Перейти к содержимому


Фото
- - - - -

Шифровальщик файлов - письмо от банка

шифровальщик спам

  • Закрыто Тема закрыта
118 ответов в этой теме

#41 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 20 Июнь 2012 - 15:05

Заслан же именно этот файл?

Массово ставят backdoor и через него заливают шифровальщик.
Причем, судя по названию файла, охота идет именно на бухгалтерские компы. В расчете на то, что оганизации (админу) дешевле заплатить, чем восстанавливать данные (терять работу).

Ага... Вот оно как... :huh:
С уважением,
Борис А. Чертенко aka Borka.

#42 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 20 Июнь 2012 - 15:42

Чего ж не ржать-то?
Робот не правильно назвал...Не бэкдор это а Энкодер закриптованый барсиком.

И не надо там ставить бэкдор-рассылают как письма от сбербанка.

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#43 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 20 Июнь 2012 - 15:43

Каспер правильный детект дает Trojan-Ransom.Win32.Xorist.gp

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#44 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 20 Июнь 2012 - 15:47

mrbelyash,

Робот не правильно назвал...Не бэкдор это а Энкодер закриптованый барсиком.

приведите, пожалуйста, номер тикета именно для Вашего экземпляра и попросим комментарий от v.martyanov

#45 openhus

openhus

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 22 Июнь 2012 - 10:14

Кажется, тупик... Облазил кучу форумов - у всех дело застопорилось...

#46 Serguey Shabashkevich

Serguey Shabashkevich

    Member

  • Dr.Web Staff
  • 469 Сообщений:

Отправлено 22 Июнь 2012 - 10:45

Каспер правильный детект дает Trojan-Ransom.Win32.Xorist.gp

где?
http://virusscan.jotti.org/ru/scanresult/31cf9eab795de39fe4e36c6b1af2f84960d7755e
"...Если руки сложа Наблюдал свысока, И в борьбу не вступил С подлецом, палачом - Значит, в жизни ты был Ни при чем, ни при чем!" /В. Высоцкий/

#47 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 22 Июнь 2012 - 10:52

Serguey Shabashkevich,

Каспер правильный детект дает Trojan-Ransom.Win32.Xorist.gp

где?

на том файле, который в руках у mrbelyash. Но он его аналитику отдать видимо не хочет. ;)
или он с Вами поделился? B)

Сообщение было изменено userr: 22 Июнь 2012 - 10:53


#48 Serguey Shabashkevich

Serguey Shabashkevich

    Member

  • Dr.Web Staff
  • 469 Сообщений:

Отправлено 22 Июнь 2012 - 11:16

или он с Вами поделился?

Со мною никто не делился, кроме одного пострадавшего.
"...Если руки сложа Наблюдал свысока, И в борьбу не вступил С подлецом, палачом - Значит, в жизни ты был Ни при чем, ни при чем!" /В. Высоцкий/

#49 endagor

endagor

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 22 Июнь 2012 - 11:49

Поймал позавчера вот такую дрянь:

КОРАБЛЬ НА ЯКОРЬ, ГОСПОДА!
Бонжур мадам, месье ! Вэлком на борт нашей "Чёрной мамбы".
Ваш компьютер взят на абордаж
командой Мозамбикских пиратов.
Ваши файлы зашифрованы нашим
морским криптографом Мбо Крипторезом.
Если вы, нежадный белый человек
и не психованный депутат из ЛДПР,
то, мы готовы обменять вашу драгоценную инфу, на жалкие
бумажки именуемые бабками.
Поверьте, бабло зло - отдайте его нам.
Алчных и неадекватных типов за борт.
Весёлым и находчивым скидки.
У вас три дня до отплытия корабля.
Для переговоров собираемся в кают компании, sos на мыло
Номер компании 65436585
KORSARS@MAIL.COM

На компьютере стоял доктор веб агент, к сожалению он не нашел самого вируса логов тоже никаких нету ибо комп пришлось быстро форматировать (рабочая станция пользователя). Если какой то декодер под данный вирус? Зашифрованный файл прилагаю в архиве http://files.mail.ru/A9L5ZJ

#50 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 22 Июнь 2012 - 11:55

ибо комп пришлось быстро форматировать (рабочая станция пользователя).

Нельзя было этого делать, это тяжелая ошибка с Вашей стороны.
Прочтите тему, в которую пишете. Пост №2.

#51 наталья222

наталья222

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 24 Июнь 2012 - 17:46

Помогите..Письмо счастья от Сбербанка..результат-все файлы зашифрованы..
было doc, стало-docx,Что делать?
Мой тикет drweb.com #3469243

#52 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 24 Июнь 2012 - 18:30

наталья222, Категория запроса - Запрос на лечение? Если да, то ждать ответа на Вашу почту вирусного аналитика.

#53 alex31

alex31

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 02 Август 2012 - 14:52

Та же история. Получили по почте в школу письмо якобы от «Юридической Коллегии», в нём был аттач Document.lzh. Секретарь открыла его, после чего все файлы офиса, архивы, картинки зашифровались. И появились текстовые файлы со стандартным содержанием, вымогающим деньги (см. выше) с концовочкой "Для переговоров собираемся в кают компании, sos на мыло Номер компании 75474821 KORSARS@POST.COM. Прогнал Document.lzh онлайн - наличие заразы подтверждено.

Что теперь делать? В компьютере база приказов по школе за несколько лет... :facepalm:

#54 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 02 Август 2012 - 15:05

Что теперь делать?

Как минимум - перечитать тему, в которую пишете. Второй пост.
С уважением,
Борис А. Чертенко aka Borka.

#55 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 02 Август 2012 - 15:05

Та же история. Получили по почте в школу письмо якобы от «Юридической Коллегии», в нём был аттач Document.lzh. Секретарь открыла его, после чего все файлы офиса, архивы, картинки зашифровались. И появились текстовые файлы со стандартным содержанием, вымогающим деньги (см. выше) с концовочкой "Для переговоров собираемся в кают компании, sos на мыло Номер компании 75474821 KORSARS@POST.COM. Прогнал Document.lzh онлайн - наличие заразы подтверждено.

Что теперь делать? В компьютере база приказов по школе за несколько лет... :facepalm:

Берете человека, ответственного за сохранность информации и долго вдумчиво ему объясняете, что он был не прав, когда не делал резервных копий.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#56 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 02 Август 2012 - 15:07

Берете человека, ответственного за сохранность информации и долго вдумчиво ему объясняете, что он был не прав, когда не делал резервных копий.

то вы давно в школе не были...это ж вам не АНБ

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#57 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 02 Август 2012 - 15:10

Берете человека, ответственного за сохранность информации и долго вдумчиво ему объясняете, что он был не прав, когда не делал резервных копий.

то вы давно в школе не были...это ж вам не АНБ


А все равно. Сэкономили на одном терабайтном винте - и вот результат.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#58 sniper

sniper

    Advanced Member

  • Posters
  • 624 Сообщений:

Отправлено 02 Август 2012 - 15:15

А все равно. Сэкономили на одном терабайтном винте - и вот результат.

От вас одни растраты,от производителей винтов требуйте премиальные...я уже 3 купил. :)
У меня богатый словарный запас, в нем присутствуют слова "оксюморон", "клепсидра", "перст указующий" и даже "ибо".
Но некоторые мысли я никак не могу выразить словами.
Хочется просто взять черенок от лопаты и отдубасить всех.

#59 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 02 Август 2012 - 15:16

Без соответствующего обучения, покупка этого винта-как писать против ветра.

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#60 #user

#user

    Member

  • Posters
  • 406 Сообщений:

Отправлено 02 Август 2012 - 15:28

Сэкономили на одном терабайтном винте - и вот результат.

>"база приказов по школе за несколько лет"

Судя по всему сэкономили на 1GB флешке, либо CD/DVD болванке...


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых