прикольная програмка, сработала на 3 компах (набор менеджеров уровня развития "просмотр дом-2"), запустили документ с каким-то залихвастким именем. шеф оплатил дешифрацию одного за 4 тыщи, т-т-т повезло. запрашивали каспера, ибо он весь такой лицензионный и пропустил - ответили "не судьба". ключи шифрации есть только у распространителя, выдрать ключи из модуля шифрации не возможно.
Основные файлы хранятся на серваке. Сmd по сетке не лазает
Зря вы так думаете. Троян (cmd), на которого дали ссылку, это по классификации ЛК Trojan-Ransom.Win32.Agent.idl Вот что пишут тут
Цитата
Получили письмо (letter.zip (444.4 Кб)) и запустили файл из архива... Шифрофальщик в первую очередь полез в сетевые диски и успел многое зашифровать до того, как была замечена его активность.
vmartyanov пишет, что расшифровка в принципе возможна - Trojan.Encoder.556 Ещё описание тут, что интересно, в ходе лечения у пациента нашлись ещё зловреды семейства Win32.BitCoinMiner (кому интересно - тут или в гугл)
Зря вы так думаете. Троян (cmd), на которого дали ссылку, это по классификации ЛК Trojan-Ransom.Win32.Agent.idl Вот что пишут тут
vmartyanov пишет, что расшифровка в принципе возможна - Trojan.Encoder.556 Ещё описание тут, что интересно, в ходе лечения у пациента нашлись ещё зловреды семейства Win32.BitCoinMiner (кому интересно - тут или в гугл)
Pili спс за инфу. Информация полезная -ознакомлюсь на досуге. У нас всё тихо-мирно, пользователи ТЬФУ-ТЬФУ-ТЬФУ не жалуются :-)
А ведь у Вас просто winrar c паролем, причем же здесь PGP Version: 2.6.3i ? Видимо файлы заархивированы случайно сгенерированным паролем, а сам пароль зашифрован системой шифрования открытым ключом, а у вымогателей есть закрытый ключ.
разобрал на вируалке, всё происходит как я и написал, используется консольный rar запускался он так rar.exe a -p8702D10297F60220020C02C901CC0270012702E55301B2FECCDA000000000000 "путь к файлу" где 8702D10297F60220020C02C901CC0270012702E55301B2FECCDA000000000000 сгенерированный пароль, затем пароль был зашифрован pgp с открытым ключом и на выходе получилось -----BEGIN PGP MESSAGE----- Version: 2.6.3i
На моей машине стоит НОД Смарт Секьюрити с включёным фаерволом. Постоянно сигнализирует, если намечаются какие-то изменения в системе или реестре. Всегда просит подтвердить легетивность этих действий. А вот др.Вэб не среагировал((
Грубо говоря, есть 3 вида зищиты: антивирусная, интернет-защита и проактивная. В нормальном антивируснике все три должны быть в наличии и все три должны быть включены. Изменения в системе — это как раз проактивная защита. Даже если первые две не справились, не заметили, и вирус активировался, он не сможет ничего важного сделать, проактивка будет мешать писать в файлы, изменять ключи реестра, добавляться в автозагрузку и т.д. Но для этого, естественно, проактивка должна быть включена. К сажалению, её обычно выключают по причине того, что она часто спрашивает разрешение на действие каждого неизвестного (и даже известного!) приложения. От настроек зависит её степерь параноидальности. Люди не любят заморачиваться, вот и отрубают её всю. Дескать две защиты есть и хватит... А вот и нет.
----- Сдаётся мне, в дрвебе проактивка как минимум была выключена или пользователь позволил сделать изменения.
Сообщение отредактировал Bengan - Oct 9 2014, 15:13
--------------------
«Умение говорить — ещё не признак интеллекта» (К.Джинн)
Мне тоже пришло письмо по электронке такого типа. Странно, что Яндекс пропустил...
Текст в письме:
Уважаемый клиент!
ОАО "ХХХ- лизинг" удовлетворил Ваш запрос на лизинговые услуги от 11 сентярбря 2014 года. Направляем Вам презентацию для конечного утверждения. Просим подтвердить договор-презентацию до 17.10.2014.
и так далее на полном серьезе.
Вложение: файл Договор-презентация с расширением ppsx
Насторожился, потому что сам занимаюсь юридической работой и договоров-презентаций пока не видел.
Адрес отправителя схож до степени смешения с адресом суперсерьезной конторы. (info@veb-leasinq.ru)
Не скачивал и не запускал. Письмо удалю, т.к. мало ли чего.
Сообщение отредактировал del55 - Oct 16 2014, 17:35
по хорошему эту сумму на ИТ отдел в виде штрафа наложить нада это будет грамотный поступок шефа
Сообщение отредактировал Tref - Oct 16 2014, 17:56
--------------------
"... а тех, кто против демократии, сажать и расстреливать!". Радикалам кажется, что они строят в России что-то вроде Швеции - построят опять Колыму. У нас все впереди. Эта мысль тревожит.
тоже поймал нечто похожее. файлы стали с расширением AES256 и плюс к ним файл с названием: "ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ". Внутри файла:
Цитата
Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления. Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.
ярлык онлайн консультанта присутствовал. правда я его грохнул. пробовал rakhnidecryptor от касперского. нет такого кода. похоже остается надеяться и ждать)))