Перейти к содержимому


Фото
- - - - -

Шифровальщик файлов - письмо от банка

шифровальщик спам

  • Закрыто Тема закрыта
118 ответов в этой теме

#61 alex31

alex31

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 02 Август 2012 - 18:48

Как минимум - перечитать тему, в которую пишете. Второй пост.

Спасибо, перечитал. Выслал файлы аналитику.

Берете человека, ответственного за сохранность информации и долго вдумчиво ему объясняете, что он был не прав, когда не делал резервных копий.

Таких ответственных у нас в школах нет. Мало того, один из местных начальников от образования сказал на одном из совещаний, что никакие там "системные администраторы" школам не нужны - с вопросами компьютеризации должны справляться сами учителя, так как "современные требования к педагогу предполагают наличие ИКТ-компетентности. Не можете, не знаете, не умеете - уходите из школы и освободите место".

А я так, просто мимо школы проходил... смотрю - а у них вирус все документы пожрал :unsure:

Без соответствующего обучения, покупка этого винта-как писать против ветра.

Именно. Для начала надо хотя бы научиться не открывать письма от кого попало. Ведь до этого школа как-то существовала без вирусни?

#62 GeoJ

GeoJ

    Member

  • Posters
  • 178 Сообщений:

Отправлено 02 Август 2012 - 21:59

Ведь до этого школа как-то существовала без вирусни?

Рискну предположить, что школа всегда существовала с вирусней с тех пор, как в ней появились компьютеры.
А существовала она без троянов, приходящих по электронной почте. И существовала до тех пор, пока в школах не появился интернет и адрес e-mail.
Программное обеспечение не должно быть старым. Программное обеспечение не должно быть новым.
Программное обеспечение должно быть адекватным решаемым задачам.

#63 antonon

antonon

    Member

  • Posters
  • 248 Сообщений:

Отправлено 03 Август 2012 - 07:15

Не секретарь виновата, а косяк антивируса который установлен в школе

#64 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 03 Август 2012 - 08:03

Не секретарь виновата, а косяк антивируса который установлен в школе


Даже если это Касперский? :)

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#65 antonon

antonon

    Member

  • Posters
  • 248 Сообщений:

Отправлено 03 Август 2012 - 08:55

Не секретарь виновата, а косяк антивируса который установлен в школе


Даже если это Касперский? :)


Мне все равно чей антивирус установлен. Деньги хорошо берут все антивирусные компании. Косяки никто не признает свои. Все стараются обвинить в заражении компьютеров пользователей.

Сообщение было изменено antonon: 03 Август 2012 - 08:56


#66 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 03 Август 2012 - 09:03

Мне все равно чей антивирус установлен. Деньги хорошо берут все антивирусные компании. Косяки никто не признает свои. Все стараются обвинить в заражении компьютеров пользователей.


Какие-то оторваные вы от людей.
До одного места антивирус если нет в базе записи.

У мазилы например есть плагин -не открывать MZ переименованый.
Все упирается в обучение персонала.
Да и помимо обучения должна быть практика.

P.S.
Мне уже два раза торт из банков присылали. За инструкцию как от мбрлока избавиться. Так то банк, а это нищая школа.

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#67 alex31

alex31

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 03 Август 2012 - 09:25

При распаковке заразного аттачмента Document.lzh появляются два файла:
1. Порядок работы с просроченной задолженностью.doc
2. Увeдoмление о взыскaние дoлга.exe (именно взысканиЕ!)

Даже если это Касперский?

У них был хвалимый многими NOD32, лицуха.

А существовала она без троянов, приходящих по электронной почте. И существовала до тех пор, пока в школах не появился интернет и адрес e-mail.

Я спросил - выделенка у них где-то с 2006 года.

До одного места антивирус если нет в базе записи.

Вчера запускал его на тестовой машине, свежеустановленная ХРя. Этот гад ведёт себя каким-то странным образом - пока никаких афро-пиратских баннеров не вижу. Его пропустили подряд MSFEP и AvastFE, зато отлично увидели и тут же замочили уже на этапе распаковки AviraFE и Dr. Web Demo. А вот что мне выдал также хвалимый многими AVGFE:

Прикрепленные файлы:



#68 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 03 Август 2012 - 09:30

Аналитик на почту ответил?
Все последующие действия по подсказке аналитика (по почте)

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#69 alex31

alex31

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 03 Август 2012 - 09:48

Аналитик на почту ответил?
Все последующие действия по подсказке аналитика (по почте)

Да, уже общаемся.

Интересно - через какое время после запуска "Увeдoмление о взыскaние дoлга.exe" пират начинает шифровать файлы? Я насчитал на заражённом компе около 6 тысяч зашифрованных файлов. Запуск произошёл 27 июля, уже до 2 августа он нафаршировал жестяк файлами типа Документ Microsoft Word.docx.XTZTX

#70 alex31

alex31

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 03 Август 2012 - 10:05

А в папке system32 появляется файл WABMIT.EXE:

Прикрепленные файлы:

  • Прикрепленный файл  WABMIT.JPG   48,21К   1 Скачано раз


#71 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 03 Август 2012 - 11:02

Интересно - через какое время после запуска "Увeдoмление о взыскaние дoлга.exe" пират начинает шифровать файлы?

Сразу, я думаю. Но это лоадер, он практически бесполезен, что вы и наблюдаете - шифрования после первого запуска не будет наверняка.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#72 alex31

alex31

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 03 Август 2012 - 12:37

Сразу, я думаю. Но это лоадер, он практически бесполезен, что вы и наблюдаете - шифрования после первого запуска не будет наверняка.

Я даже вот что сделал, эксперимент с-нуля:
1. Перенёс на жестяк с клона стандартную Венду со всеми приложениями без АВП
2. Накидал сотню файлов - офисных, архивов и т.п.
3. Получил и запустил трояна.
После чего ползал по инету, создавал новые файлы - имитировал видимость работы, раз 10 перезагрузил машину. Все файлы пока в целости и сохранности. Ведь по словам секретаря, она попыталась открыть это вложение только 1 раз - ничего не произошло, и она об этом забыла. А через некоторое время (она не помнит уже, когда именно) появилась пиратская рожа и все прибамбасы. Что идёт не так? Ждать, пока лоадер загрузит шифровальщик через бэкдор?

#73 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 03 Август 2012 - 12:44

Сразу, я думаю. Но это лоадер, он практически бесполезен, что вы и наблюдаете - шифрования после первого запуска не будет наверняка.

Я даже вот что сделал, эксперимент с-нуля:
1. Перенёс на жестяк с клона стандартную Венду со всеми приложениями без АВП
2. Накидал сотню файлов - офисных, архивов и т.п.
3. Получил и запустил трояна.
После чего ползал по инету, создавал новые файлы - имитировал видимость работы, раз 10 перезагрузил машину. Все файлы пока в целости и сохранности. Ведь по словам секретаря, она попыталась открыть это вложение только 1 раз - ничего не произошло, и она об этом забыла. А через некоторое время (она не помнит уже, когда именно) появилась пиратская рожа и все прибамбасы. Что идёт не так? Ждать, пока лоадер загрузит шифровальщик через бэкдор?


Сайт уже не работает, с которым лоадер общался. Поэтому они и бесполезны.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#74 alex31

alex31

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 03 Август 2012 - 13:14

Сайт уже не работает, с которым лоадер общался. Поэтому они и бесполезны.

Ммм... оружие однократного применения? :ph34r:

#75 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 03 Август 2012 - 13:19

Сайт уже не работает, с которым лоадер общался. Поэтому они и бесполезны.

Ммм... оружие однократного применения? :ph34r:


Одноразовые шифроблокноты - крайне надежный способ шифрования.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#76 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 845 Сообщений:

Отправлено 03 Август 2012 - 13:23

Кстати, давно хотел спросить, раз уж нынче популярен такой способ шифрования (Письмо -> Downloader -> Encoder -> Шифрование -> самоудаление Encoder-а -> отключение сервера), то нельзя этот самый самоудаленный Encoder восстановить какой-нибудь программой, типа R-Studio и т.д.?
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#77 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 03 Август 2012 - 13:31

Кстати, давно хотел спросить, раз уж нынче популярен такой способ шифрования (Письмо -> Downloader -> Encoder -> Шифрование -> самоудаление Encoder-а -> отключение сервера), то нельзя этот самый самоудаленный Encoder восстановить какой-нибудь программой, типа R-Studio и т.д.?


Знать бы еще где искать...

Личный сайт по Энкодерам - http://vmartyanov.ru/


#78 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 845 Сообщений:

Отправлено 03 Август 2012 - 13:33

Знать бы еще где искать...


Ну Downloader-то куда-то конкретно грузит?
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#79 alex31

alex31

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 03 Август 2012 - 13:34

А в пиратском письме речь ещё 3-х дневном сроке идёт. Т.е., если в течение 3-х дней (а в данном случае уже почти неделя прошла), не предприняты какие-либо действия - шифровальщик самоуничтожается и дешифровку даже сами пиратюги не смогут произвести, так?

#80 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 03 Август 2012 - 13:39

Знать бы еще где искать...

Ну Downloader-то куда-то конкретно грузит?

А вот совершенно не обязательно, что в файл.

А в пиратском письме речь ещё 3-х дневном сроке идёт. Т.е., если в течение 3-х дней (а в данном случае уже почти неделя прошла), не предприняты какие-либо действия - шифровальщик самоуничтожается и дешифровку даже сами пиратюги не смогут произвести, так?


Брехня.

Личный сайт по Энкодерам - http://vmartyanov.ru/



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых