Тема закрытаТакая история. Знакомый словил на свой комп этот ваулт из письма "Акт сверки". Сегодня привёз ко мне. Я с шифровальщиками не сталкивался. Загрузился по простому с ЛивСД, удалил окончания у группы пострадавших файлов. Решил просмотреть, не читаются. Поискал в сети, увидел рекомендацию не менять расширение. Решил восстановить окончание, сбился на одном из экселевских файлов, что-то дописал, стёр и случайно всё отменил. Мало того, умудрился щёлкнуть мышкой и, - вот странно, - файл открылся. Теперь чешу репу. Возможно, этот файл изначально не попался на глаза шифратору, а я потом не заметил, что он целый. Но какова вероятность, что 20 файлов в папке зашифровало, а один остался, да ещё я не заметил этого, когда удалял окончания...
Какова вероятность, что случайный набор действий с именем файла отменил шифрование?
Шифровальщик .vault
#441
-
- Posters
- 8 Сообщений:
Newbie
Отправлено 26 Март 2015 - 18:36
#442
-
- Posters
- 8 Сообщений:
Newbie
Отправлено 26 Март 2015 - 18:40
И ещё вопрос, если можно, представителю администрации. Если сейчас купить условленный продукт, как лучше поступить, чтобы воспользоваться бесплатной дешифровкой? Установить на комп (диск разделён) дополнительную Винду и уже с неё восстанавливать файлы? Или продолжать всё с пострадавшей системы?
#443
-
- Posters
- 27 Сообщений:
Newbie
Отправлено 26 Март 2015 - 19:12
Защититься от этой напасти брадмауэр не помогает?
#444
-
- Moderators
- 13 070 Сообщений:
Keep yourself alive
Отправлено 26 Март 2015 - 19:16
tit, от запуска человеком? Нет 
#445
-
- Posters
- 27 Сообщений:
Newbie
Отправлено 26 Март 2015 - 19:21
я так понял что при запуске скачивается сам шифровальщик, и брадмауэр должен это присечь, или я не прав,
#446
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 26 Март 2015 - 19:23
Уже не скачивается, что еще раз какбэ намекает: бэкапы и только бэкапы!
Личный сайт по Энкодерам - http://vmartyanov.ru/
#447
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 26 Март 2015 - 19:23
я так понял что при запуске скачивается сам шифровальщик, и брадмауэр должен это присечь, или я не прав,
у файрвола немного другие задачи
#448
-
- Posters
- 11 Сообщений:
Newbie
Отправлено 26 Март 2015 - 20:05
Но какова вероятность, что 20 файлов в папке зашифровало, а один остался, да ещё я не заметил этого, когда удалял окончания...
Какова вероятность, что случайный набор действий с именем файла отменил шифрование?
Ну у меня на одном компе в виндой 8.1. он зашифровал только старые doc и xls, а новые xlsx и docx не тронул. А на другом с 7-кой - все. Так что - смотрите какие там расширения у вас тоже.
Сообщение было изменено ZwerPSF: 26 Март 2015 - 20:06
#449
-
- Posters
- 88 Сообщений:
Newbie
Отправлено 26 Март 2015 - 20:17
Если сейчас купить условленный продукт, как лучше поступить, чтобы воспользоваться бесплатной дешифровкой?
Если что-то купить - это уже не беЗплатная.
И местные гуру ещё не освоили такую дешифровку. Буду рад, если ошибся.
Какова вероятность, что случайный набор действий с именем файла отменил шифрование?
0,5%
Программкой shadow explorer посмотрите теневые копии файлов.
P.S. а дохтур Веб может определять, что комп не в домене и заранее "пролечить" ассоциации файлов js/vbs?
99% простых пользователей эти скрипты не нужны.
Сообщение было изменено username500: 26 Март 2015 - 20:21
#450
-
- Posters
- 88 Сообщений:
Newbie
Отправлено 26 Март 2015 - 20:24
По аналогии с автозапуском на флэшках - сначала это считал уязвимостью AVZ, а потом и сама microsoft пропатчила.
#451
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 26 Март 2015 - 20:28
99% простых пользователей эти скрипты не нужны.
ну как бы задачка не тривиальная
ограничить "других"...
хотя да..репорт счас на превент кину
#452
-
- Posters
- 8 Сообщений:
Newbie
Отправлено 26 Март 2015 - 20:41
Если сейчас купить условленный продукт, как лучше поступить, чтобы воспользоваться бесплатной дешифровкой?Если что-то купить - это уже не беЗплатная.
И местные гуру ещё не освоили такую дешифровку. Буду рад, если
Рассуждения о беЗплатности программы отнесу к флуду. Вопрос был в том, как лучше воспользоваться помощью в дешифровке, если таковая поступит?
Сообщение было изменено abracs: 26 Март 2015 - 20:41
#453
-
- Posters
- 88 Сообщений:
Newbie
Отправлено 26 Март 2015 - 20:41
ограничить "других"...
Можно же сделать дефолтную галку по аналогии с проверкой файла hosts.
Кто погряз в жизненно-важных VBS-ах, 127.0.0.1 для "вареза" (или убийства рекламы в скайпе) - сознательно не разрешает антивирусу исправлять критические по его мнению уязвимости.
Кстати 127.0.0.1 в hosts давно пора не считать ошибками в России (там всякие вредные activate.adobe, corel, autodesk, etc)
Сообщение было изменено username500: 26 Март 2015 - 20:42
#454
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 26 Март 2015 - 20:46
ограничить "других"...Можно же сделать дефолтную галку по аналогии с проверкой файла hosts.
Кто погряз в жизненно-важных VBS-ах, 127.0.0.1 для "вареза" (или убийства рекламы в скайпе) - сознательно не разрешает антивирусу исправлять критические по его мнению уязвимости.
Кстати 127.0.0.1 в hosts давно пора не считать ошибками в России (там всякие вредные activate.adobe, corel, autodesk, etc)
репорт сделал,но там имхо подводных камней много.
Есть различия в выполнении скриптта в браузере и самостоятельного запуска в системе.
Пусть КУ курит..его ипархия
#455
-
- Posters
- 88 Сообщений:
Newbie
Отправлено 26 Март 2015 - 21:38
но там имхо подводных камней много.
Ещё тип файлов WSF надо запретить как неблагонадёжный или объявить текстовым. Пусть лучше блокнот виснет на сверх-длинных строках, чем ценные данные псу под хвост летят.
Кому надо - включат обратно или пожалуются вам. Всемирное бета-тестирование все софтверные конторы любят
Зато хакеры будут курить бамбук, предложат 95% скидки, затем пойдут работать дворниками.
А кто такая "Ипархия КУ"?
В ней такие ужасти разлагаются на атомы для детектирования?:
https://kaimi.ru/2011/03/crypt-javascript-html-vbs/
Сообщение было изменено username500: 26 Март 2015 - 21:40
#456
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 26 Март 2015 - 21:41
А кто такая "Ипархия КУ"?
это страшный человеГ,хотя врядли что человеГ 
#457
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 26 Март 2015 - 21:48
Пусть лучше блокнот виснет на сверх-длинных строках, чем ценные данные псу под хвост летят.
оформлено...ждем статус тикета
#458
-
- Moderators
- 19 817 Сообщений:
The Master
Отправлено 26 Март 2015 - 22:15
Офтопик переехал в http://forum.drweb.com/index.php?showtopic=320691
Сообщение было изменено VVS: 26 Март 2015 - 22:20
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#459
-
- Members
- 2 Сообщений:
Newbie
Отправлено 26 Март 2015 - 22:50
Тоже пострадал. Комп был выключен до завершения шифрования. Но выключен штатным путем (через завершение работы)
На винчестере нашел файлы, созданные в период запуска вируса.
Помогите разобратся с gpg
Установил убунту, но как пользоватся этой командой не знаю.
Как импортировать ключ? И какой командой затем расшифровать файл.
Файл с расширением .vlt не нашел, но есть несколько подозрительных файлов созданных после запуска вируса со странными именами типа b.rr
#460
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 26 Март 2015 - 22:53
Тоже пострадал. Комп был выключен до завершения шифрования. Но выключен штатным путем (через завершение работы)
На винчестере нашел файлы, созданные в период запуска вируса.
Помогите разобратся с gpg
Установил убунту, но как пользоватся этой командой не знаю.
Как импортировать ключ? И какой командой затем расшифровать файл.
Файл с расширением .vlt не нашел, но есть несколько подозрительных файлов созданных после запуска вируса со странными именами типа b.rr
тех.поддержка?
