8 Страницы < 1 2 3 4 5 > »   
Ответить Создать тему

документы сами заархивировались , теперь требует пароль

Лед4
post Oct 6 2014, 14:13 
Отправлено #31


Активный

Сообщений: 1 751
Из: столицы



suamm, так это же не системное изменение и не реестровое, потому антивиры и молчат.
Profile CardPM
  0/+1  
suamm
post Oct 6 2014, 14:18 
Отправлено #32


Завсегдатай

Сообщений: 553
Из: раненый годАми



Цитата(Midle @ Oct 6 2014, 15:01)
Файл cmd покажите.
*

На форуме прав недостаточно...куда скинуть?
Всем заинтересовавшимся https://drive.google.com/file/d/0B0PVYweP0Q...iew?usp=sharing

Сообщение отредактировал suamm - Oct 6 2014, 14:21
Profile CardPM
  0/0  
Midle
post Oct 6 2014, 14:27 
Отправлено #33


Постоялец

Сообщений: 254



Заархивируйте его и на Google-Диск.

--------------------
"Вали его, вали !"
Неизвестный автор про курс доллара.
Profile CardPM
  0/0  
Midle
post Oct 6 2014, 14:30 
Отправлено #34


Постоялец

Сообщений: 254



Цитата(Лед4 @ Oct 6 2014, 15:13)
suamm, так это же не системное изменение и не реестровое, потому антивиры и молчат.
*

Ну да. Мало ли, может пользователь решил сам заархивировать свои файлы. Антивирус "ругаться", как-правило, и не должен.

--------------------
"Вали его, вали !"
Неизвестный автор про курс доллара.
Profile CardPM
  0/0  
pfg
post Oct 6 2014, 14:35 
Отправлено #35


Активный

Сообщений: 3 197



прикольная програмка, сработала на 3 компах (набор менеджеров уровня развития "просмотр дом-2"), запустили документ с каким-то залихвастким именем.
шеф оплатил дешифрацию одного за 4 тыщи, т-т-т повезло.
запрашивали каспера, ибо он весь такой лицензионный и пропустил - ответили "не судьба". ключи шифрации есть только у распространителя, выдрать ключи из модуля шифрации не возможно.

--------------------
Снег тихонько все украл
сразу стало тихо
Profile CardPM
  0/0  
osj
post Oct 6 2014, 14:55 
Отправлено #36


солнце светило все ярче!

Сообщений: 5 962



nod32 не дал разархивировать. И это хорошо.

--------------------
Онлайн-справочник села Батырево
Сиськи, бухло и прочий пиар
Profile CardPM
  0/0  
Pili
post Oct 7 2014, 08:20 
Отправлено #37


Эксперт

Сообщений: 793



Цитата(suamm @ Oct 6 2014, 13:58)
Основные файлы хранятся на серваке. Сmd по сетке не лазает
*

Зря вы так думаете.
Троян (cmd), на которого дали ссылку, это по классификации ЛК Trojan-Ransom.Win32.Agent.idl
Вот что пишут тут
Цитата
Получили письмо (letter.zip (444.4 Кб)) и запустили файл из архива...
Шифрофальщик в первую очередь полез в сетевые диски и успел многое зашифровать до того, как была замечена его активность.

vmartyanov пишет, что расшифровка в принципе возможна - Trojan.Encoder.556
Ещё описание тут, что интересно, в ходе лечения у пациента нашлись ещё зловреды семейства Win32.BitCoinMiner (кому интересно - тут или в гугл)
Profile CardPM
  0/0  
suamm
post Oct 7 2014, 09:05 
Отправлено #38


Завсегдатай

Сообщений: 553
Из: раненый годАми



Цитата(Pili @ Oct 7 2014, 09:20)
Зря вы так думаете.
Троян (cmd), на которого дали ссылку, это по классификации ЛК Trojan-Ransom.Win32.Agent.idl
Вот что пишут тут

vmartyanov пишет, что расшифровка в принципе возможна - Trojan.Encoder.556
Ещё описание тут, что интересно, в ходе лечения у пациента нашлись ещё зловреды семейства Win32.BitCoinMiner (кому интересно - тут или в гугл)
*

Pili спс за инфу. Информация полезная -ознакомлюсь на досуге. У нас всё тихо-мирно, пользователи ТЬФУ-ТЬФУ-ТЬФУ не жалуются :-)
Profile CardPM
  0/0  
mlu
post Oct 7 2014, 19:35 
Отправлено #39


Постоялец

Сообщений: 212



Цитата(mlu @ Oct 5 2014, 22:42)
А ведь у Вас просто winrar c паролем, причем же здесь PGP Version: 2.6.3i ?
Видимо файлы заархивированы случайно сгенерированным паролем, а сам пароль зашифрован системой шифрования  открытым ключом, а у вымогателей есть закрытый ключ. unknw.gif
*


разобрал на вируалке, всё происходит как я и написал, используется консольный rar
запускался он так
rar.exe a -p8702D10297F60220020C02C901CC0270012702E55301B2FECCDA000000000000 "путь к файлу"
где 8702D10297F60220020C02C901CC0270012702E55301B2FECCDA000000000000 сгенерированный пароль,
затем пароль был зашифрован pgp с открытым ключом и на выходе получилось
-----BEGIN PGP MESSAGE-----
Version: 2.6.3i

hIwDckwoYILICiEBA/9EUrNWCWl5U40jHvO6TMmUxuFtLdIZHSPxwfkQ20iq2Msm
i7z31hxH7WFnR8rhqkbyvXa7rqu228n382yupfEI573FdH9u2yvr4M+esNF8JLfL
SP62IYg/pjJGH3lVwKFfJXy0IN23K4+JeTNg/7RtUspqbCR221MwCHyl8YFrraYA
AABPKtzly9nV+vW/GDhmPx8yqDFy69yeNsUQh2O2Hj9pf/MJks2FBEcM3gqzu0ro
t2vJgHANVD91hI0JHmroIxSCUg5UTSeaHkR3bQBnpu68lA==
=XuIe
-----END PGP MESSAGE-----

