Перейти к содержимому


Фото
- - - - -

Зашифрованы файлы, *.hardended, *.itstimetopay, *.darkness


  • Please log in to reply
97 ответов в этой теме

#41 HHH

HHH

    Massive Poster

  • Posters
  • 2 714 Сообщений:

Отправлено 10 Октябрь 2013 - 08:44

Не думаю, что это связано.

 

Часто подбирают пароли к выставленному наружу RDP. Этого достаточно, чтобы достать вас хоть из Зимбабве, без рисков, связанных с физическим доступом.



#42 Tkras

Tkras

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 11 Октябрь 2013 - 12:38

в течении последнего месяца произошло заражение 4 компьютеров вирусом-шифровальщиком
в двух случаях была произведена оплата и были получены декрипторы
на сегодняшний день имеются еще несколько компьютеров, на которых были получены сообщения с трояном
в итоге имеем:
1. опыт заражения
2. опыт общения с вымогателями
3. пару декрипторов
4. сообщения с вложеным документом, подгружающим трояна
5. сам шифратор
6. собственные наблюдения
7. собственное решение, писаное на коленке, для предотвращения шифорвания в ближайшее время
 
Если Вас заинтересует какая нибудь информация готов поделиться.


#43 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 11 Октябрь 2013 - 12:48

Меня интересуют декрипторы.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#44 HHH

HHH

    Massive Poster

  • Posters
  • 2 714 Сообщений:

Отправлено 11 Октябрь 2013 - 13:24

В качестве 7 стоит попробовать DrWeb 9. Там прикрутили защиту от шифровальщиков.



#45 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 11 Октябрь 2013 - 13:30

Решения по защите есть и уже очень давно, но никто ими не пользуется... Гораздо актуальнее - быстрый код для криптоалгоритмов.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#46 Tkras

Tkras

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 14 Октябрь 2013 - 03:56

Меня интересуют декрипторы.

куда выслать?

почему на форме нету возможности отправить ЛС?

 

Решения по защите есть и уже очень давно, но никто ими не пользуется... Гораздо актуальнее - быстрый код для криптоалгоритмов.

Что за решения?



#47 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 14 Октябрь 2013 - 04:38

почему на форме нету возможности отправить ЛС?

После трех сообщений личка разблокируется.

куда выслать?

в личку v.martyanov (это вирусный аналитик).

Что за решения?

резервное копирование на внешнем носителе.



#48 Tkras

Tkras

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 15 Октябрь 2013 - 04:51

После трех сообщений личка разблокируется.

не совсем понятные ограничения, но т.к. спорить с ними не вижу никакого смысла придется создать еще один, слабо информативный пост, который "разблокирует" мне "личку" и я смогу поделиться декрипторами с вирусными аналитиками :)

 

резервное копирование на внешнем носителе.
 

резервное копирование это комплексная защита данных, я решил, что v.martyanov, говорит о защите от массового потокового шифрования файлов.

Если быть точнее, то очень хотелось бы получать уведомление о том, что происходит массовое изменение большого количества файлов, в фоновом режиме которое производит стороннее приложение.



#49 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 15 Октябрь 2013 - 06:08

не совсем понятные ограничения,

 

защита от флуда и спама.

 

Если быть точнее, то очень хотелось бы получать уведомление о том, что происходит массовое изменение большого количества файлов, в фоновом режиме которое производит стороннее приложение.

 

300 балунов в секунду?

9-ка сразу изолирует энкодера.


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#50 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Октябрь 2013 - 15:25

И все-таки для части случаев *.itstimetopay будет расшифровка! Шифрование после 07.10.2013 - вероятно расшифруется.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#51 Горчаков Дмитрий

Горчаков Дмитрий

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 21 Октябрь 2013 - 11:12

Добрый день, хочу уточнить есть ли данный вирус в БД Др.Вэба сейчас и поймает ли он его? и второй вопрос: профилактические действия кроме резервного копирования в чем еще должны заключаться для того что бы потом не было мучительно больно?



#52 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 21 Октябрь 2013 - 11:13

У меня успешно лежат 3 известных нам варианта. Профилактические действия должны быть комплексными: резервное копирование, повышение уровня компьютерной грамотности, разделение прав и т.п.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#53 Горчаков Дмитрий

Горчаков Дмитрий

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 21 Октябрь 2013 - 11:24

Требуются ли данному вирусу права "Администратора" для успешного "злодияния" или он может сделать все обладая правами пользователя?



#54 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 21 Октябрь 2013 - 11:26

Если пользователь имеет права на изменение своих файлов - что помешает трояну?


Личный сайт по Энкодерам - http://vmartyanov.ru/


#55 Горчаков Дмитрий

Горчаков Дмитрий

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 21 Октябрь 2013 - 11:30

И данный вирус как я понимаю расспространяется в виде офисных докумнтов *.pdf(или другие).itstimetopay и исполняется только будучи запущенный пользователем, правильно?



#56 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 21 Октябрь 2013 - 11:32

Почти правильно.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#57 Горчаков Дмитрий

Горчаков Дмитрий

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 21 Октябрь 2013 - 11:38

Пожалуйста объяснити почему почти. хочу понять логику распространения и запуска вируса в действие и составить так сказать предписание сотрудникам на что обращать внимание.



#58 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 21 Октябрь 2013 - 11:55

А общие правила чем вас не устраивают? Не запускать непойми что, не открывать левых писем и так далее?


Личный сайт по Энкодерам - http://vmartyanov.ru/


#59 Горчаков Дмитрий

Горчаков Дмитрий

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 21 Октябрь 2013 - 12:06

ОК, ясно, спасибо



#60 VVS

VVS

    The Master

  • Moderators
  • 17 398 Сообщений:

Отправлено 21 Октябрь 2013 - 12:40

Офтопик удалён.

Модератор.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых