8 Страницы < 1 2 3 4 > »   
Ответить Создать тему

документы сами заархивировались , теперь требует пароль

ZlyddeN
post Oct 6 2014, 09:05 
Отправлено #16


Не язык, а напильник!

Сообщений: 8 851
Из: Чебоксары



Цитата(trasher @ Oct 5 2014, 23:43)
все, в том числе на гуглоблаке, что обидно при синхронизации. Причем перевод денег не окажется панацеей, начинается развод на дальнейшие "бабки", типо не дошли и т.д. Самому такой от контрагента вирус приходил, благо вспомнил, что знакомый предупреждал. Открываешь файл типа картинку, маленький размер правда сразу настораживает, js с расширением он фактически. Если актив х не выключен и IE броузер по умолчанию, вот и получается беда. Маскируется под акты сверки для налоговой и др., антивирус не срабатывет, зато срабатывает вредоносный скрипт. Письма приходят от реального мыла контрагентов, уже зараженных, поэтому многие не ищут подвоха.
*

Как у нас - контрагент выслал письмо, с просьбой/требованием срочно оплатить. Вслед за письмом со зловредом, ышо одно "нас ломанули"
Помогло теневое копирование (ышо плюс не работать под админом). Откатил на "вчера" (по три раза на дню делается резервирование)

Сообщение отредактировал ZlyddeN - Oct 6 2014, 09:11

--------------------
Я плохой — и это хорошо. Я не стану хорошим — но это не плохо.
Profile CardPM
  0/0  
ZlyddeN
post Oct 6 2014, 09:08 
Отправлено #17


Не язык, а напильник!

Сообщений: 8 851
Из: Чебоксары



не вирус это. Вредное ПО.
вообще с точки зрения ОС и антивируса все норм и штатно: пользователь САМ запускает процедуру шифрования. Злоумышленник высылает заранее заготовленные скрипты и все

--------------------
Я плохой — и это хорошо. Я не стану хорошим — но это не плохо.
Profile CardPM
  0/+4  
RAUL
post Oct 6 2014, 09:10 
Отправлено #18


Активный

Сообщений: 8 315



Цитата(ZlyddeN @ Oct 6 2014, 10:08)
не вирус это. Вредное ПО.
вообще с точки зрения ОС и антивируса все норм и штатно: пользователь САМ запускает процедуру шифрования. Злоумышленник высылает заранее заготовленные скрипты и все
*

Угу, это понятно
Profile CardPM
  0/0  
suamm
post Oct 6 2014, 10:01 
Отправлено #19


Завсегдатай

Сообщений: 553
Из: раненый годАми



Тоже хапнули этот "шифровальщик". Заархивировал всё, вплоть до *.jpg * и *.cer, не говоря уже о файлах офиса - *.doc, *.xls, *.xml, *.rtf. Но что примечательно, не тронул офис2013 -docx, xlsx и опенофис. Также оставил .exe и bmp
Profile CardPM
  0/0  
osj
post Oct 6 2014, 10:38 
Отправлено #20


солнце светило все ярче!

Сообщений: 5 962



текст письма которое прислали встудиюс

--------------------
Онлайн-справочник села Батырево
Сиськи, бухло и прочий пиар
Profile CardPM
  0/0  
suamm
post Oct 6 2014, 10:50 
Отправлено #21


Завсегдатай

Сообщений: 553
Из: раненый годАми



Цитата(osj @ Oct 6 2014, 11:38)
текст письма которое прислали встудиюс
*

-----BEGIN PGP MESSAGE-----
Version: 2.6.3i

hIwDckwoYILICiEBA/0WYVqRk44beHx4kqiVSCp1H/aVa6EWcHpqYtEEn7fkeXJH
SFZyq9Na2KzcYL4qfgDLCn/OlRQPG/3SRDwPPZAP6Iq92OAEceDISi/dmR4yL/FJ
Wo9peuujhzmIvSm6j21cuhk53nYSFwne2IMlZTGkrfxh29OAqvApasFdR1tcM6YA
AABEzIB51iMmB3iZDdrF3F86xXKHnFukDkFTwoux4IXwLd7i61qgg1CPKmOEg8j5
snRoAwWDXBZBr/bLxbKbuZIAshu31hI=
=O3me
-----END PGP MESSAGE-----

Файлы заархивированы. Стоимость разархивации 10.000 рублей

Для того чтобы разархивировать файлы пришлите на почту hawker@mail2tor.com
файл, который Вы сейчас читаете (!Файлы заархивированы.txt).
Если таких файлов несколько, то пришлите все файлы (!Файлы заархивированы.txt)
из одной любой директории где есть RAr архивы (в каждой папке эти файлы дублируются).

Также пришлите один заархивированый файл небольшого размера

В ответ Вам придет разархивированый файл и инструкция об оплате.
После оплаты придет программа, которая все разархивирует и пароль на архивы

Ответ на Ваше письмо придет в течение 1-24 часов
***************************************
Profile CardPM
  0/0  
osj
post Oct 6 2014, 10:53 
Отправлено #22


солнце светило все ярче!

Сообщений: 5 962



Цитата(suamm @ Oct 6 2014, 11:50)
-----BEGIN PGP MESSAGE-----
*

Это же не то письмо с помощью которого случилось заражение



--------------------
Онлайн-справочник села Батырево
Сиськи, бухло и прочий пиар
Profile CardPM
  0/0  
suamm
post Oct 6 2014, 11:23 
Отправлено #23


Завсегдатай

Сообщений: 553
Из: раненый годАми



Цитата(osj @ Oct 6 2014, 11:53)
Это же не то письмо с помощью которого случилось заражение
*

примерный текст письма (оригинал уже удалил) "Ваша организация является ответчиком по ...... и вложен файлик в зипархиве с расширением .cmd
Ща, посмотрю у юриста на компе может остался...

Файлик нащёл, есле интересно могу скинуть

Сообщение отредактировал suamm - Oct 6 2014, 11:33
Profile CardPM
  0/0  
trasher
post Oct 6 2014, 12:01 
Отправлено #24


new member

Сообщений: 27 114



Цитата(osj @ Oct 6 2014, 11:38)
текст письма которое прислали встудиюс
*

варьироваться может сильно текст. у меня было "в связи с налоговой проверкой прошу выслать недостающие оригиналы документов. Список документов прилагает", еще может быть "По нашим данным у вас имеется задолженность перед нашей организацией. Прошу ознакомиться с актом сверки, подписать и поставить печать".

--------------------
"А что тут поделаешь.
- Это что, гребанный план всех ирландцев."
Profile CardPM
  0/0  
Bengan
post Oct 6 2014, 12:29 
Отправлено #25


Новичок

Сообщений: 3 854
Из: Шупашкар



Как была повальная безграмотность 15 лет назад, так и осталась. Как открывали раньше непонятные файлы с расширением cmd, scr, bat, так и открывают.
Зато теперь все технически оснащённые, смартфоны и планшеты у всех есть facepalm_ani.gif

Цитата(suamm @ Oct 6 2014, 12:23)
Ща, посмотрю у юриста на компе может остался...
*

Это юрист что ли файлик открыл? Гоните в шею такого юриста.

Сообщение отредактировал Bengan - Oct 6 2014, 12:30

--------------------
«Умение говорить — ещё не признак интеллекта» (К.Джинн)
Profile CardPM
  0/+2  
Отнюдь
post Oct 6 2014, 12:51 
Отправлено #26


Активный

Сообщений: 23 561
Из: раненный душою



Цитата(Bengan @ Oct 6 2014, 13:29)
Как была повальная безграмотность 15 лет назад, так и осталась. Как открывали раньше непонятные файлы с расширением cmd, scr, bat, так и открывают
*

не всегда с безграмотностью связано. бывает, на автомате открываешь - тут никакие знания не спасут, кроме периодической встряски нервной системы при ловле очередного зверька

--------------------
Мощность распределять нужно плавно и равномерно (ц) Гена21
Profile CardPM
  0/+3  
suamm
post Oct 6 2014, 12:58 
Отправлено #27


Завсегдатай

Сообщений: 553
Из: раненый годАми



Цитата(Bengan @ Oct 6 2014, 13:29)
Как была повальная безграмотность 15 лет назад, так и осталась. Как открывали раньше непонятные файлы с расширением cmd, scr, bat, так и открывают.
Зато теперь все технически оснащённые, смартфоны и планшеты у всех есть  facepalm_ani.gif
Это юрист что ли файлик открыл? Гоните в шею такого юриста.
*

Юрист уже наказана - восстанавливает доки последней недели.
А по большому счёту исполняемый файл .cmd большого урона не нанёс:
Основные файлы хранятся на серваке. Сmd по сетке не лазает, другие машины, где его не запускали в порядке. Но почему антивирь не сработал? На машине стоит др.Вэб секюрити с анализом входящего трафика, в т.ч. и по мылу
Profile CardPM
  0/0  
RAUL
post Oct 6 2014, 13:07 
Отправлено #28


Активный

Сообщений: 8 315



Цитата(suamm @ Oct 6 2014, 13:58)
Но почему антивирь не сработал?
*

Цитата(ZlyddeN @ Oct 6 2014, 10:08)
с точки зрения ОС и антивируса все норм и штатно: пользователь САМ запускает процедуру шифрования.
*

Profile CardPM
  0/0  
suamm
post Oct 6 2014, 13:23 
Отправлено #29


Завсегдатай

Сообщений: 553
Из: раненый годАми



Цитата(ZlyddeN @ Oct 6 2014, 10:08)
не вирус это. Вредное ПО.
вообще с точки зрения ОС и антивируса все норм и штатно: пользователь САМ запускает процедуру шифрования. Злоумышленник высылает заранее заготовленные скрипты и все
*

На моей машине стоит НОД Смарт Секьюрити с включёным фаерволом.
Постоянно сигнализирует, если намечаются какие-то изменения в системе или реестре. Всегда просит подтвердить легетивность этих действий. А вот др.Вэб не среагировал((
Profile CardPM
  0/0  
Midle
post Oct 6 2014, 14:01 
Отправлено #30


Постоялец

Сообщений: 254



Файл cmd покажите.

--------------------
"Вали его, вали !"
Неизвестный автор про курс доллара.
Profile CardPM
  0/0  

8 Страницы < 1 2 3 4 > » 
ОтветитьTopic Options
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей: