Троян-шифровальщик VAULT! Кто слышал?)

[p4an7om 277]

а можешь сбросить мне сам скриптфайл это виря шифровального? посмотрю как каспер отреагирует

они заявляют, что мониторит такое

Уже сколько времени прошло, конечно уже научились)

 

Я на следующий день на облако его загруизл и по почте отправил люядм - всё ушло нормально, а ещё через день уже и почта и облако поругалось на вирус при попытке повторить тоже самое)))

[arcadiukupnik 91]

Один клиент поймал шифровальщика, обратился на докторвэб в техподдержку
Для оформления запроса нужно быть клиентом DrWeb Security Space и указать ключ.
Через неделю ему пришел дешифратор и ему все помогло.

Летом обратилась клиентка. Купили с ней лицензию. Накатал запрос в техподдержку.
На следеющий день ответили это самый сложный шифр и не вскрывается.
Стали писать злоумышленникам, они запросили перевести на Qivi кошелек 5 тысяч.
Клиентка решила обратиться к знакомому который сказал не надо платить я все сделаю.
Через неделю мне комп обратно отдали. Я запросил опять цену на расшифровку, там уже
8 запросили. Сошлись на 6 тысячах. Отвечали на письма нормально, своевременно.
Я им пересылаю ключ который написан в файле Readme и в ответ получаю дещифратор и пароль.
Ниже приложу к примеру ключ и пароль к нему, если кому надо могу и дешифратор выложить.
Все нормально расшифровали, клиент доволен восстановлению данных.

Обращался в интернете на разные сайты, предлогали 15 и 22. О одного спрашиваю, типа это вы тысячи за 2-3 купите
у злоумышленника дешифратор и за 15 мне продадите, говорит Нет, мы так не работаем. Уверен так все и происходит,
если доктор вэб не помог, а эти и тем более не смогут.

Самому пробовать нет смысла антивирусами гонять, ничего не поможет, есть конечно дешифровщики у каспера, но они такое
не помогут. Так что можете не пытаться лечить. Либо поспрашивать у знакомых ключ на лицензию
докторвэба секьюрити спэйс и попросить помочь. Лицензия эта активироваться не будет, это просто будет доказательством
что вы клиент докторавэба.



Это пароль на на дешифратор, только я написал ДЕСЯТУЮ часть всего пароля, чтобы много не захламлять форум.

Сам ключ по которому генерируют пароль- 81C45F48CF399542DF12|0

Сам пароль к этому ключу, текста на два А4 листа.
-----BEGIN PRIVATE KEY-----

MIIG/AIBADANBgkqhkiG9w0BAQEFAASCBuYwggbiAgEAAoIBgQC9AVZT5XKqzTMr
5gMH13mC60hYMcNYT2ZObxo38cqCmMaa+UZTqHQD89PKf2UqNbOehKQ4yxCUjJty
DquZeLAOtsfTNcgFP/0UQShRZvVM8LcuzGWFHMC5zKBu2msZXMo2a1bs/HKHMuxl
j9PkcV8G3AeQVBhENMi0LzyhtTqVV5nXAUqCcBGRp3ezPco5QGiqsjiArKq0zMIQ
t29IgBcu4kaA68qbJxBCC13OgB65dhkcm8mjnh417hWZbLmbUvQLEaPkGyxswPf3
es8tZ7LXZK0WzEH2/xFMhicY2UlN8BwWj/aC3gECH2bwOmAtR/yxyB/YY/ORXxjh81C45F48CF399542DF12|0

 

 

И опять же нужно бэкапить все фотки на двухслойные болванки или на облако, создавая несколько облаков и заливать.

Можно разметить жесткий диск, второй раздел сделать в линукс системе, не помню какой идет, и поставить прогу чтобы понимала под виндой линукс раздел, и тогда ничего не случится на линукс.

Либо пользоваться современными антивирусами. Я доверяю только платным Касперу и ДокторВэбу. 

Недавно принес клиент комп, стоял бесплатный аваст, начал сканировать Докторвэбом Cureit  и он нашел при рабочем со свежими базами Авасте 144 вируса, я конечно понимаю что он и подозрения тоже считает, но все равно.

 

Можно лицензию каспера купить на 2 ПК и поставить на 5-7 компов, проверенно 100%. 

[GrafKD 30]

Поймали вчера также по почте ))) каспер не среагировал

[arcadiukupnik 91]

Поймали вчера также по почте ))) каспер не среагировал

каспер же свежая версия  была, со свежей лицензией?

[GrafKD 30]

каспер же свежая версия  была, со свежей лицензией?

все как положено, ждем ответа от каспера

[arcadiukupnik 91]

все как положено, ждем ответа от каспера

хренова конечно, плохо что такие антивирусы пропускают

[p4an7om 277]

Антивирусы реагируют только через 2 суток на новые шифровальщики!

Я когда свой словил - отправлял ребятам оригинал трояна по почте - уходила норм, и на облако норм выкинул.

И только через 2 дня почта начала ругаться и облако, на то, что я пытаюсь отправить файл с трояном)

 

ладно, куплю лицензию др.вэб (А лучше попрошу у кого-нибудь рег.данные) и попробую обратиться ещё раз в тех. поддержку, а то прошлый ключ на бизнес версию закончился недели 2-3 назад, а продолжать работат ьс др.веэб нет никакого желания\

[arcadiukupnik 91]

Антивирусы реагируют только через 2 суток на новые шифровальщики!

Я когда свой словил - отправлял ребятам оригинал трояна по почте - уходила норм, и на облако норм выкинул.

И только через 2 дня почта начала ругаться и облако, на то, что я пытаюсь отправить файл с трояном)

 

ладно, куплю лицензию др.вэб (А лучше попрошу у кого-нибудь рег.данные) и попробую обратиться ещё раз в тех. поддержку, а то прошлый ключ на бизнес версию закончился недели 2-3 назад, а продолжать работат ьс др.веэб нет никакого желания\

 

Если платить не хочется  и данные особо не горят, тогда можно записать болванки на которые влазиет 9гб данных и отложить на полочку. Когда то же найдутся пути решения этих шифровальщиков или антивирусы будут более серьезны к этой проблемме.

[p4an7om 277]

Если платить не хочется  и данные особо не горят, тогда можно записать болванки на которые влазиет 9гб данных и отложить на полочку. Когда то же найдутся пути решения этих шифровальщиков или антивирусы будут более серьезны к этой проблемме.

Давно уже жёсткие диски с этих компьютеров лежат на полочке, а др.вэб просто не охота покупать (продлевать тем более корпоративную лицензию за 18 тысяч денег)

 

Да и забыл я уже если честно про этот шифровальщик, актуальность данных уже почти утеряна, так что в принципе уже пофиг почти стало. Я думаю на днях выпрошу у кого-нибудь ключик др.вэба и заморочусь, ради интереса, всё же с тех. поддержкой...

[Хахатушка 112]

а кто подскажет. зашифрует ваулт файлы на диске с файловой системой ext4 при монтированной под виндой в режиме чтения?

[Startwar 2 316]

а кто подскажет. зашифрует ваулт файлы на диске с файловой системой ext4 при монтированной под виндой в режиме чтения?

 

В режиме чтения 100% нет =)

[Хахатушка 112]

а в режиме чтения и записи?)

з.ы. в принципе перемонтировать не проблема. ставиться 1 галочка.

[Startwar 2 316]

а в режиме чтения и записи?)

з.ы. в принципе перемонтировать не проблема. ставиться 1 галочка.

 

Вирус на сколько я понял шифрует содержимое, ему пофигу на какой фс это делать, если есть разрешения на запись.

[Хахатушка 112]

Вирус на сколько я понял шифрует содержимое, ему пофигу на какой фс это делать, если есть разрешения на запись.

насколько я почитал. он создает шифрованный фаил, затем перемещает его в раздел с основным файлом, переименовывает в наименование файла (старый перезатирается), и затем переименовывается в фаил с расширением ваулт.

поигравшись с диском в ext4 примонтированном к винде. копировать можно. записывать считывать можно. переименовывать фаилы на самом разделе нельзя)

[Startwar 2 316]

поигравшись с диском в ext4 примонтированном к винде. копировать можно. записывать считывать можно. переименовывать фаилы на самом разделе нельзя)

 

Ну да, скорее всего с такими правами проблем не будет.

[mayka-net 1 001]

Ну вообще не большая цена за покупку опыта.

Если нет важных данных - то не страшно. Если есть, подцепил заразу и нет бекапа - то значит так они тебе нужны были.

У меня инфа на двух компах дублируется и плюс на внешник раз в месяц полный бекап ноута скидывается.

Может кто это назовет параноей: но когда для тебя компьютер рабочий инструмент и абсолютно вся на нем инфа важная, то норм).

 

Лучше я запущу бекап 1 раз в месяц и потрачу пару часов на это, чем потом буду волосы на опе рвать и думать, а что же делать?

 

И да, ни когда не открываю архивов, доков и остальной фигни что приходит по почте, с левых адресов. И если приходит от знакомых, но есть сомнения, то проверяю.

Подделать отправителя не так сложно...в теле письма уже надо смотреть, с какого реального адреса пришло.

[Startwar 2 316]

Ну вообще не большая цена за покупку опыта.

Если нет важных данных - то не страшно. Если есть, подцепил заразу и нет бекапа - то значит так они тебе нужны были.

У меня инфа на двух компах дублируется и плюс на внешник раз в месяц полный бекап ноута скидывается.

Может кто это назовет параноей: но когда для тебя компьютер рабочий инструмент и абсолютно вся на нем инфа важная, то норм).

 

Лучше я запущу бекап 1 раз в месяц и потрачу пару часов на это, чем потом буду волосы на опе рвать и думать, а что же делать?

 

И да, ни когда не открываю архивов, доков и остальной фигни что приходит по почте, с левых адресов. И если приходит от знакомых, но есть сомнения, то проверяю.

Подделать отправителя не так сложно...в теле письма уже надо смотреть, с какого реального адреса пришло.

 

У нас основные хранилища файлов сидят на nix серверах, с ежедневными слепками. Тоже спокоен. 

[Хахатушка 112]

я выстаиваю превентивную защиту для дома)

[p4an7om 277]

Ну теперь у меня Кобиан каждое утро с 3 до 5 часов - бэкапит, на отдельный комп с файерволом на рэйд-зеркало на чёрных WDшких, каждую база по отдельности и шару, я тоже спокоен)

[D56 85]

Так вариант защиты от шифровальщика для дома:

 

1. Создаете двух пользователей на компе с правами пользователя и администратора (с паролем)

2. Все документы на отдельный диск с правами только чтения на пользователя, и полный доступ для администратора

3. Работаете на компе под пользователем, а программы правой кнопкой мыши запускаете от администратора (в Win7 Shift+правый клик 'запустить от имени другого пользователя') и работаете с документами

[Хахатушка 112]

Так вариант защиты от шифровальщика для дома:

 

1. Создаете двух пользователей на компе с правами пользователя и администратора (с паролем)

2. Все документы на отдельный диск с правами только чтения на пользователя, и полный доступ для администратора

3. Работаете на компе под пользователем, а программы правой кнопкой мыши запускаете от администратора (в Win7 Shift+правый клик 'запустить от имени другого пользователя') и работаете с документами

мой вариант с другой файловой системой не канает?

[p4an7om 277]

Так вариант защиты от шифровальщика для дома:

 

1. Создаете двух пользователей на компе с правами пользователя и администратора (с паролем)

2. Все документы на отдельный диск с правами только чтения на пользователя, и полный доступ для администратора

3. Работаете на компе под пользователем, а программы правой кнопкой мыши запускаете от администратора (в Win7 Shift+правый клик 'запустить от имени другого пользователя') и работаете с документами

Ахахаха) Ещё забыл ты нанять охрану, чтобы они контролировали доступ к самому компьютеру, и покупку спец.софта, который будет записывать экран пользователя, делать скриншоты через вебку, кто в данный момент работает)

[D56 85]

мой вариант с другой файловой системой не канает?

любой вариант имеет право на жизнь, все дело в удобстве и простоте, каждый выбирает то что ему по-душе

 

P.S. самая лучшая защита - резервное копирование, резервных копий много не бывает

[D56 85]

Ахахаха) Ещё забыл ты нанять охрану, чтобы они контролировали доступ к самому компьютеру, и покупку спец.софта, который будет записывать экран пользователя, делать скриншоты через вебку, кто в данный момент работает)

Ничего смешного не вижу, работа всех под пользователем с правами админа, особенно в конторе, это сверх идиотизм.

Никому, ничего не навязываю. А обосрать можно все что угодно, было бы желание.

 

 

P.S. Уязвимость нулевого дня, кстати, никто не отменял.

[p4an7om 277]

Ничего смешного не вижу, работа всех под пользователем с правами админа, особенно в конторе, это сверх идиотизм.

Никому, ничего не навязываю. А обосрать можно все что угодно, было бы желание.

 

 

P.S. Уязвимость нулевого дня, кстати, никто не отменял.

Ты видимо не представляешь как работает этот ява скрипт, это раз, два - это кто же будет запускать программы под админом? юзверы?) Два - не рациональный расход времени...