Внимание вирус - Страница 2 - Цифровая печать как бизнес - форум и портал
Индустрия цифровой печати - отраслевой портал  

Вернуться   Цифровая печать как бизнес - форум и портал > Общение > Курилка > Мой комп

Реклама на форуме
  • Дополнительный доход для сервисного инженера. Узнать как…
Ответ
 
Опции темы
Старый 15.07.2014, 13:17   #1
Plasticcardman
Партнер
 
Регистрация: 10.05.2012
Адрес: www.nvtrd.ru
Сообщений: 2,772
Репутация: 128
Отправить сообщение для Plasticcardman с помощью ICQ Отправить сообщение для Plasticcardman с помощью Skype™
По умолчанию Внимание вирус

Коллеги, форумчане. Нужна помощь. Это же и предупреждение.

Пришло письмо от контрагента о грядущей у него налоговой проверке. Контрагент мне знаком, подозрения не вызывает. Текст письма


"C 24 июля в нашей компании будет проходить налог.проверка.
Копии отдельных док-в, которые относятся нашему сотрудничеству, были утеряны.
По возм., проверьте их наличие док-в по списку -- в приложении"

На беглый взгляд все понятно и ни каких подозрений. Открываю архив, антивирус успел ругнуться и кого-то заблокировать. В архиве файл типа текстового. Ну я продолжил работать, файл этот не открывал. Через минут 15 сам по себе открывается тхт файл с инструкциями:


Здравствуйте. Ваши файлы были ЗАБЛОКИРОВАНЫ при помощи алгоритма RSA-1024

1. Это инструкция, которая поможет понять и решить Вашу проблему

2. Для решения данной проблемы нужно объединить наши общие ресурсы:

Наши ресурсы:
- Только мы можем разблокировать файлы
- У нас есть гарантии того, что после оплаты будет передан Ваш уникальный ключ для разблокировки
- Мы можем минимизировать Ваши риски как до оплаты, так и после
- Мы можем предоставить те консультации, которые минимизируют подобные случаи в будущем

Ваши ресурсы:
- электронная валюта
- e-mail

3. У Вас есть два варианта:
а) Форматировать диски и вернуть 0% файлов - неразумно
б) Скоммуницировать с нами, договориться за разблокировку и вернуть все файлы обратно - вполне правильно
в) Почта paycrypt@gmail.com


Для системных администраторов:

1. Одной из гарантий того, что файлы могут быть дешифрованы, есть наличие дешифратора у Вас.
Поищите на компьютере архив DECODE.zip. Внутри дешифратор с открытым исходным кодом. Попробуйте запустите его.
Вам напишет, что ключ не найден. Вот он Вам и нужен - Приватный ключ (длина 1024 бита).

2. Ваш случай - ассиметричное шифрование RSA-1024, используется в военной сфере. Подобрать/взломать его невозможно.
При шифровании, в разные места компьютера был скопирован специальный ID-файл 'KEY.PRIVATE'. Не потеряйте его!
Для каждого компьютера ID-файл создается новый. Он уникальный и в нём содержится код на дешифровку. Он Вам и нужен.
"Временно заблокированы" означает, что файлы побайтово модифицированы публичным 1024 битным RSA ключем.

3. Итак, наши с Вами следующие действия:

3.1. С нами связь держать можно только по электронной почте paycrypt@gmail.com
3.2. В начале Вам необходимо получить гаранти того, что мы можем расшифровать файлы
3.2. Контактируете с нами. Структура Вашего e-mail письма:
- вложение Вашего ID-файла 'KEY.PRIVATE' (!!) - поищите его на компьютере, без него восстановление невозможно
- 1-2 зашифрованных файла для проверки возможности расшифровки
- приблизительное колл-во зашифрованных файлов / компьютеров
3.3. В течение 1-го часа Вы получите гарантию и стоимость на Ваш ключ
3.4. Далее производится оплата, минимальная стоимость от 150 евро.
3.5. Мы отправляем Вам ключ, Вы его кладете в одну папку с дешифратором (DECODE.exe)
3.6. При запуске дешифратора производится скрытая дешифровка данных. Процесс запускать более 1-го раза не стоит.
3.7. Процесс дешифрования может занимать до 12-ти часов в скрытом режиме. По окончании процесса компьютер перезагрузится.

Советы:

1) После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители.
2) В процессе дешифрования желательно не трогать компьютер, (!) ДВА раза запускать с ключем дешифратор не нужно.
3) Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте вирт.систему и там проведите дешифровку.
4) Если какие-то файлы не будут окончательно расшифрованы, мы дорасшифруем вручную (в архиве по почте)
5) Мы также, осознаем то, что Ваши файлы могут быть очень ценны для Вас, поэтому мы понимаем важность их восстановления.
6) В особых случаях, мы пойдем с Вами на компромисс.
7) Как защититься от этого: еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте Unix системы.
BLOCK DATE: 15.07.2014 / 09:46

Я ать в папки, а там пиз*ец полный. Все файлы с расширением paycrypt@gmail.com

Курю интернет в поисках лечения. Если кто сталкивался, помогите.
А так имейте в виду, что письмо от вашего контрагента (в том числе и меня полагаю) с темой налоговой проверки или просьбы внести изменения в реквизиты может быть заражено этим говном.
Plasticcardman вне форума   Ответить с цитированием
Старый 15.07.2014, 15:03   #21
Андрей Александрович
Местный
 
Аватар для Андрей Александрович
 
Регистрация: 06.08.2008
Адрес: Кубань - это южнее Саратова
Сообщений: 6,776
Репутация: 314
По умолчанию

Plasticcardman, каким антивирусом пользовались?
Андрей Александрович вне форума   Ответить с цитированием
Старый 15.07.2014, 15:08   #22
Александр В.
Местный
 
Аватар для Александр В.
 
Регистрация: 25.06.2008
Адрес: ХМАО
Сообщений: 3,086
Репутация: 287
По умолчанию

Plasticcardman, спасибо за предупреждение! Сейчас всех знакомых обзвонил, предупредил.
Александр В. вне форума   Ответить с цитированием
Старый 15.07.2014, 15:11   #23
Plasticcardman
Партнер
 
Регистрация: 10.05.2012
Адрес: www.nvtrd.ru
Сообщений: 2,772
Репутация: 128
Отправить сообщение для Plasticcardman с помощью ICQ Отправить сообщение для Plasticcardman с помощью Skype™
По умолчанию

Стоит аваст. платный. Я с ним уже много лет. Полет нормальный. В данный момент комп шерстят все антивирусы и утилиты сразу, но понимаю, что без толку, т.к. сам шифровальщик самоуничтожается после выполнения алгортима действий. Кто знает контакты mail.ru, google и avast? Поделитесь. Почта, телефон, все равно.
Plasticcardman вне форума   Ответить с цитированием
Старый 15.07.2014, 15:37   #24
Andruss
Местный
 
Регистрация: 14.02.2009
Адрес: Тула
Сообщений: 1,439
Репутация: 94
По умолчанию

Plasticcardman, без вариантов. Связывайтесь и договаривайтесь. Много не запросят.
Да! В дополнению к антивирусу совершенно необходимо иметь хороший файрвол.

у меня случилась подобная фигня, благо, не на рабочем комьютере: похерелась часть архива работ в pdf, ну и текстовые файлы... Злоумышленники запросили что-то вроде 500 рублей. Посчитал, что кормить ?????ов не буду, но, на форумах заплатившие писали, что файлы восстанавливали...

Последний раз редактировалось Andruss; 15.07.2014 в 15:44..
Andruss вне форума   Ответить с цитированием
Старый 15.07.2014, 15:58   #25
Plasticcardman
Партнер
 
Регистрация: 10.05.2012
Адрес: www.nvtrd.ru
Сообщений: 2,772
Репутация: 128
Отправить сообщение для Plasticcardman с помощью ICQ Отправить сообщение для Plasticcardman с помощью Skype™
По умолчанию

Я уже писал выше, этим пидорам 490эвро подавай через биткоины.
Plasticcardman вне форума   Ответить с цитированием
Старый 15.07.2014, 16:02   #26
White Wolf
Местный
 
Регистрация: 14.02.2013
Адрес: Ульяновск
Сообщений: 2,584
Репутация: 109
Отправить сообщение для White Wolf с помощью ICQ
По умолчанию

был подобный случай лет так 15 тому назад. Вирус так и назывался 4444.

Дело в том , что некоторые размеры файлов системой могут трактоваться не просто как размеры.

В случае с 4444, фишка была в том что если файлик весил меньше чем 4444 байта он забивался или 0 или просто мусором то значения 4444. Если файлик весил больше чем 4444 байта, то там (не помню точно) также на значениях 4444 чего то прописывалось.

PS Вот по этому я ненавижу всякие виндовозовские навороты, и очень даже не рвусь на новые ОС лсобенно типа 8. Индексация, превью и прочие предпросмотры содержимого без потребности их запуска наф не нужны, хотя конечно индексация и превью существенно ускоряет работу и запуск.
Сидел бы на линуксоидах, но, но, но...
White Wolf вне форума   Ответить с цитированием
Старый 15.07.2014, 16:08   #27
White Wolf
Местный
 
Регистрация: 14.02.2013
Адрес: Ульяновск
Сообщений: 2,584
Репутация: 109
Отправить сообщение для White Wolf с помощью ICQ
По умолчанию

Цитата:
Сообщение от Plasticcardman Посмотреть сообщение
Стоит аваст. платный. Я с ним уже много лет. Полет нормальный. В данный момент комп шерстят все антивирусы и утилиты сразу, но понимаю, что без толку, т.к. сам шифровальщик самоуничтожается после выполнения алгортима действий. Кто знает контакты mail.ru, google и avast? Поделитесь. Почта, телефон, все равно.
1. Аваст никогда не умел ловить что-то, даже за деньги.
2. Только один, пусть даже Аваст должен быть в системе.(В куче они будуд меряться пиписками, а не вирусы искать).
3. А Вы для корпаритива бесплатными почтовиками, да ещё и майл.РУ пользуетесь?

4. Винт снять, отдать в датарекавери контору(их всего то настоящих не больше десятка на всю страну, есть МСК и Питере). Они справятся, только рассказать им всё как есть, а как нам. Не дёшего, но Вам решать.

ЗЫ. Запишите ОБЯЗАТЕЛЬНО дату и время когда это началось и желательно когда получили, когда читали письмо. Только не вздумайте платить этим школьникам, не факт что они дадут какйто ключ и что это не повториться через месяц.

Последний раз редактировалось White Wolf; 15.07.2014 в 16:11..
White Wolf вне форума   Ответить с цитированием
Старый 15.07.2014, 16:26   #28
октябрята с струйником
Местный
 
Регистрация: 18.05.2013
Адрес: Москва
Сообщений: 386
Репутация: 18
По умолчанию

Вложение к письму с каким расширением - файл .exe ?
октябрята с струйником вне форума   Ответить с цитированием
Старый 15.07.2014, 16:40   #29
Pitlord
Местный
 
Аватар для Pitlord
 
Регистрация: 07.02.2011
Адрес: Московская область
Сообщений: 4,649
Репутация: 121
По умолчанию

Цитата:
Сообщение от октябрята с струйником Посмотреть сообщение
файл .exe ?
да похоже на то. Да ещё и аваст, эх..
Pitlord вне форума   Ответить с цитированием
Старый 15.07.2014, 16:42   #30
Andruss
Местный
 
