Сцуки (вирусы) культурные. | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| lesnik178 20/01/2014 15:54 |
Знакомые водхватили вирусняк.
Все папки, доки и картинки зашифровались. Просят денег. ДрВеб лапки поднял. Сказал что пока не может помочь. От этих уродов пришла петиция ==== Мы сожалеем ,что таким нелицеприятным способом просим помощь ,но уверяем вас ,мы не желаем зла и все ваши файлы вернуться.Пожертвование можно произвести путём перечисления на Bitcoin (биткоин) кошелёк с WebMoney ,Yandex ,Qiwi и.т.д , через сайты обменивающие электронные деньги на Bitcoin (биткоин) ,допустим http://obmenservice.com МОМЕНТАЛЬНО ,но не всегда в наличии биткоин https://payeer.com/exchange/ дорогой обменник https://btc-e.com/ без посредников , но тяжелый интерфейс и вывод через 3 дня. наш биткойн кошелёк 1BCM4jyVvVD8L97gUz6ypQNGZJYnPSnXbc 1)Например, регистрируете https://money.yandex.ru/ через терминал пополняете счёт меняете на Bitcoin (биткоин) https://payeer.com/exchange/ и переводите нам 0.2 биткоина(автоматом оплачивая заявку https://payeer.com/exchange/ наш биткоин кошелёк 1BCM4jyVvVD8L97gUz6ypQNGZJYnPSnXbc 2)Если сложно , можно в ручном режиме здесь http://obmenservice.com внизу справа чат с оператором. 3)После оплаты , отправьте письмо с текстом" оплата произведена" укажите номер нужного дешифратора.В ответном письме получите дешифратор ,код и инструкцию.Также ,вам будут даны рекомендации по безопасности от самих производителей этих опасностей,дабы ваши корабли впредь не садились на пиратскую мель. P.S. пожалуйста не пишите "Оплата произведена" вхолостую, номер не пройдёт. ===== |
||||||||||
| Мелиор 20/01/2014 16:19 |
lesnik178, ну они же извинились! |
||||||||||
| KRAB 20/01/2014 16:46 |
Старый развод ... |
||||||||||
| Maksimov 20/01/2014 17:22 |
Вам сюда - ФСБ - Телефон доверия: (495) 224-2222 (круглосуточно)
http://www.fsb.ru/ Подробнее тут http://hostinfo.ru/articles/100/ А вообще-то Акронис должен стоять. Он решает все проблемы - это ПАНАЦЕЯ. А пока попробовать откат системы через F8 хотя такие зловреды хорошо пишут и они дорого стоят - это кассные программы сделаны классными программистами. |
||||||||||
| viktor_ramb 20/01/2014 18:40 |
lesnik178, как конкретный вариант снести всё нужное с диска С на отдельный носитель в безопасном режиме, форматнуть этот диск и поставить ОС заново, потом пройтись антивирем по остальным разделам харда тоже в безопасном режиме. |
||||||||||
| cybe 20/01/2014 18:53 |
шифровка организована текущей ОС, т.е. чтоб сохранить данные надо заходить с другой ОС. Если дисковое пространство организовано правильно: на С система, на D данные, то форматируем С и ставим новую ОС. А если всё на С, то заходим с другого диска с установленной ОС и сохраняем данные |
||||||||||
| Maksimov 20/01/2014 19:02 |
Думаю ничего не выйдет. Зловред гениально сделан.
Шифровка меняет код файла и он остаётся изменённым хоть что не делай не расшифровать. Я как-то текстовый документ зашифровал и Виндовс поменял и всё - дудки - текстовый документ другой Виндовс не смог расшифровать. Супер зловред. Тут только мошенников тюрьма исправит. Звонить надо сюда - ФСБ - Телефон доверия: (495) 224-2222 (круглосуточно) |
||||||||||
| gonzo 20/01/2014 20:01 |
Шифровка производится по оригинальному алгоритму этих кулхацкеров, и ОСь тут не при чем. Без знания алгоритма хрен чего расшифруешь, на то и расчет. Для примера, попробуйте брутфорсом снять 8-значный пароль с архива RAR  Годы уйдут... А зная алгоритм шифрования, вопрос решается на раз. |
||||||||||
| cybe 20/01/2014 20:14 |
снимал я енту "шифровку" именно "своим алго", а то б просто так не написал 
PS одно дело файл или папку шифрануть, а другое целые деревья... |
||||||||||
| Maksimov 20/01/2014 20:24 |
В тюрьму тварей уродливых - это преступники - наглые и безжалостные.
Звонить надо сюда - ФСБ - Телефон доверия: (495) 224-2222 (круглосуточно) |
||||||||||
| cybe 20/01/2014 20:30 |
Maksimov, причём тут твоё ФСБ? Этим по заяве в прокуратуру будет заниматься Отдел К из местного УВД, а там сам знаешь какие спецы бывают... Вот когда будет нанесён урон гос-ву, тогда и будет ФСБ |
||||||||||
| Lenchik 20/01/2014 23:25 |
Вы конечно специалист уважаемый, но неужто вы верите что вирус зашифровал данные в файлах криптографическим ключом? Это просто нереально. Для такой операции нужны часы времени, причем непрерывно будет стучать винт. Имитация это. Или на уровне каталогов и доступа к файлам напартачено. Проверить просто. Нужно одни или несколько якобы зашифрованных файлов скопировать на флешку и посмотреть на другом компьютере. Только флешку и файл надо открывать правой кнопкой мыши. Можно и с Live-CD стартануть (если получится). Если и тут не откроется, то нужно посмотреть права доступа. |
||||||||||
| gonzo 20/01/2014 23:50 |
Lenchik, если все так, как вы говорите, то это детский лепет, а не шифрование  Я имел ввиду нечто подобное старому "onehalf", мерзость была редкая!  http://ru.wikipedia.org/wiki/OneHalf Много крови он попил в свое время  А сейчас кулхацкеры еще хитрее стали. |
||||||||||
| Maksimov 21/01/2014 00:39 |
Или шифрование идёт самим Виндовсом из компа жертвы.
А Зловред (Не Вирус это вовсе) даёт команду - из загруженного Коммандного Файла com и Грозная вымогательная картинка выходит из Автозапуска. Жертва не понимает что может расшифровать запросто и всё оптом и пугается от незнания процесса. Психология на нашем тёмном неведении - однако. Ваще лихо закручено. Сажать мошенников надо и на лесоповал. Ведь СМС вымогателей больше нету - победили ублюдков Службы К. |
||||||||||
| Oлег 21/01/2014 04:25 |
Опять негр?
? Сочувствую, файлы никак не вернуть, только платить этому уроду. Я по работе сталкивался с ним. Оставил ему пожелания чтоб его поимели негром в анус, мучительной смерти итд... Использует зарубежные хосты, сам троян цепляется с германией, а почта находится в США, даже домены одно время знал, вот только толку от этого нуль, писал уже про это где то 
Я писал:
Он пишет:
Я писал:
Потом от него сутки не было ответа, и я написал:
Он ответил моментально :
Так что этот выродок с Росии, а поскольку он использует зарубежные хосты поймать его невозможно, по причине того что у нас нет международного обмена меж силовыми струкурами. А это уже упущение правительства. И куда с этим обращаться хрен знает. Технически есть все, данные бы из-за бугра - сессию, айпи, МАС, и нашли бы в течении пары дней. Я бы даже приехал лично к нему и бил бы его рожей об ацфальт пока не сделал инвалидом. |
||||||||||
| WLADI+ 21/01/2014 06:02 |
кто знает, есть толк в этой программе? Антивирусника не установлено на комп. Пользуюсь уже больше полугода
http://shot.qip.ru/00gZBr-5fTUvreYn/ |
||||||||||
| Oлег 21/01/2014 08:59 |
Я поудалял это гавно везде в учреждении. |
||||||||||
| Maksimov 21/01/2014 11:01 |
Вот и выходит что кроме ФСБ никто не поможет. Надо им сказать что подонок может напасть и на компьютеры Гос Учреждений Городов и Регионов.
Тем более телефон как бы не официальный а доверительный. Звонить надо сюда - ФСБ - Телефон доверия: (495) 224-2222 (круглосуточно) |
||||||||||
| lesnik178 21/01/2014 11:19 |
Так я бы так и сделал. Периодически все нужные данные сохраняю на внешний жесткий. Вирусняк бухгалтерша поймала. На рабочий ком. Там ее документы за несколько лет. Она еще ко всему четыре фирмы параллельно ведет. Плюс куча лицензионных программ (консультанты, 1С и т.д.) И все в задницу . Она уже неделю в трауре.
Я ей пытался сказать что нужно жесткий снять а новый поставить. Вдруг потом получится восстановить. Так у нее чуть не истерика была |
||||||||||
| Nik_Al 21/01/2014 11:56 |
Не надоело?
ДОБАВЛЕНО 21/01/2014 13:18
Куда же она лазила то в рабочее время? По каким сайтам шлялась?
Попробовать снять жесткий диск и на другом компьютере прогнать утилитой восстановления от Каскперского. Есть ещё довольно мощные программы обнаружения вирусов AVG и Comodo |
||||||||||
| Maksimov 21/01/2014 12:27 |
Nik_Al, Позвони инкогнито и узнай могут или не могут. Отпиши нам что ответили.
Не вирус это а зловредная программа их Антивирусы не видят. |
||||||||||
| lesnik178 21/01/2014 13:06 |
Ну ктож из нас святой?
Да и не лазит она далеко. Поймать подобный трипер проще простого. Антивирусники такое пока не ловят. И не видят. Это как порнобанер только посерьезнее. |
||||||||||
| valeraaltai 21/01/2014 13:23 |
Всё верно , ни хрена не вернётся (файлы) ну если только попробовать троекратно деньги отослать ..... бог любит троицу  |
||||||||||
| Nik_Al 21/01/2014 14:29 |
Тебе уже сказали - ФСБ такой куйней не занимаются. У них стратегические интересы.
Много знаешь... компьютерный гений 
Все антивирусники заточены под потенциально опасное ПО. ДОБАВЛЕНО 21/01/2014 15:43
И как это я за 14 лет сёрфинга по инету.. до сих пор ничего такого не поймал?
Резервировать надо особо ценные данные, регулярно по расписанию, акронисом.
Да что ты говоришь..? Почитай на досуге |
||||||||||
| Фокс 21/01/2014 18:02 |
пользуюсь маком, вирусы проходят мимо)))  |
||||||||||
| Slimm 21/01/2014 19:37 |
Этот негр ? Читать эту тему http://forum.drweb.com/index.php?showtopic=315142 Все что есть на сегодня |
||||||||||
| Oлег 21/01/2014 20:59 |
Slimm, да это он самый. Если необходимы файлы, то нужно только платить.
У меня на работе отдел кадров поймали, все докуменды за 6 лет работы в жопу. Антивирус нашел корни только через пару дней, и то я быстрее его обнарежил гле и что, злоумышоенник слетит за машиной жертвы, он сам и запускает команду на шифрование. Слава мне за то что я периодически делаю бекапы баз. Сейчас зарекся бекапить и документацию, есть необходимое ПО, только расширение rar или zip меняем на uig или пофиг на какое, это не шифруется шифровальщиком. Выродок, найти бы его... Кто за то чтоб наити этого хакера? |
||||||||||
| Nik_Al 22/01/2014 13:44 |
Платить им НЕЛЬЗЯ, и даже бесполезно. Башляя.. вы поощряете их на дальнейшую гнусную деятельность, и финансируете новые разработки подобных вирусов. И где гарантия что получите свои файлы? Возможно это один такой "честный" попался...
Представляю.. если бы тот крутой хацкер налоговую службу так хакнул... или Сбербанк Вмиг нашли бы и..  |
||||||||||
| Lenchik 22/01/2014 14:22 |
lesnik178, Если не трудно, перешли мне на почту маленький файл. Текстовый или еще какого известного формата. Интересно посмотреть что с ним. |
||||||||||
| Slimm 22/01/2014 17:41 |
Зашифрован он криптостойким алгоритмом . Шифруется в 10 потоков , за 10 минут весь диск , в теме , на которую я давал ссылку вообщем то все подробно расписано . Вирус приходит в спам-письме , с заголовком например "Резюме" , "От Верховного суда" и прочее . Интересно , почему все считают что злоумышленник один , когда адреса каждый раз разные . |
||||||||||
| Lenchik 22/01/2014 18:11 |
Slimm, физически невозможно зашифровать большой объем информации за 10 минут. Информацию нужно считать, зашифровать и снова записать на диск. Для этого нужно очень большое время. Про 10 минут и весь диск это бред собачий. Можно конечно зашифровать только заголовки файлов, вот я и хотел посмотреть на файл после вируса.
К примеру у меня больше терабайта данных. Скорость чтения на внешних дорожках примерно 300 мегабайт в секунду, на внутренних и того меньше. И как же оно зашифрует за 10 минут? |
||||||||||
| valeraaltai 22/01/2014 18:49 |
надо выдвинуть его создателей на нобелевскую |
||||||||||
| Slimm 22/01/2014 19:50 |
Ну я так понял шифруется какая то часть http://virusinfo.info/showthread.php?t=143554 Вот здесь можно скачать дешифровщики не покупая лицензии Веба (а вдруг поможет) http://nash-forum.itaec.ru/showthread.php?t=21519 Впринципе по последней ссылке все можешь скачать и шифрованные и нешифрованные файлы |
||||||||||
| Фокс 24/01/2014 08:22 |
да ничего там не шифруется, просто доступ закрыт и всё.
вечером если не забуду, выложу мыло чела, который (если он еще живой) восстановит вам всё. а так попробуйте хоть как-то запустьт этот антивирь http://www.malwarebytes.org ДОБАВЛЕНО 24/01/2014 08:28 ([email protected]) Его вроде Дима зовут, очень классный специалист, может ответить в течении 2-х недель, может в отпуске или еще что, он мне не раз помогал с вирусней. напиши ему, опиши ситуацию, вроде должен помочь. |
||||||||||
| lesnik178 24/01/2014 09:24 |
Вот такая вот хрень с обычным доковским документом. |
||||||||||
| RZ6ANH 24/01/2014 13:28 |
Автор не паникуй,а просто подожди некоторое время.Обычно такие "вирусы" самоликвидируются. |
||||||||||
| Joiner 24/01/2014 14:22 |
|
||||||||||
| Oлег 24/01/2014 16:40 |
Вирус то найти и устранить не проблема. А вот последствия исправить...
Документы вернуть практически невозможно, или только платить, но не факт что будет деширатор. |
||||||||||
| Фокс 24/01/2014 17:05 |
какие последствия? это чушь на лоха рассчитана.
ты еще поверь, что комп загорится... |
||||||||||
| Nabi 24/01/2014 17:10 |
С вирусом? Скачивать или нет? |
||||||||||
| Lenchik 24/01/2014 18:06 |
Это не очень похоже на DOC, даже на закодированный. В конце вообще какой то блок HEX. Полностью закодированный документ все равно останется документом или будет выглядеть как бессмысленный набор бит. Ту же какими то кусками.
Может при копировании открывается и копируется совсем не то что должно. |
||||||||||
| Oлег 24/01/2014 19:22 |
Последствия есть. Потеря всех doc, jpg и прогих других расширений. МОжно спасти файлы только если заметить шифрование, загрузиться с lite cd и обезвредить вирус. А алгоритм шифрования там пипец. Херит как на начало с концом, так и куски файла. В выложенном выше файле есть ключ, прикрепил его ниже, но понять его может только дешифратор. |
||||||||||
| Nabi 25/01/2014 09:46 |
Oлег, и твой файл с вирусами? |
||||||||||
| Oлег 25/01/2014 11:44 |
Nabi, вируса нету ни в одном из файлов.
У меня в файле цифровой ключ от предыдущего зашифрованного. |
||||||||||
| Borek 26/01/2014 13:21 |
Первый буткит для Android заразил 350 000 мобильных устройств
24 января 2014 года Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает пользователей ОС Android о появлении опасного троянца, который располагается во встроенной flash-памяти инфицированных мобильных устройств и функционирует как буткит, запускаясь на ранней стадии загрузки операционной системы. Это позволяет ему минимизировать возможность своего удаления без вмешательства в структуру файловой системы Android-устройств. В настоящее время данная вредоносная программа активна на более чем 350 000 мобильных устройств, принадлежащих пользователям из разных стран, Подробнее здесь: http://news.drweb.com/?i=4206&c=9&lng=ru&p=0 |
||||||||||
| Joiner 04/02/2014 09:56 |
Это образчик последствий бездумного посещения сайтов с различными заманухами, а также поразительного любопытства при просмотре почты
Alexei писал - Пройдитесь по тому с битыми файлами утилитой восстановления. Мне помог EasyRecovery. Червь, как я понял, сначала создает зашифрованную копию файла, а потом убивает исходник. Посекторным сканированием удалась восстановить эти самые удаленные оригиналы. Думаю, резон есть, если уже нет надежды
Ну что-ж, срочно обновляем вирусные базы, т.к. пьянка с этим вирусом давно началась и забиваем на почту или сносим всё ненужное без вскрытия.
ЗЫ - все везде пишут - хелп, словил, подхватил, подцепил... И хоть бы одна ... написала - где именно, когда и как  |
||||||||||
| lesnik178 04/02/2014 11:10 |
Ктож спорит. Вот и ведутся как корюшка на презерватив (цветной) |
||||||||||
| Oлег 04/02/2014 14:11 |
Не в данном случае, я пробовал через ZAR. |
||||||||||
| Joiner 04/02/2014 15:59 |
И как? |
||||||||||
| Oлег 04/02/2014 21:42 |
Кое что поднял, но только старые данные, массового удаления там не было.
ДОБАВЛЕНО 05/02/2014 00:43 Либо тут же перезатирались сектора. |
||||||||||