и всё закрытый ключ есть только у вымогателя sorry.gif

Сообщение отредактировал mlu - Oct 7 2014, 19:37
Profile CardPM
  0/0  
Bengan
post Oct 9 2014, 15:12 
Отправлено #40


Новичок

Сообщений: 3 854
Из: Шупашкар



Цитата(suamm @ Oct 6 2014, 14:23)
На моей машине стоит НОД Смарт Секьюрити с включёным фаерволом.
Постоянно сигнализирует, если намечаются какие-то изменения в системе или реестре. Всегда просит подтвердить легетивность этих действий. А вот др.Вэб не среагировал((
*


Грубо говоря, есть 3 вида зищиты: антивирусная, интернет-защита и проактивная. В нормальном антивируснике все три должны быть в наличии и все три должны быть включены.
Изменения в системе — это как раз проактивная защита. Даже если первые две не справились, не заметили, и вирус активировался, он не сможет ничего важного сделать, проактивка будет мешать писать в файлы, изменять ключи реестра, добавляться в автозагрузку и т.д. Но для этого, естественно, проактивка должна быть включена.
К сажалению, её обычно выключают по причине того, что она часто спрашивает разрешение на действие каждого неизвестного (и даже известного!) приложения. От настроек зависит её степерь параноидальности. Люди не любят заморачиваться, вот и отрубают её всю. Дескать две защиты есть и хватит... А вот и нет.

-----
Сдаётся мне, в дрвебе проактивка как минимум была выключена или пользователь позволил сделать изменения.

Сообщение отредактировал Bengan - Oct 9 2014, 15:13

--------------------
«Умение говорить — ещё не признак интеллекта» (К.Джинн)
Profile CardPM
  0/0  
del55
post Oct 16 2014, 17:34 
Отправлено #41


Эксперт

Сообщений: 997



Мне тоже пришло письмо по электронке такого типа. Странно, что Яндекс пропустил...

Текст в письме:

Уважаемый клиент!

ОАО "ХХХ- лизинг" удовлетворил Ваш запрос на лизинговые услуги от 11 сентярбря 2014 года.
Направляем Вам презентацию для конечного утверждения.
Просим подтвердить договор-презентацию до 17.10.2014.

и так далее на полном серьезе.

Вложение: файл Договор-презентация с расширением ppsx

Насторожился, потому что сам занимаюсь юридической работой и договоров-презентаций пока не видел.

Адрес отправителя схож до степени смешения с адресом суперсерьезной конторы. (info@veb-leasinq.ru)

Не скачивал и не запускал. Письмо удалю, т.к. мало ли чего.

Сообщение отредактировал del55 - Oct 16 2014, 17:35
Profile CardPM
  0/0  
del55
post Oct 16 2014, 17:36 
Отправлено #42


Эксперт

Сообщений: 997



Цитата(pfg @ Oct 6 2014, 15:35)

шеф оплатил дешифрацию одного за 4 тыщи, т-т-т повезло.

*


Шеф нравится ваш. Хочу к нему на работу.
Profile CardPM
  0/0  
Tref
post Oct 16 2014, 17:56 
Отправлено #43


Активный

Сообщений: 13 219
Из: Новочебоксарск-Москва



Цитата(del55 @ Oct 16 2014, 18:36)
Шеф нравится ваш. Хочу к нему на работу.
*

по хорошему эту сумму на ИТ отдел в виде штрафа наложить нада smile3.gif это будет грамотный поступок шефа

Сообщение отредактировал Tref - Oct 16 2014, 17:56

--------------------
"... а тех, кто против демократии, сажать и расстреливать!".
Радикалам кажется, что они строят в России что-то вроде Швеции - построят опять Колыму.
У нас все впереди. Эта мысль тревожит.
Profile CardPM
  -7/0  
del55
post Oct 16 2014, 17:59 
Отправлено #44


Эксперт

Сообщений: 997



Цитата(Tref @ Oct 16 2014, 18:56)
по хорошему эту сумму на ИТ отдел в виде штрафа наложить нада smile3.gif это будет грамотный поступок шефа
*



Значит не особо умные манагеры будут всякое malware запускать, а отвечать ИТ-отделу?

Посмотрел внимательнее. Вопросы отпали.
Profile CardPM
  0/0  
Бокр
post Oct 16 2014, 18:05 
Отправлено #45




Сообщений: 2 267



тоже поймал нечто похожее. файлы стали с расширением AES256 и плюс к ним файл с названием: "ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ". Внутри файла:
Цитата
Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
TOR: https://www.torproject.org/ | Видео инструкция: http://youtu.be/43feBLwHzn0
url_1: http://y6kpyefykdvswxps.onion:4567/pay.html
url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html
HashKey: ba34f63d5934303fc074c1bb5b000f93
ID: 21270

ярлык онлайн консультанта присутствовал. правда я его грохнул.
пробовал rakhnidecryptor от касперского. нет такого кода. похоже остается надеяться и ждать)))
Profile CardPM
  0/0  

8 Страницы < 1 2 3 4 5 > » 
ОтветитьTopic Options
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей: