Нужен дельный совет по вирусу-вымогателю!!!

[Aspectre 2 591]

44 минуты назад, Startwar сказал:

Ну поэтому еще раз убеждаюсь что попадают в основном владельцы старых систем на Windows XP, или в лучшем случае Windows 7, в виртуалке попробовал запустить на Windows 8, SmartScreen заблокировал моментом.

Лол, ты из хрома запускаешь, а ты запусти из аутлука или амиго и увидишь боль Второй момент, каспер словил, потому что знает его, а если не знает, он обсерается, еще раз повторяю, 0day угрозу онли дрвеб ловит с включенной опцией защиты данных(по умолчанию откл). Не веришь? Пройди на форумы антивирусов, и увидишь тысячи проклятий в сторону каспера и нода по поводу троян энкодеров. Я еще времена ужасного Vault помню, как каспер обосрался даже, когда он был в вирусной базе

[felix03 5]

Нет там вариантов. Или платите выкуп или забудьте про данные.

Кстати, как правило, после оплаты выкупа кидалово случается редко. Перед оплатой рекомендую попросить расшифровать несколько файлов для проверки.

[Serg1969 54]

2 минуты назад, felix03 сказал:

Нет там вариантов. Или платите выкуп или забудьте про данные.

Кстати, как правило, после оплаты выкупа кидалово случается редко. Перед оплатой рекомендую попросить расшифровать несколько файлов для проверки.

подождем что напишут, пока молчат

[Aspectre 2 591]

Вообще надо заявление в полицию писать. Этих пидарасов потому и не ловят активно, потому что все втихаря отмалчиваются, а как срок засветит мудакам, так и проще будут.

Краткая хистори, некий Корректор сделал первого рабочего энкодера, слил его в рунет, так как энкодер был сделан на паскале, мало кто из ныне живуших школохакеров смог в нем разобраться и стало бабло стягиваться в Испанию(там он видимо на тот момент проживал). Потом он сделал новую версию, более жестокую vault, там уже код был серъезней и уже был через js скрипт, используется легальный код для шифрования, антивирусы не реагируют на него от слова совсем, с того момента пошли модификации вольта, что-то принципиально нового пока не было

 

[alexbaki 555]

Расширения у файлов изначально какие были?

[Mongoose 0]

С каким  расширением файлы нужно восстановить?

Была подобная ситуация, необходимо было восстановить базы 1с.

Вышли из положения следующим способом, зашифрованной базе присваиваем нужное расширение. И конфигуратором открываем базу. 

Вирус добавляет в код свой код в неизвестных строках. Руками базу восстанавливаем и радуемся жизни. Максимум потеряется пару документов.

 

[Startwar 2 316]

14 минуты назад, Aspectre сказал:

Лол, ты из хрома запускаешь, а ты запусти из аутлука или амиго и увидишь боль Второй момент, каспер словил, потому что знает его, а если не знает, он обсерается, еще раз повторяю, 0day угрозу онли дрвеб ловит с включенной опцией защиты данных(по умолчанию откл). Не веришь? Пройди на форумы антивирусов, и увидишь тысячи проклятий в сторону каспера и нода по поводу троян энкодеров. Я еще времена ужасного Vault помню, как каспер обосрался даже, когда он был в вирусной базе

Лол, у меня касперский корпоративная версия, с настроенными политиками через KSC, в политиках у меня стоит запрет на запуск файлов с расширениями js. То есть запустить вирус можно только через браузер. То есть касперскому глубоко положить на то что вирус там или не вирус, он просто не позволит запустить файл. 

[Startwar 2 316]

Только что, Mongoose сказал:

С каким  расширением файлы нужно восстановить?

Была подобная ситуация, необходимо было восстановить базы 1с.

Вышли из положения следующим способом, зашифрованной базе присваиваем нужное расширение. И конфигуратором открываем базу. 

Вирус добавляет в код свой код в неизвестных строках. Руками базу восстанавливаем и радуемся жизни. Максимум потеряется пару документов.

 

Фигня все это, нынешний шифровальщики на бинарном уровне кодируют код, добавляют к каждому байту в зависимости от позиции результат кодирования. Вариантов открыть такую БД ровно ноль, как и раскодировать. Только перебором, но это можно сделать только с небольшим кодом.

[Aspectre 2 591]

Только что, Startwar сказал:

Лол, у меня касперский корпоративная версия, с настроенными политиками через KSC, в политиках у меня стоит запрет на запуск файлов с расширениями js. То есть запустить вирус можно только через браузер. То есть касперскому глубоко положить на то что вирус там или не вирус, он просто не позволит запустить файл. 

Ну вообще то энкодеры есть еще с макросами в .docx и .xlsx, но такие сбрасывают в основном по конкретной наводке, но тело все равно из сети выкачивается. кое-какая наша местная муниципальная структура так пострадала, там тоже был каспер корпорат.

[Aspectre 2 591]

5 минут назад, Startwar сказал:

Фигня все это, нынешний шифровальщики на бинарном уровне кодируют код, добавляют к каждому байту в зависимости от позиции результат кодирования. Вариантов открыть такую БД ровно ноль, как и раскодировать. Только перебором, но это можно сделать только с небольшим кодом.

Лично видел шифровальщика, который >5mb файлов только заголовки шифрует, hex редактором вернул базу в жизни, было это в 2014 году. Больше такое не практиковал. И еще, насчет бинарного кода, ты хоть представляешь какая мощь от пк нужна, чтобы побитно пошифровать rsa или элиптикой хотя бы гигабайт и сколько на это времени надо будет?

Например. Берем обычное шифрованное фото от шифровальщика, открываем Эсидиси программой и если она ее увидела, то пересохраняем в джепег Реально помогает, но иногда

 

 

[Startwar 2 316]

1 минуту назад, Aspectre сказал:

Ну вообще то энкодеры есть еще с макросами в .docx и .xlsx, но такие сбрасывают в основном по конкретной наводке, но тело все равно из сети выкачивается. кое-какая наша местная муниципальная структура так пострадала, там тоже был каспер корпорат.

C VBA не разу не видел, но вообще спасибо, запрещу наверное я в политике на всякий случай макросы, или ограничу их работу каталогом, пусть потеряют папку temp, но все остальное останется.

[Startwar 2 316]

1 минуту назад, Aspectre сказал:

Лично видел шифровальщика, который >5mb файлов только заголовки шифрует, hex редактором вернул базу в жизни, было это в 2014 году. Больше такое не практиковал. И еще, насчет бинарного кода, ты хоть представляешь какая мощь от пк нужна, чтобы побитно пошифровать rsa или элиптикой хотя бы гигабайт и сколько на это времени надо будет?

Например. Берем обычное шифрованное фото от шифровальщика, открываем Эсидиси программой и если она ее увидела, то пересохраняем в джепег Реально помогает, но иногда

 

 

Не ну это не серьезные шифровальщики, наверное с этого начиналась эра.. Сейчас они куда серьезнее. Насчет мощи, у нас такое было уже, человек когда отреагировал и позвонил мне, около 60% винта было закодировано. В файлах, даже текстовых белиберда полная. Тут где то тема была, я описывал происшедшее.

[Aspectre 2 591]

4 минуты назад, Startwar сказал:

Не ну это не серьезные шифровальщики, наверное с этого начиналась эра.. Сейчас они куда серьезнее. Насчет мощи, у нас такое было уже, человек когда отреагировал и позвонил мне, около 60% винта было закодировано. В файлах, даже текстовых белиберда полная. Тут где то тема была, я описывал происшедшее.

Я бросил в 2014 сражаться с ними, сейчас вполне допускаю, что они стали круче. Но все-равно, обычный пентиум офисный будет rsa 1024 шифровать побитно 1 минута ~ 1 мегабайт. Примерно такая скорость как по шифровке, так и по расшифровке.

[deadbeef 114]

28 минут назад, Aspectre сказал:

Лол, ты из хрома запускаешь, а ты запусти из аутлука или амиго и увидишь боль

ну знаешь ли, ставить себе вирус (амиго) и бояться вирусов - это как минимум непоследовательно. аутглюком лично я не пользуюсь уже лет 10, но тот же ESS смотрит именно траффик, ему насрать через что открывать - тормознёт и там.

[Aspectre 2 591]

1 минуту назад, deadbeef сказал:

ну знаешь ли, ставить себе вирус (амиго) и бояться вирусов - это как минимум непоследовательно. аутглюком лично я не пользуюсь уже лет 10, но тот же ESS смотрит именно траффик, ему насрать через что открывать - тормознёт и там.

Обычно шифруются компы с авастом и амиго, ну по крайней мере раньше шифровались, из личного опыта говорю

[Startwar 2 316]

2 минуты назад, Aspectre сказал:

Я бросил в 2014 сражаться с ними, сейчас вполне допускаю, что они стали круче. Но все-равно, обычный пентиум офисный будет rsa 1024 шифровать побитно 1 минута ~ 1 мегабайт. Примерно такая скорость как по шифровке, так и по расшифровке.

Пару тем.. Симптомы почитай..

[doczz 426]

6 минут назад, Mongoose сказал:

С каким  расширением файлы нужно восстановить?

Была подобная ситуация, необходимо было восстановить базы 1с.

Вышли из положения следующим способом, зашифрованной базе присваиваем нужное расширение. И конфигуратором открываем базу. 

Вирус добавляет в код свой код в неизвестных строках. Руками базу восстанавливаем и радуемся жизни. Максимум потеряется пару документов.

Ну это какая-то халтурная малварь попалась

14 минуты назад, Aspectre сказал:

Вообще надо заявление в полицию писать. Этих пидарасов потому и не ловят активно, потому что все втихаря отмалчиваются, а как срок засветит мудакам, так и проще будут.

Полисмены ловят одного из ста обувыльщиков лохов на авито - хотя там уж все просто - есть и номера карт, телефонов, куда деньги переводились, а тут вам - даркнет, биткоины - висяк гарантированный. Здесь только совершенствуя защиту можно экономическими мерами их задушить - если они потратятся на спам, на покупку самого шифровальщика, а выхлоп будет нулевой - они бросят это гиблое дело. Хотя сейчас вон вообще - "узбекский вирус" рассылают - типа заплати бабло, а то мы все про тебя знаем и кирпич на голову случайно упадет если не заплатишь - тут уже была подобная тема +) И судя по объему рассылки такого фуфла находятся же терпилы, которые платят.

[deadbeef 114]

1 минуту назад, Aspectre сказал:

Обычно шифруются компы с авастом и амиго, ну по крайней мере раньше шифровались, из личного опыта говорю

интересно, почему это связка говноантивирь + напичканный говном полувирус-полубраузер, которую может догадаться установить только умственно неполноценный или крайне необразованный пользователь, уязвима... загадка прям.

[Aspectre 2 591]

Цитата

Пару тем.. Симптомы почитай..

Ну так у автора вольтоподобный шифровальщик. на том я и бросил сражатсья с ними, потому что или бекап или соси болт

[Aspectre 2 591]

2 минуты назад, deadbeef сказал:

интересно, почему это связка говноантивирь + напичканный говном полувирус-полубраузер, которую может догадаться установить только умственно неполноценный или крайне необразованный пользователь, уязвима... загадка прям.

Зачем так категорично? Обычная тетечка, работает бухгалтером, берет ИП и ООО на обслуживание, работает из дома. У нее есть или сын или муж суперхакер, который вместе с танчиками и амиго поставит, а авастик и 360 тотал он ставит по совету такогож же танкиста. так и получается.

[DrPEST 580]

Госпади сотонисты с Амиго и оутглюком...

Попадался на работе шифровальщик, пожрал ессесно доблестную и всезнающую бухгалтерию, писем с "выкупами" не получали, Каспер оторался, что "остановись безумная, не делай этого!!!!", но действия это не возымело(

По итогу 4 полностью зашифрованных компа, благо ни чего ценного не зашифровалось (AD и резервное копирование спасли ситуацию)

[deadbeef 114]

Только что, Aspectre сказал:

Зачем так категорично? Обычная тетечка, работает бухгалтером, берет ИП и ООО на обслуживание, работает из дома. У нее есть или сын или муж суперхакер, который вместе с танчиками и амиго поставит, а авастик и 360 тотал он ставит по совету такогож же танкиста. так и получается.

и где я тут неправ? это крайне необразованный пользователь, который понятия не имеет на какую жопу себя обрёк. если имеет понятие - умственно неполноценный.

[doczz 426]

3 минуты назад, DrPEST сказал:

Госпади сотонисты с Амиго и оутглюком...

Попадался на работе шифровальщик, пожрал ессесно доблестную и всезнающую бухгалтерию, писем с "выкупами" не получали, Каспер оторался, что "остановись безумная, не делай этого!!!!", но действия это не возымело(

По итогу 4 полностью зашифрованных компа, благо ни чего ценного не зашифровалось (AD и резервное копирование спасли ситуацию)

о, а как 4 компа-то получилось - они что - вирье прям по очереди запускали - типа "Марь Иванна, у меня тут счет пришел, чето не открывается, ну-ка у себя попробуйте!" ?

[DrPEST 580]

8 минут назад, doczz сказал:

о, а как 4 компа-то получилось - они что - вирье прям по очереди запускали - типа "Марь Иванна, у меня тут счет пришел, чето не открывается, ну-ка у себя попробуйте!" ?

да как как, на общий ящик упало письмо якобы от налоговой с какой-то отчетностью, ну далее по схеме как ты и отписал... Прочитать что адрес явно не из налоговой, а хз какой они не удосужились. Далее собсна картина ясна, пошифровал все до чего смог дотянуться

[Sana956 74]

Если информация действительно ценная, пробуйте связаться с поддержкой доктора веба, они глубоко копали этот вопрос и писали множество расшифровщиков, вероятно придется купить лицензию на их антивирус.  Если они не помогут, можете запить водой свою инфу.