изначально написано ELForcer:
Vault и Xtbl умеют перезатирать исходные файлы шифрованным файлом (по крайней мере Recuva так показывает, или содержимое просто заливается в этот же файл и файл переименовывается).
Универсального дешифровщика нет. Конторы, которые заявляют что могут дешифровать ваши файлы на деле связываются с авторами вируса и накидывают свою маржу за расшифровку.Поэтому если бекапа нет, то вы приехали на остановку "Вылезайка".
абсолютно точно! только однажды удалось расшифровать с помощью одной из утилит от каспера. и то, думаю, просто повезло. а таковых юзеров было 4. так что расшифровать - шансов очень и очень мало, т.е., читай: "нет".
Был на конференции Каспера.
Презентуют мулю: генератор вируальной ОС, который проверяет все вх.файлы в ней, давали потестить. Судя по выступлению ИХ инженеров, и рассказах о продуктах шифровальщиков HDD, понятно откуда ноги растут. Ребятки толкнули технологию налево (или сами юзают) и рубят капусту. Осведомленность начальника управления по сетевой безопасности просто поражала. А рекомендации добили: теневая копия, ежедневный бэкап и облака. Когда задали вопрос про автономные сети с криптошлюзами у него заскрипели мозги.
Тема хороша.
я не спец, спрошу здесь. если shadow defender включен только на диск С, он спасет комп? а другие диски, в том числе облачный диск?
quote:
я не спец, спрошу здесь. если shadow defender включен только на диск С, он спасет комп? а другие диски, в том числе облачный диск?
Естественно в пределах своего тома...Поговаривают правда,что современные модификации шифровальщика умеют отключать службу и удалять теневые копии,но сам не встречался.
shadow defender включен только на диск С,
он спасет комп?
а другие диски, в том числе облачный диск?
Современные падлы лезут в облака, ибо народ у нас "прошаренный" пароли аккуратно хранит на компе (чтобы не забыть!).
Недавно словили новую модификацию. Это падла влезла через VPN и заразила все там, включая сраный ящик гугела. Начальство было в ахуе. Девочка ЗАГРУЗИЛА вирь в ящик. (думала документ).
Я у клиента создал юзера Backup и дал права на одну папку. В планировщике ежедневно под этим акк бэкапились в архив доки с другого профиля. Другие профили не имели доступа к этой папке и шифровальщик естественно ничего не мог там зашифровать.
плохо
простите дубль..
Практически сразу убил его NANO Антивирус
NANO является надёжным антивирусом, потому что имеет свою собственную антивирусную лабораторию и движок, обеспечивающий защиту локальных файлов и активных веб-страниц в реальном времени. Программа предлагает три режима (помечены в скобках) и обеспечивает комплексную защиту
quote:
Изначально написано ELForcer:
создал юзера Backup
Вирус работает не из под юзера, а из под системы
((Ему насрать на права которые вы дали юзерам.
Бэкап на внешние носители,запрет запуска скриптов, платные антивирусы не спасают.
кактус_колючий что бы из под системы запустится, нужны админские права.
Системе тоже можно запретить доступ к ненужным папкам. Для получения доступа вирус должен уметь/иметь права менять владельца папки, а потом уже настраивать политики безопасности к папке, и только потом шифровать файлы.
Юзеры которые не имеют админских прав у нас не пострадали от этого вируса.
Вам повезло больше чем нашим юзерам без админских прав
Может просто разных шифровальшиков поймали.