146 ответов в этой теме

[Borka]

Неипомогло((

И в принципе не должно помочь. Могло помомчь, конечно, но отнюдь не должно было. Ключи утилиты индивидуальны для каждого случая шифрования.

[tyugashev_va]

В общем ребята пейте томатный сок. Раньше мне казалось, что этот троян работает только при наличии .net, но Вчера мне прислали новый вариант CryptoMaster.exe размером 150 мегов. Это такой большой потому что он сначала во временной папке эмулирует .net 4.0, а потом запускает CryptoMaster4.0.exe. Каспер и DrWeb его в упор не видят. Одно радует, что внутренний ключ для расшифровки ps.ce тот же самый, поэтому "\te157decrypt.exe -e .ENC -P путь\ps.ce путь к файлам" должен помочь. Многие задают вопрос про ps.ce Здесь более подробная информация об этом, читайте тут:http://tyugashev-va.livejournal.com/749.html

[Vlad_gsm]

УРА . все восстанавливается... при помощи te157... в моем случае проблема была в том что зараза пришла через другого пользователя с адм правами поэтому ps.ce не находился ... вери сенкс [background=transparent !important]tyugashev_va и Умам с DRweb. теперь остался только 2 вопроса как вирусяка попала к нам и что надо делать чтоб подобного не происходило!!!![/background]

[Vlad_gsm]

Интересно, а Dr.Web помог хоть одному пользователю с расшифровкой файлов RSA1024?

помог мне)

[Hodil-Brodil]

Мне ОЧЕНЬ помог. 80 гиг данных расшировали.
ОГРОМНОЕ СПАСИБО !
ВЫ САМЫЕ КРУТЫЕ!

Не зря 10 лет на Доктор вэбе сидим.

[ksysha]

УРА . все восстанавливается... ...теперь остался только 2 вопроса как вирусяка попала к нам и что надо делать чтоб подобного не происходило!!!!

Мне вот тоже интресно. Хотя ни сама ни знакомые ни разу не ловили эту дрянь, но все же очень хотелось бы знать как предохраниться от заражения и зашифровывания файлов.
Единственный мне известный способ, который я рекомендую всем знакомым, да и сама пользуюсь, это архивация важной информации на CD или DVD диски, желательно в двух экземплярах, знакомые бухгалтера уже только так и делают, хотя это тоже не панацея...

Сообщение было изменено ksysha: 29 Сентябрь 2012 - 18:07

[mrbelyash]

>что надо делать чтоб подобного не происходило!!!!

хадить в интЕрнеты черз песочницу


http://mrbelyash.blogspot.com/2012/01/sandboxie.html

[ksysha]

>что надо делать чтоб подобного не происходило!!!!

хадить в интЕрнеты черз песочницу


http://mrbelyash.blogspot.com/2012/01/sandboxie.html

С песочницей мне понятно, но, во первых не все можно в ней запустить, ну и очень интересует все таки каким путем проникает сам шифровальщик в систему, и чем тут может помочь песочница, а то тут многие пишут, до выключения компьютера все нормально, при включении все файлы зашифованы. Или как писали тут выше, на сервере ночью кто то натоптал, а утром все зашифровано...

Сообщение было изменено ksysha: 29 Сентябрь 2012 - 18:46

[mrbelyash]

еще не было программы что я не смог запустить в песочнице (с)
я простой юзверь

[ksysha]

еще не было программы что я не смог запустить в песочнице (с)
я простой юзверь

Хорошо, учту на будущее, попробую поработать в песочнице, но как заставить шифровальщик в ней запуститься?

P.S. А может выделить этот вопрос в отдельную тему для обсуждения? Думаю многим будет интересно знать как предохраниться от шифровальщиков

Сообщение было изменено ksysha: 29 Сентябрь 2012 - 18:54

[mrbelyash]

еще не было программы что я не смог запустить в песочнице (с)
я простой юзверь

Хорошо, учту на будущее, попробую поработать в песочнице, но как заставить шифровальщик в ней запуститься?

бгг..он сам у вас запустится
+скачиваемые приложения для начала запускать в песочнице
ведь так все просто.

+ есть более мощьный класс песочниц...с полным откатом всей сесии

+ письма из сбербанка открывайте в онной

[ksysha]

еще не было программы что я не смог запустить в песочнице (с)
я простой юзверь

Хорошо, учту на будущее, попробую поработать в песочнице, но как заставить шифровальщик в ней запуститься?

бгг..он сам у вас запустится
+скачиваемые приложения для начала запускать в песочнице
ведь так все просто.

+ есть более мощьный класс песочниц...с полным откатом всей сесии

+ письма из сбербанка открывайте в онной

Т.е. как я поняла, то в основном заражение происходит из за открытия вложений во всякой фигне маскирующейся под деловые и не очень письма.И ведь не лень людям качать из почты файлы по 90-150 Мб, чтоб получить себе "веселье" на довольно длительное время, экстремалы блин. (извиняюсь за флуд если что...)
Кстати со сбербанком давно не связываюсь и все счета там закрыла, и писем от них точно открывать бы не стала.

Сообщение было изменено ksysha: 29 Сентябрь 2012 - 19:10

[mrbelyash]

старенькое

http://mrbelyash.blogspot.com/2012/03/blog-post_24.html

[laotzu]

Скажите пожалуйста куда надо вводить эти параметры "\te157decrypt.exe -e .ENC -P путь\ps.ce путь к файлам". какую программу запускать и т.п. Надо открывать cmd.exe или что? Никак не могу ввести эти параметры в нужное место. Обясните поподробней кто уже вводил пожалуйста.

[HHH]

Сначала скажите, с чего вы решили, что вам нужна именно эта программа?

[laotzu]

Сначала скажите, с чего вы решили, что вам нужна именно эта программа?

Потому что я вчера вечером подхватил ИМЕННО этот вирус и у меня 80% файлов на компе имеют расширение .BLOCKAGE

[thyrex]

Это не повод использовать именно te157decrypt

[laotzu]

Это не повод использовать именно te157decrypt

А какую же мне программу тогда использовать? Всем остальным же рекомендовали именно эту программу. И помогло.

[thyrex]

Какую утилиту нужно использовать, смогут ответить только после того, как образцы зашифрованных файлов отправите в вирлаб

[laotzu]

Какую утилиту нужно использовать, смогут ответить только после того, как образцы зашифрованных файлов отправите в вирлаб

Ну и последняя просьба. А вы можете дать точную ссылку этого вирлаба. Заранее спасибо!!!