p4an7om 277 Опубликовано: 26 октября, 2015 Сегодня в 10:01 произошло ЧП) Все файлы doc\xls\txt находящиеся в сетевой папке были зашифрованы. Пока почему-то только одна папка (включая все подпапки, кроме одной) пострадала. Файлы имеются приписку с расширению - .vault Принцип работы этого шифровальщика сложный, Погуглил, но инфы мало, буду пробовать искать удалённый файл ключа, который можно будет использовать для расшифровки, но надежды мало... пишу в поддержку др.вэба пока как-то так Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
NeonicK 426 Опубликовано: 26 октября, 2015 в каспер напиши еще. ну и в спортлото обязательно 3 1 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
kibenimatik 12 823 Опубликовано: 26 октября, 2015 Бекапы, ребята, бекапы, бекапы, бекапы. 4 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
JacksonEST 71 Опубликовано: 26 октября, 2015 Ловили на работе пару раз сотрудники. Шансов очень мало восстановить. Если найдешь ключ, считай повезло. Мы не восстановили, хотя особо и не пытались. 1 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
NeonicK 426 Опубликовано: 26 октября, 2015 Бекапы, ребята, бекапы, бекапы, бекапы. настройка безопасности!!! 1 1 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
kibenimatik 12 823 Опубликовано: 26 октября, 2015 настройка безопасности!!! И бекапы, бекапы, бекапы. 4 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
p4an7om 277 Опубликовано: 26 октября, 2015 Пришла эта гадость по почте, нашёл девочку, которая открыла файл .js замаскированный под .doc Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
p4an7om 277 Опубликовано: 26 октября, 2015 Сейчас главное найти файл ключа или понадеяться на dr.web, что они смогут подобрать ключ... сам вредоносный файл нашёл, могу поделиться, вдруг кому нужен)) Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
p4an7om 277 Опубликовано: 26 октября, 2015 Вот такой ответ пришёл от dr/web) Здравствуйте. К сожалению, в данном случае расшифровка не в наших силах. Собственно шифрование файлов выполнено общедоступным легитимным криптографическим ПО GPG (GnuPG) Криптосхема на базе RSA-1024. Подбор ключа расшифровки, к сожалению, невозможен. Восстановление данных - из резервных копий, если велось резервное копирование. Поскольку это RSA-1024, без содействия со стороны автора/хозяина троянца - вольного или невольного (арест соотв. людей правоохранительными органами) - расшифровка не представляется практически возможной. >подсказать как первым делом остановить распространение трояна этого. Заражен один из ПК, который имеет доступ к этой шаре. Первым делом выяснить какой именно (по наличию таких же зашифрованных файлов в локальных каталогах) и отключить от сети. Ну и закрыть сетевую шару на время, если там еще чего осталось незашифрованным. С уважением, Евгений Титов служба технической поддержки компании "Доктор Веб". Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
hlan 91 Опубликовано: 26 октября, 2015 Сейчас главное найти файл ключа или понадеяться на dr.web, что они смогут подобрать ключ... сам вредоносный файл нашёл, могу поделиться, вдруг кому нужен)) переименовать в "чит для копатель онлайн" и можно в сеть выкидывать) 3 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
p4an7om 277 Опубликовано: 26 октября, 2015 Последний ответ dr.web после того как я отправил им файл-шифровальщика) Да, это он - JS.DownLoader.526 С уважением, Евгений Титов служба технической поддержки компании "Доктор Веб". Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
p4an7om 277 Опубликовано: 26 октября, 2015 Локализовал 2 компьютера, на которых запускались исходники шифровальщика... Пока сижу курю, думаю что с ними делать) Вроде чуть расслабон, т.к. по сети сам шифровальщик вроде не умеет путешествовать! Так что можно теперь никуда не спешить, собраться с мыслями и поискать хорошо файл ключа на этих 2х компьютерах Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
drovik 7 378 Опубликовано: 26 октября, 2015 2 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
XRom 33 Опубликовано: 26 октября, 2015 Я так понимаю он переписывает файлы в свой формат, а нормальные затирает. Восстанавливал удаленные файлы rstudio: doc, xls, картинки помогла, по 1с базе не помогло (благо был её недавний бекап) Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Жуткий лентяй 2 726 Опубликовано: 26 октября, 2015 Да многие словили этот вирус за последний год в городе. Но ни одного положительного отзыва о успешном восстановлении файлов так и не услышал... Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
p4an7om 277 Опубликовано: 26 октября, 2015 Я так понимаю он переписывает файлы в свой формат, а нормальные затирает. Восстанавливал удаленные файлы rstudio: doc, xls, картинки помогла, по 1с базе не помогло (благо был её недавний бекап) Да, он создаёт копию файла, уже зашифрованную. А старый файл затирает, а не удаляет. Так что методом восстановления удалённых файлов здесь не пробиться... Всё что нашёл в сети - это найти созданный и удалённый шифровальщиком файл ключа, по которому он зашифровал и через 2 программы попытаться восстановить файлы. Но это 1 процент из миллиона) Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
XRom 33 Опубликовано: 26 октября, 2015 ... А старый файл затирает, а не удаляет... А в чем разница между ЗАТИРАНИЕМ и УДАЛЕНИЕМ файла? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
drovik 7 378 Опубликовано: 26 октября, 2015 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
XRom 33 Опубликовано: 26 октября, 2015 Удаление - запись в FAT. Затирание - перезаписывание секторов, в которых размещался файл. Причем, в случае с FAT (как там в NTFS, не знаю) просто затирался первый символ имени файла. т е затирая, теряешь файлик навсегда? Значит я с другой разновидностью сталкивался. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
TheMike 14 Опубликовано: 26 октября, 2015 В сентябре пользователь ловил похожий вирус-вымогатель: зашифрованы были все локальные документы пользователя по всему жесткому диску, расширение шифрованных файлов = .xtbl Сообщение у пользователя (файл README.txt лежал в корне всех жестких дисков): --------------------------------------- Ваши файлы были зашифрованы.Чтобы расшифровать их, Вам необходимо отправить код:76E011519F88F882213C|239|2|10на электронный адрес [email protected] или [email protected] .Далее вы получите все необходимые инструкции.Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.All the important files on your computer were encrypted.To decrypt the files you should send the following code:76E011519F88F882213C|239|2|10to e-mail address [email protected] or [email protected] .Then you will receive all necessary instructions.All the attempts of decryption by yourself will result only in irrevocable loss of your data. --------------------------------------- Через головную организацию обратился в ЛК, получил дешифровщик ShadeDecryptor, практически все восстановил. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
NeonicK 426 Опубликовано: 26 октября, 2015 Фантом, а в чем я не прав с грамотной настройкой безопасности? Если во время позаботится о ней, то вероятность возникновения таких случаев можно снизить к нулю. Или банально, "правда глаза режет"? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
yar1k 2 576 Опубликовано: 26 октября, 2015 Сегодня в 10:01 произошло ЧП) Все файлы doc\xls\txt находящиеся в сетевой папке были зашифрованы. Пока почему-то только одна папка (включая все подпапки, кроме одной) пострадала. Файлы имеются приписку с расширению - .vault Принцип работы этого шифровальщика сложный, Погуглил, но инфы мало, буду пробовать искать удалённый файл ключа, который можно будет использовать для расшифровки, но надежды мало... пишу в поддержку др.вэба пока как-то так На компьютере было какое-либо антивирусное ПО? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
drovik 7 378 Опубликовано: 26 октября, 2015 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
yar1k 2 576 Опубликовано: 26 октября, 2015 IMHO, правильно настроить безопасность не так уж и просто. Намного сложнее, чем КЭПить в теме, в которой спрашивается совет "что делать, когда уже", а не "что бы такого сделать, чтобы не случилось". Хотя бы поставить всем пользователям NoScript в браузер и объяснить его значение и работу с ним. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
drovik 7 378 Опубликовано: 26 октября, 2015 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах