Перейти к содержимому


v.martyanov

Дата рег: 17 Май 2008
Онлайн Был(а) онлайн: 21 минут назад
*****

Темы пользователя

SEO testing

21 Апрель 2016 - 18:37

583bbf424a7114586dd48fe57be999cbd750ba56

 

В очередной раз непонятки с индексацией информации. Тест, прошу не удалять пару дней :-)


VAULT

27 Март 2015 - 14:21

Шифровальщик VAULT распространяется через электронную почту в виде JS-файлов. Существует два варианта: "мелкий" скрипт и "большой". Мелкий качает компоненты через интернет, большой все свое носит с собой.

 

Расшифровка крайне маловероятна. В общем случае она может быть только у авторов трояна, а может и не быть. Dr.Web может проверить есть ли шансы на расшифровку в конкретно вашем случае без обращения к авторам трояна. Для этого нужно обращаться в техподдержку с лицензией.

 

Для шифрования используется GPG. В нем используется криптография с открытым ключом.

 

Профилактика: резервное копирование. Кустарные методы типа запрета запуска и прочего не дают сколь либо надежной гарантии сохранности файлов.

 

FAQ:

Q. Вот мои файлы, посмотрите.
A. Обращайтесь в техподдержку (https://support.drweb.ru/new/free_unlocker/?keyno=&for_decode=1)

 

Q. Как работает троян? Зачем нужен файл с именем filename?
A. Читайте исходный код трояна, который вы получили в письме. Читайте документацию на GPG.

 

Q. А вот я придумал такой способ защиты.

A. Если это не грамотное резервное копирование - забудьте про него. Если ВЫ можете обойти этот способ - его обойдет и троян. Если вы НЕ МОЖЕТЕ - не факт, что не могут авторы трояна

 

Q. А вот контора "ВорГадТрансМаш" расшифровывает файлы!
A. Расшифровка в общем случае есть у авторов трояна и ни у кого больше. Как не сложно догадаться, выступать "прокладкой" может каждый. Обсуждать 16 вариантов таких прокладок бессмысленно.

Q. Антивирус <имя> пропустил этот троян!
A. Никто не дает гарантии обнаружения всех вирусов.


Зашифрованы файлы, *._i.oblomov@india.com_.*

28 Октябрь 2014 - 19:41

Признаки заражения:  файлы зашифрованы, добавлено добавочное расширение вида *._i.oblomov@india.com_.* Контактный email - i.oblomov@india.com Если у вас другой контактный email или другое расширение - вам в другую тему!

 

Информация по трояну: Trojan.Encoder.787 (описание в разработке), впервые зафиксирован 28.10.2014. Распространяется, судя по всему, при помощи почтовых рассылок в аттаче. Написан на Autoit, что есть очень большая экзотика в стане энкодеров.

 

Криптография: AES-256 со сложной процедурой создания ключа. Использует CryptoAPI.

 

Расшифровка: Имеется

 

Что необходимо сделать:

- озаботиться информационной безопасностью ваших машин.

- обратиться с заявлением о совершенном преступлении в правоохранительные органы.

- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.

 

Что НЕ нужно делать:
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.

- Переименовывать зашифрованные файлы.


Зашифрованы файлы, *.id-*_decrypt@india.com или *.id-*_com@darkweider.com

11 Август 2014 - 14:37

Признаки заражения:  файлы зашифрованы, добавлено добавочное расширение вида *.id-1234567890_decrypt@india.com, *.id-1234567890_com@darkweider.com, *.id-1234567890_decode@india.com, *.id-1234567890_help@antivirusebola.com, *.id-1234567890_marineelizz@inbox.com или *.id-1234567890_protectdata@inbox.com (цифры могут быть другими!!!). Если у вас другого типа расширения - вам в другую тему.

 

Информация по трояну: Trojan.Encoder.741, автор - Корректор (он же написал 102-го, 293-го энкодера и кучу их вариантов). Распространение началось 07.08.2014. Вариант *.id-*_help@antivirusebola.com начал распространяться 20.08.2014, вариант protectdata@inbox.com - 21-22.01.2015

 

Криптография: AES-128 (AES-256 с середины декабря 2014) в самых простых вариантах. Ключи шифрования получает с серверов.

 

Расшифровка: Имеется в техподдержке. К сожалению, не для всех случаев, но для большинства. Вариант protectdata@inbox.com в силу ошибок в генетическом коде его автора портит файлы меньше 30000 байт, так что будут проблемы с ними.

 

Что необходимо сделать:

- озаботиться информационной безопасностью ваших машин.

- обратиться с заявлением о совершенном преступлении в правоохранительные органы.

- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.

 

Что НЕ нужно делать:
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.

- Переименовывать зашифрованные файлы.


Всем пользователям NAS фирмы Synology читать!

05 Август 2014 - 16:09

 Появился энкодер, заточенный именно под эти девайсы - Synolocker. Официальных комментариев от производителя нет, семпла у нас тоже нет. Я думал что это утка, но уже обратился первый пострадавший.

 

http://www.cso.com.au/article/551527/synolocker_demands_0_6_bitcoin_decrypt_synology_nas_devices/ - статься на англиском.