Сцуки (вирусы) культурные.

lesnik178
20/01/2014 15:54
Знакомые водхватили вирусняк.
Все папки, доки и картинки зашифровались.

Просят денег. ДрВеб лапки поднял. Сказал что пока не может помочь.

От этих уродов пришла петиция
====

Мы сожалеем ,что таким нелицеприятным способом просим помощь ,но уверяем вас ,мы не желаем зла и все ваши файлы вернуться.Пожертвование можно произвести путём перечисления на Bitcoin (биткоин) кошелёк с WebMoney ,Yandex ,Qiwi и.т.д , через сайты обменивающие электронные деньги на Bitcoin (биткоин) ,допустим

http://obmenservice.com
МОМЕНТАЛЬНО ,но не всегда в наличии биткоин

https://payeer.com/exchange/
дорогой обменник

https://btc-e.com/
без посредников , но тяжелый интерфейс и вывод через 3 дня.

наш биткойн кошелёк 1BCM4jyVvVD8L97gUz6ypQNGZJYnPSnXbc

1)Например, регистрируете
https://money.yandex.ru/ через терминал пополняете счёт меняете на Bitcoin (биткоин) https://payeer.com/exchange/ и переводите нам 0.2 биткоина(автоматом оплачивая заявку https://payeer.com/exchange/ наш биткоин кошелёк 1BCM4jyVvVD8L97gUz6ypQNGZJYnPSnXbc

2)Если сложно , можно в ручном режиме здесь
http://obmenservice.com внизу справа чат с оператором.

3)После оплаты , отправьте письмо с текстом" оплата произведена" укажите номер нужного дешифратора.В ответном письме получите дешифратор ,код и инструкцию.Также ,вам будут даны рекомендации по безопасности от самих производителей этих опасностей,дабы ваши корабли впредь не садились на пиратскую мель.

P.S. пожалуйста не пишите "Оплата произведена" вхолостую, номер не пройдёт.
=====

Мелиор
20/01/2014 16:19
lesnik178, ну они же извинились!

KRAB
20/01/2014 16:46
Старый развод ...

Maksimov
20/01/2014 17:22
Вам сюда - ФСБ - Телефон доверия: (495) 224-2222 (круглосуточно)
http://www.fsb.ru/

Подробнее тут
http://hostinfo.ru/articles/100/

А вообще-то Акронис должен стоять. Он решает все проблемы - это ПАНАЦЕЯ.

А пока попробовать откат системы через F8
хотя такие зловреды хорошо пишут и они дорого стоят - это кассные программы сделаны классными программистами.

viktor_ramb
20/01/2014 18:40
lesnik178, как конкретный вариант снести всё нужное с диска С на отдельный носитель в безопасном режиме, форматнуть этот диск и поставить ОС заново, потом пройтись антивирем по остальным разделам харда тоже в безопасном режиме.

cybe
20/01/2014 18:53
шифровка организована текущей ОС, т.е. чтоб сохранить данные надо заходить с другой ОС. Если дисковое пространство организовано правильно: на С система, на D данные, то форматируем С и ставим новую ОС. А если всё на С, то заходим с другого диска с установленной ОС и сохраняем данные

Maksimov
20/01/2014 19:02
Думаю ничего не выйдет. Зловред гениально сделан.
Шифровка меняет код файла и он остаётся изменённым хоть что не делай не расшифровать.
Я как-то текстовый документ зашифровал и Виндовс поменял и всё - дудки - текстовый документ другой Виндовс не смог расшифровать.
Супер зловред. Тут только мошенников тюрьма исправит.
Звонить надо сюда - ФСБ - Телефон доверия: (495) 224-2222 (круглосуточно)

gonzo
20/01/2014 20:01
Шифровка производится по оригинальному алгоритму этих кулхацкеров, и ОСь тут не при чем. Без знания алгоритма хрен чего расшифруешь, на то и расчет. Для примера, попробуйте брутфорсом снять 8-значный пароль с архива RAR подмигивание Годы уйдут... А зная алгоритм шифрования, вопрос решается на раз.

cybe
20/01/2014 20:14
снимал я енту "шифровку" именно "своим алго", а то б просто так не написал голливудская улыбка

PS одно дело файл или папку шифрануть, а другое целые деревья...

Maksimov
20/01/2014 20:24
В тюрьму тварей уродливых - это преступники - наглые и безжалостные.
Звонить надо сюда - ФСБ - Телефон доверия: (495) 224-2222 (круглосуточно)

cybe
20/01/2014 20:30
Maksimov, причём тут твоё ФСБ? Этим по заяве в прокуратуру будет заниматься Отдел К из местного УВД, а там сам знаешь какие спецы бывают... Вот когда будет нанесён урон гос-ву, тогда и будет ФСБ

Lenchik
20/01/2014 23:25
gonzo писал:
Шифровка производится по оригинальному алгоритму этих кулхацкеров, и ОСь тут не при чем. Без знания алгоритма хрен чего расшифруешь, на то и расчет. Для примера, попробуйте брутфорсом снять 8-значный пароль с архива RAR подмигивание Годы уйдут... А зная алгоритм шифрования, вопрос решается на раз.


Вы конечно специалист уважаемый, но неужто вы верите что вирус зашифровал данные в файлах криптографическим ключом?

Это просто нереально. Для такой операции нужны часы времени, причем непрерывно будет стучать винт.

Имитация это. Или на уровне каталогов и доступа к файлам напартачено.

Проверить просто. Нужно одни или несколько якобы зашифрованных файлов скопировать на флешку и посмотреть на другом компьютере. Только флешку и файл надо открывать правой кнопкой мыши. Можно и с Live-CD стартануть (если получится). Если и тут не откроется, то нужно посмотреть права доступа.

gonzo
20/01/2014 23:50
Lenchik, если все так, как вы говорите, то это детский лепет, а не шифрование улыбка Я имел ввиду нечто подобное старому "onehalf", мерзость была редкая! бяка http://ru.wikipedia.org/wiki/OneHalf Много крови он попил в свое время злость А сейчас кулхацкеры еще хитрее стали.

Maksimov
21/01/2014 00:39
Или шифрование идёт самим Виндовсом из компа жертвы.
А Зловред (Не Вирус это вовсе) даёт команду - из загруженного Коммандного Файла com и Грозная вымогательная картинка выходит из Автозапуска.
Жертва не понимает что может расшифровать запросто и всё оптом и пугается от незнания процесса.
Психология на нашем тёмном неведении - однако. Ваще лихо закручено.
Сажать мошенников надо и на лесоповал.
Ведь СМС вымогателей больше нету - победили ублюдков Службы К.

Oлег
21/01/2014 04:25
Опять негр?
?
Сочувствую, файлы никак не вернуть, только платить этому уроду.
Я по работе сталкивался с ним. Оставил ему пожелания чтоб его поимели негром в анус, мучительной смерти итд...
Использует зарубежные хосты, сам троян цепляется с германией, а почта находится в США, даже домены одно время знал, вот только толку от этого нуль, писал уже про это где то недовольство, огорчение

Я писал:
Цитата:
Что с моими файлами? Как их вернуть?

Он пишет:
Цитата:
Здравствуйте, дорогие советские друзя! Для разблокировки и получения
дешифратора, Вам необходимо поехать волонтёром в Африку или пожертвовать
детям африки 0.4 биткоина при помощи электронного платежа по курсу
https://btc-e.com/
Так же для проверки,вы можете прислать нам зашифрованный файл, мы
дешифруем и вышлем ваш файл в исходном состоянии.

Я писал:
Цитата:
Друг мой, бедные детки.... Не дави на мозоль...
Я с удовольствием съезжу в Африку, у нас сейчас зима, а там лето и море, им помогу, сам отдохну.
Куда надо ехать, что брать с собой, они там вроде по английски говорят?

Потом от него сутки не было ответа, и я написал:
Код:
Здарова сволочь.
Лови свой файл и докажи что ты его вернешь в исходное состояние.

Он ответил моментально :
Цитата:
Здарова лопух. Вот твой файл.


Так что этот выродок с Росии, а поскольку он использует зарубежные хосты поймать его невозможно, по причине того что у нас нет международного обмена меж силовыми струкурами. А это уже упущение правительства. И куда с этим обращаться хрен знает.
Технически есть все, данные бы из-за бугра - сессию, айпи, МАС, и нашли бы в течении пары дней. Я бы даже приехал лично к нему и бил бы его рожей об ацфальт пока не сделал инвалидом.

WLADI+
21/01/2014 06:02
кто знает, есть толк в этой программе? Антивирусника не установлено на комп. Пользуюсь уже больше полугода

http://shot.qip.ru/00gZBr-5fTUvreYn/

Oлег
21/01/2014 08:59
Я поудалял это гавно везде в учреждении.

Maksimov
21/01/2014 11:01
Вот и выходит что кроме ФСБ никто не поможет. Надо им сказать что подонок может напасть и на компьютеры Гос Учреждений Городов и Регионов.
Тем более телефон как бы не официальный а доверительный.
Звонить надо сюда - ФСБ - Телефон доверия: (495) 224-2222 (круглосуточно)

lesnik178
21/01/2014 11:19
viktor_ramb писал:
lesnik178, как конкретный вариант снести всё нужное с диска С на отдельный носитель в безопасном режиме, форматнуть этот диск и поставить ОС заново, потом пройтись антивирем по остальным разделам харда тоже в безопасном режиме.


Так я бы так и сделал. Периодически все нужные данные сохраняю на внешний жесткий.

Вирусняк бухгалтерша поймала. На рабочий ком. Там ее документы за несколько лет. Она еще ко всему четыре фирмы параллельно ведет.
Плюс куча лицензионных программ (консультанты, 1С и т.д.)
И все в задницу улыбка . Она уже неделю в трауре.

Я ей пытался сказать что нужно жесткий снять а новый поставить. Вдруг потом получится восстановить. Так у нее чуть не истерика была

Nik_Al
21/01/2014 11:56
Maksimov писал:
Вот и выходит что кроме ФСБ никто не поможет. Надо им сказать что подонок может напасть и на компьютеры Гос Учреждений Городов и Регионов.
Тем более телефон как бы не официальный а доверительный.
Звонить надо сюда - ФСБ - Телефон доверия: (495) 224-2222 (круглосуточно)

Не надоело? голливудская улыбка

ДОБАВЛЕНО 21/01/2014 13:18

lesnik178 писал:

Вирусняк бухгалтерша поймала. На рабочий ком.

Куда же она лазила то в рабочее время? По каким сайтам шлялась?


Цитата:
Там ее документы за несколько лет. Она еще ко всему четыре фирмы параллельно ведет.
Плюс куча лицензионных программ (консультанты, 1С и т.д.)
И все в задницу улыбка . Она уже неделю в трауре.

Попробовать снять жесткий диск и на другом компьютере прогнать утилитой восстановления от Каскперского. Есть ещё довольно мощные программы обнаружения вирусов AVG и Comodo

Maksimov
21/01/2014 12:27
Nik_Al, Позвони инкогнито и узнай могут или не могут. Отпиши нам что ответили.

Не вирус это а зловредная программа их Антивирусы не видят.

lesnik178
21/01/2014 13:06
Nik_Al писал:
Куда же она лазила то в рабочее время? По каким сайтам шлялась?

Попробовать снять жесткий диск и на другом компьютере прогнать утилитой восстановления от Каскперского. Есть ещё довольно мощные программы обнаружения вирусов AVG и Comodo


Ну ктож из нас святой? улыбка
Да и не лазит она далеко. Поймать подобный трипер проще простого.
Антивирусники такое пока не ловят. И не видят.

Это как порнобанер только посерьезнее.

valeraaltai
21/01/2014 13:23
KRAB писал:
Старый развод ...

Всё верно , ни хрена не вернётся (файлы)
ну если только попробовать троекратно деньги отослать ..... бог любит троицу гы-гы

Nik_Al
21/01/2014 14:29
Maksimov писал:
Nik_Al, Позвони инкогнито и узнай могут или не могут. Отпиши нам что ответили.

Тебе уже сказали - ФСБ такой куйней не занимаются. У них стратегические интересы.


Цитата:
Не вирус это а зловредная программа их Антивирусы не видят.

Много знаешь... компьютерный гений смех
Все антивирусники заточены под потенциально опасное ПО.

ДОБАВЛЕНО 21/01/2014 15:43

Цитата:
[quote="lesnik178"]
Да и не лазит она далеко. Поймать подобный трипер проще простого.

И как это я за 14 лет сёрфинга по инету.. до сих пор ничего такого не поймал? смех
Резервировать надо особо ценные данные, регулярно по расписанию, акронисом.

Цитата:
Антивирусники такое пока не ловят. И не видят.

Да что ты говоришь..?
Почитай на досуге

Фокс
21/01/2014 18:02
пользуюсь маком, вирусы проходят мимо))) классно!

Slimm
21/01/2014 19:37
Oлег писал:
Опять негр?
?
Сочувствую, файлы никак не вернуть, только платить этому уроду.


Этот негр ?


Читать эту тему http://forum.drweb.com/index.php?showtopic=315142
Все что есть на сегодня

Oлег
21/01/2014 20:59
Slimm, да это он самый. Если необходимы файлы, то нужно только платить.
У меня на работе отдел кадров поймали, все докуменды за 6 лет работы в жопу. Антивирус нашел корни только через пару дней, и то я быстрее его обнарежил гле и что, злоумышоенник слетит за машиной жертвы, он сам и запускает команду на шифрование.
Слава мне за то что я периодически делаю бекапы баз. Сейчас зарекся бекапить и документацию, есть необходимое ПО, только расширение rar или zip меняем на uig или пофиг на какое, это не шифруется шифровальщиком.
Выродок, найти бы его...
Кто за то чтоб наити этого хакера?

Nik_Al
22/01/2014 13:44
Платить им НЕЛЬЗЯ, и даже бесполезно. Башляя.. вы поощряете их на дальнейшую гнусную деятельность, и финансируете новые разработки подобных вирусов. И где гарантия что получите свои файлы? Возможно это один такой "честный" попался...

Цитата:
все документы за 6 лет работы в жопу.

Представляю.. если бы тот крутой хацкер налоговую службу так хакнул... или Сбербанк смех Вмиг нашли бы и.. секс

Lenchik
22/01/2014 14:22
lesnik178, Если не трудно, перешли мне на почту маленький файл. Текстовый или еще какого известного формата. Интересно посмотреть что с ним.

Slimm
22/01/2014 17:41
Lenchik писал:
lesnik178, Если не трудно, перешли мне на почту маленький файл. Текстовый или еще какого известного формата. Интересно посмотреть что с ним.


Зашифрован он криптостойким алгоритмом . Шифруется в 10 потоков , за 10 минут весь диск , в теме , на которую я давал ссылку вообщем то все подробно расписано .
Вирус приходит в спам-письме , с заголовком например "Резюме" , "От Верховного суда" и прочее . Интересно , почему все считают что злоумышленник один , когда адреса каждый раз разные .

Lenchik
22/01/2014 18:11
Slimm, физически невозможно зашифровать большой объем информации за 10 минут. Информацию нужно считать, зашифровать и снова записать на диск. Для этого нужно очень большое время. Про 10 минут и весь диск это бред собачий. Можно конечно зашифровать только заголовки файлов, вот я и хотел посмотреть на файл после вируса.

К примеру у меня больше терабайта данных. Скорость чтения на внешних дорожках примерно 300 мегабайт в секунду, на внутренних и того меньше. И как же оно зашифрует за 10 минут?

valeraaltai
22/01/2014 18:49
Slimm писал:
10 минут весь диск ,
ого .... да этот вирус, компьютер превращает в супер компьютер, гы-гы надо выдвинуть его создателей на нобелевскую

Slimm
22/01/2014 19:50
Lenchik писал:
Slimm, физически невозможно зашифровать большой объем информации за 10 минут. Информацию нужно считать, зашифровать и снова записать на диск. Для этого нужно очень большое время. Про 10 минут и весь диск это бред собачий. Можно конечно зашифровать только заголовки файлов, вот я и хотел посмотреть на файл после вируса.


Ну я так понял шифруется какая то часть
http://virusinfo.info/showthread.php?t=143554
Вот здесь можно скачать дешифровщики не покупая лицензии Веба (а вдруг поможет)
http://nash-forum.itaec.ru/showthread.php?t=21519
Впринципе по последней ссылке все можешь скачать и шифрованные и нешифрованные файлы

Фокс
24/01/2014 08:22
да ничего там не шифруется, просто доступ закрыт и всё.
вечером если не забуду, выложу мыло чела, который (если он еще живой) восстановит вам всё.
а так попробуйте хоть как-то запустьт этот антивирь

http://www.malwarebytes.org

ДОБАВЛЕНО 24/01/2014 08:28

([email protected])
Его вроде Дима зовут, очень классный специалист, может ответить в течении 2-х недель, может в отпуске или еще что, он мне не раз помогал с вирусней.
напиши ему, опиши ситуацию, вроде должен помочь.

lesnik178
24/01/2014 09:24
Вот такая вот хрень с обычным доковским документом.

RZ6ANH
24/01/2014 13:28
Автор не паникуй,а просто подожди некоторое время.Обычно такие "вирусы" самоликвидируются.

Joiner
24/01/2014 14:22
недовольство, огорчение

Oлег
24/01/2014 16:40
Вирус то найти и устранить не проблема. А вот последствия исправить...
Документы вернуть практически невозможно, или только платить, но не факт что будет деширатор.

Фокс
24/01/2014 17:05
какие последствия? это чушь на лоха рассчитана.
ты еще поверь, что комп загорится... смех

Nabi
24/01/2014 17:10
lesnik178 писал:
Вот такая вот хрень с обычным доковским документом.

С вирусом? Скачивать или нет?

Lenchik
24/01/2014 18:06
Это не очень похоже на DOC, даже на закодированный. В конце вообще какой то блок HEX. Полностью закодированный документ все равно останется документом или будет выглядеть как бессмысленный набор бит. Ту же какими то кусками.

Может при копировании открывается и копируется совсем не то что должно.

Oлег
24/01/2014 19:22
Фокс писал:
какие последствия? это чушь на лоха рассчитана.
ты еще поверь, что комп загорится... смех

Последствия есть. Потеря всех doc, jpg и прогих других расширений.
МОжно спасти файлы только если заметить шифрование, загрузиться с lite cd и обезвредить вирус.
А алгоритм шифрования там пипец. Херит как на начало с концом, так и куски файла. В выложенном выше файле есть ключ, прикрепил его ниже, но понять его может только дешифратор.

Nabi
25/01/2014 09:46
Oлег, и твой файл с вирусами?

Oлег
25/01/2014 11:44
Nabi, вируса нету ни в одном из файлов.
У меня в файле цифровой ключ от предыдущего зашифрованного.

Borek
26/01/2014 13:21
Первый буткит для Android заразил 350 000 мобильных устройств

24 января 2014 года
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает пользователей ОС Android о появлении опасного троянца, который располагается во встроенной flash-памяти инфицированных мобильных устройств и функционирует как буткит, запускаясь на ранней стадии загрузки операционной системы. Это позволяет ему минимизировать возможность своего удаления без вмешательства в структуру файловой системы Android-устройств. В настоящее время данная вредоносная программа активна на более чем 350 000 мобильных устройств, принадлежащих пользователям из разных стран,
Подробнее здесь:
http://news.drweb.com/?i=4206&c=9&lng=ru&p=0

Joiner
04/02/2014 09:56
Nabi писал:
lesnik178 писал:
Вот такая вот хрень с обычным доковским документом.

С вирусом? Скачивать или нет?
Откуда там вирус? смех
Это образчик последствий бездумного посещения сайтов с различными заманухами, а также поразительного любопытства при просмотре почты смех
Oлег писал:
Вирус то найти и устранить не проблема. А вот последствия исправить...
Документы вернуть практически невозможно, или только платить, но не факт что будет деширатор.
Slimm дал ссылу http://nash-forum.itaec.ru/showthread.php?t=21519 и там есть один коммент
Alexei писал - Пройдитесь по тому с битыми файлами утилитой восстановления. Мне помог EasyRecovery.
Червь, как я понял, сначала создает зашифрованную копию файла, а потом убивает исходник. Посекторным сканированием удалась восстановить эти самые удаленные оригиналы.

Думаю, резон есть, если уже нет надежды голливудская улыбка
Ну что-ж, срочно обновляем вирусные базы, т.к. пьянка с этим вирусом давно началась и забиваем на почту или сносим всё ненужное без вскрытия. подмигивание
ЗЫ - все везде пишут - хелп, словил, подхватил, подцепил...
И хоть бы одна ... написала - где именно, когда и как

lesnik178
04/02/2014 11:10
Joiner писал:
Это образчик последствий бездумного посещения сайтов с различными заманухами, а также поразительного любопытства при просмотре почты смех

Ктож спорит. Вот и ведутся как корюшка на презерватив (цветной) смех

Oлег
04/02/2014 14:11
Joiner писал:
Пройдитесь по тому с битыми файлами утилитой восстановления. Мне помог EasyRecovery.
Червь, как я понял, сначала создает зашифрованную копию файла, а потом убивает исходник.

Не в данном случае, я пробовал через ZAR.

Joiner
04/02/2014 15:59
Oлег писал:
...Не в данном случае, я пробовал через ZAR.

И как? голливудская улыбка

Oлег
04/02/2014 21:42
Кое что поднял, но только старые данные, массового удаления там не было.

ДОБАВЛЕНО 05/02/2014 00:43

Либо тут же перезатирались сектора.

liveinternet.ru RadioTOP Rambler's Top100 –ейтинг@Mail.ru