Регистрация: 14.02.2009
Адрес: Тула
Сообщений: 1,439
Репутация: 94
По умолчанию

Цитата:
Сообщение от Plasticcardman Посмотреть сообщение
Я уже писал выше, этим пидорам 490эвро подавай через биткоины.
Ого! Аппетиты растут...
Цитата:
4. Винт снять, отдать в датарекавери контору(их всего то настоящих не больше десятка на всю страну, есть МСК и Питере). Они справятся, только рассказать им всё как есть, а как нам. Не дёшего, но Вам решать.
вот это правильно! И заявление куда следует не забудьте.
Andruss вне форума   Ответить с цитированием
Старый 15.07.2014, 16:44   #31
Pitlord
Местный
 
Аватар для Pitlord
 
Регистрация: 07.02.2011
Адрес: Московская область
Сообщений: 4,649
Репутация: 121
По умолчанию

Plasticcardman, В эсет отправил по вашей теме, посмотрим, что посоветуют
Pitlord вне форума   Ответить с цитированием
Старый 15.07.2014, 16:45   #32
voron_76
Местный
 
Аватар для voron_76
 
Регистрация: 29.10.2010
Адрес: Недоступно
Сообщений: 9,008
Репутация: 328
Отправить сообщение для voron_76 с помощью ICQ
По умолчанию

Цитата:
Сообщение от Andruss Посмотреть сообщение
Да! В дополнению к антивирусу совершенно необходимо иметь хороший файрвол.
И чем бы это помогло в данном случае? Это не сетевой червь, это троян в письме, файрвол такое не ловит.
voron_76 вне форума   Ответить с цитированием
Старый 15.07.2014, 16:46   #33
voron_76
Местный
 
Аватар для voron_76
 
Регистрация: 29.10.2010
Адрес: Недоступно
Сообщений: 9,008
Репутация: 328
Отправить сообщение для voron_76 с помощью ICQ
По умолчанию

Цитата:
Сообщение от Pitlord Посмотреть сообщение
Да ещё и аваст, эх..
Да какая разница, какой антивирус? Обходятся все без исключений.

P.S. Файл .zip, кстати. Тупые трояны с экзешником в аттаче встречаются всё реже. И уж они-то ловятся чем угодно.
voron_76 вне форума   Ответить с цитированием
Старый 15.07.2014, 16:47   #34
Andruss
Местный
 
Регистрация: 14.02.2009
Адрес: Тула
Сообщений: 1,439
Репутация: 94
По умолчанию

Цитата:
Сообщение от Pitlord Посмотреть сообщение
да похоже на то. Да ещё и аваст, эх..
у меня Авира стояла и тоже пшик. Антивирусы это ловить не будут. Правильный файрвол с контролем запускаемых программ - вот что могло бы отловить...
Andruss вне форума   Ответить с цитированием
Старый 15.07.2014, 16:52   #35
Andruss
Местный
 
Регистрация: 14.02.2009
Адрес: Тула
Сообщений: 1,439
Репутация: 94
По умолчанию

Цитата:
Сообщение от voron_76 Посмотреть сообщение
И чем бы это помогло в данном случае? Это не сетевой червь, это троян в письме, файрвол такое не ловит.
Стоял у меня Зоналярм полный. При попытке запустить какое-то приложение он интересовался, а, действительно ли я хочу его запустить? Там изначально был режим обучения, когда при малейшем движении процесс приостанавливался.
Andruss вне форума   Ответить с цитированием
Старый 15.07.2014, 16:53   #36
White Wolf
Местный
 
Регистрация: 14.02.2013
Адрес: Ульяновск
Сообщений: 2,584
Репутация: 109
Отправить сообщение для White Wolf с помощью ICQ
По умолчанию

Цитата:
Сообщение от voron_76 Посмотреть сообщение
Да какая разница, какой антивирус? Обходятся все без исключений.

P.S. Файл .zip, кстати. Тупые трояны с экзешником в аттаче встречаются всё реже. И уж они-то ловятся чем угодно.
Разница есть. А вот то что у многих по умолчанию стоит игнор архивов это кстати да. Нафиг смотреть во время установки и настройки, лучше потом выносить тому кто будет лечить, сказками типа ОНО САМО, НИВИНОВАТАЯ Я.
White Wolf вне форума   Ответить с цитированием
Старый 15.07.2014, 16:56   #37
Pitlord
Местный
 
Аватар для Pitlord
 
Регистрация: 07.02.2011
Адрес: Московская область
Сообщений: 4,649
Репутация: 121
По умолчанию

У нода, например есть модуль ThreatSense, который как раз такие процессы контролирует, а файрволл следит за сетевыми соединениями, защита сетей
Pitlord вне форума   Ответить с цитированием
Старый 15.07.2014, 16:59   #38
Pitlord
Местный
 
Аватар для Pitlord
 
Регистрация: 07.02.2011
Адрес: Московская область
Сообщений: 4,649
Репутация: 121
По умолчанию

а что за авира ещё какая-то? Тоже типа аваста? Чем вам не нравится касперский, например, или нод? Проверенные антивирусники, нет, нужны эксперименты.
Pitlord вне форума   Ответить с цитированием
Старый 15.07.2014, 17:01   #39
voron_76
Местный
 
Аватар для voron_76
 
Регистрация: 29.10.2010
Адрес: Недоступно
Сообщений: 9,008
Репутация: 328
Отправить сообщение для voron_76 с помощью ICQ
По умолчанию

Andruss, White Wolf, Pitlord, во всех антивирях есть дыры. И если кто-то хочет сделать по-настоящему успешную заразу, он тестирует её на всех популярных софтинах и ищет пути их обхода. И, как правило, находит. Так что любой антивирус - не панацея, скорее, наоборот: пользователь считает, что ему ничего не грозит, и начинает делать глупости.
Несколько лет назад на одном форуме была подобная атака: прошла массовая рассылка с архивом, в котором был троян, ворующий деньги с кошелька Вебмани. Прилетело крепко всем независимо от установленного антивируса. На момент атаки Вирустотал не детектировал эту заразу ни одним из 40 антивирусов.
voron_76 вне форума   Ответить с цитированием
Старый 15.07.2014, 17:01   #40
White Wolf
Местный
 
Регистрация: 14.02.2013
Адрес: Ульяновск
Сообщений: 2,584
Репутация: 109
Отправить сообщение для White Wolf с помощью ICQ
По умолчанию

Цитата:
Сообщение от Andruss Посмотреть сообщение
... Правильный файрвол с контролем запускаемых программ - вот что могло бы отловить...
Да это могло бы помочь, но нам же лень его обучать. оН же собака злая на каждый клик мышки пересправшивает ДА или НЕТ.

PS Авира Авире рознь. Стоит у меня Авира Про лицензия + фаер(не скажу какой, но дорогущий пипец, не для домашних компов). К тому же в моём королевстве есть компы с каспером и нодом. Авира про и нод видят всё на 98%(на 2% больше видит один проантивирь немецкий, то же как ЖД мост стоит собака).
White Wolf вне форума   Ответить с цитированием
Ответ

Опции темы

Быстрый переход

183 189 204 191 261 195 203 208 237 243 248 259 7 8 152 15 16 13 11 10 14 35 9 256 246 123 37 144 145 146 179 238 252 20 258 21 22 124 23 24 97 127 128 25 26 126 136 154 64 262 65 254 233 159 162 163 164 66 27 98 48 56 253 120 58 59 60 61 62 135 63 165 166 200 201 202 51 53 167 169 168 172 52 55 54 125 206 255 207 80 81 140 141 161 160 143 142 119 148 147 149 158 138 139 84 216 217 218 219 220 221 222 223 224 150 137


"Форум индустрии цифровой печати" 2008-2022

Все вопросы по сотрудничеству и рекламе:

Стоимость размещения рекламы на форуме

+7 (903) 182-62-25 ВНИМАНИЕ!!! этот номер только для рекламодателей!!!

Электропочта: info@trade-print.ru

Москва, Печатников пер.

Текущее время: 03:45. Часовой пояс GMT +4.

Яндекс.Метрика