Перейти к содержимому


Фото
- - - - -

Зашифрованы файлы, *.hardended, *.itstimetopay, *.darkness


  • Please log in to reply
97 ответов в этой теме

#21 Misha12rus

Misha12rus

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 01 Октябрь 2013 - 08:03

Добрый день. 25.09.13 схватили вирус. Вирус начал шифровать сетевой диск, но на компьютере, который вирус схватил изменений не сделал. В тот же день источник нашли и удали, дальнейшее шифрование прекратилось. Сегодня на компьютере, который заразился вирусом, зашифровалась часть файлов, но до этого с ними нормально работали. У зашифрованных файлов дата изменения стоит 25.09.13. 

 

Вопрос: возможно дальнейшее распространение и почему на зараженном компьютере файлы зашифровались только сегодня?

 

P.S. достаточно ли для удаления вируса удаление файла AdobeStlSys.exe и завершение аналогичного процесса?



#22 VVS

VVS

    The Master

  • Moderators
  • 17 403 Сообщений:

Отправлено 01 Октябрь 2013 - 09:02

Misha12rus, что за вирус, какие признаки?


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#23 Misha12rus

Misha12rus

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 01 Октябрь 2013 - 09:29

Вирус шифрует файлы (текст, картинки). В каждой папке оставлял файл ITSTIMETOPAY.txt со следующим содержанием:

 

Ваши файлы зашифрованы надежным алгоритмом.

Уникальный ключ будет храниться до 27.09.2013
Использование сторонних утилит может повредить файлы, сделав их непригодными к расшифровке.
 
Контакты: itstimetopay@hushmail.com
В письме укажите ваш ID:579849525397
Обращения после 27.09.2013 будут игнорироваться.
 
Действия, приводящие к удалению ключа:
 -Запрос платежных реквизитов без последующей оплаты
 -Ваше неадекватное поведение (оскорбления, угрозы)

 

На virustotal'е определился как Trojan.Encoder.263 ...



#24 VVS

VVS

    The Master

  • Moderators
  • 17 403 Сообщений:

Отправлено 01 Октябрь 2013 - 09:33

Misha12rus, проверьте компьютер с помощью CureIt


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#25 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 01 Октябрь 2013 - 10:49

Ну а почему вы сразу не сделали бэкапы?


Личный сайт по Энкодерам - http://vmartyanov.ru/


#26 xZabey

xZabey

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 01 Октябрь 2013 - 15:45

Misha12rus, проверьте компьютер с помощью CureIt

смысл от проверки cureit'ом, тело вируса то удалить и руками можно, а вот зашифрованные файлы...



#27 VVS

VVS

    The Master

  • Moderators
  • 17 403 Сообщений:

Отправлено 01 Октябрь 2013 - 15:47

 

Misha12rus, проверьте компьютер с помощью CureIt

смысл от проверки cureit'ом

Был задан вопрос: "достаточно ли для удаления вируса удаление файла AdobeStlSys.exe и завершение аналогичного процесса?"


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#28 Misha12rus

Misha12rus

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 02 Октябрь 2013 - 07:20

Misha12rus, проверьте компьютер с помощью CureIt

 

Проверка с помощью CureIt'а ничего не выявила((

 

По поводу бэкапов: на фирме больше полусотни машин, быкапы делаются только на ключевых из них ...



#29 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 02 Октябрь 2013 - 09:37

Значит остальная информация не важна.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#30 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 285 Сообщений:

Отправлено 03 Октябрь 2013 - 12:07

Знакомые тоже схватили. Даже не дергаться пока?



#31 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 03 Октябрь 2013 - 12:08

Знакомые тоже схватили. Даже не дергаться пока?

Угу. 2^64 минимум...


Личный сайт по Энкодерам - http://vmartyanov.ru/


#32 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 285 Сообщений:

Отправлено 03 Октябрь 2013 - 12:13

жОстко. Посоветовал пока проститься с данными и прочие ценные данные на остальных машинах забэкапить. На всякий случай.

На скрине видно, что стоит MSE. Даже не мяукнул.



#33 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 03 Октябрь 2013 - 12:15

2^64 - это как раз мелочи! Было бы там все почестному - были бы 2^400+


Личный сайт по Энкодерам - http://vmartyanov.ru/


#34 xZabey

xZabey

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 03 Октябрь 2013 - 16:34

2^64 - это как раз мелочи! Было бы там все почестному - были бы 2^400+

а что означает эта степень?



#35 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 03 Октябрь 2013 - 16:44

Сложность она обозначает.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#36 HHH

HHH

    Massive Poster

  • Posters
  • 2 714 Сообщений:

Отправлено 03 Октябрь 2013 - 16:54

а что означает эта степень?

Вероятно количество вариантов ключа, которые надо перебрать.



#37 xoxolll1977

xoxolll1977

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 07 Октябрь 2013 - 11:21

словил сегодня:

Ваши файлы зашифрованы надежным алгоритмом.
Уникальный ключ будет храниться до 09.10.2013
Использование сторонних утилит может повредить файлы, сделав их непригодными к расшифровке.

Контакты: itstimetopay@hushmail.com
В письме укажите ваш ID:883581439774
Не затягивайте с оплатой.
Все обращения после 09.10.2013 будут игнорироваться.

Действия, приводящие к удалению ключа:
 -Запрос платежных реквизитов без последующей оплаты
 -Ваше неадекватное поведение (оскорбления, угрозы)
 

бл.. 5000 рублей стоит деактивация.

 

так что есть шансы выличить? а то у меня 2 дня осталось.



#38 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 07 Октябрь 2013 - 12:53

У вас было до этого много лет, чтобы оценить необходимость резервного копирования!


Личный сайт по Энкодерам - http://vmartyanov.ru/


#39 Gabriel

Gabriel

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 10 Октябрь 2013 - 08:42

Судя по прочитанному и своему горькому опыту страдают только фирмы?! Вопрос к пострадавшим: перед заражением была ли у Вас какая-либо установка ПО сторонними людьми, например установка ЭЦП?



#40 Gabriel

Gabriel

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 10 Октябрь 2013 - 08:43

Или регистрация на электронных площадках?




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых