Перейти к содержимому


Фото
- - - - -

Шифровальщик файлов - письмо от банка

шифровальщик спам

  • Закрыто Тема закрыта
118 ответов в этой теме

#101 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 08 Август 2012 - 16:11

А у кого-то еще разрешены макросы в Офисе?! O_o

Фигассе! А если без макросов в документ не обойтись? :huh:

Зачем так сложно? :) Прилетает файл екселя под названиям в духе "План по увеличению зарабатной платы сотрудникам Компании на следующий квартал" . без макросов. но с эксплойтом.

Не-не, я в том смысле, что иногда без макросов (вообще) никак.

>Смотреть нужно на расширение файла.
Вот считай и заразились. Расширение до опы.

Не скажи. Если пользователь знает про двойные расширения, то он точно не запустит экзешник с иконкой Ворда. Так что идеологически вредную птицу "Скрывать расширения для зарегистрированных типов файлов" убивать!

Собственно открыв специально сформированое письмо в вашем почтовике вы уже ничего не можете регулировать..на то оне и эксплоиты.

Патчи рулят. В эпоху расцвета почтовых вирусов сталкивался с тем, что Быстрый Аутглюк 6.0 не давал запускаться экзешнику в аттаче, а вот 5.0 - запросто.
С уважением,
Борис А. Чертенко aka Borka.

#102 Serguey Shabashkevich

Serguey Shabashkevich

    Member

  • Dr.Web Staff
  • 469 Сообщений:

Отправлено 08 Август 2012 - 16:20

Патчи рулят.

Та ну...не панацея, хотя конечно, ставить нужно. Для точечных атак обычно одного/двух 0-day хватает при ажуре в патчах.
"...Если руки сложа Наблюдал свысока, И в борьбу не вступил С подлецом, палачом - Значит, в жизни ты был Ни при чем, ни при чем!" /В. Высоцкий/

#103 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 08 Август 2012 - 16:28

>Патчи рулят. В эпоху расцвета почтовых вирусов сталкивался с тем

прошли те времена...уже используются полноценные разносторониие exploit kit
ghj,bdfnm nt,z ,elen cj dct[ yfghfdktybq
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#104 GeoJ

GeoJ

    Member

  • Posters
  • 195 Сообщений:

Отправлено 08 Август 2012 - 21:00

Тэк-с...

Во-первых, великолепно известно, что Аутглюк -- дырявая в плане безопасности штука, а дефолтные настройки Хрюши предоставляют злоумышленникам широкий простор для комбинаций. Ну, так настройки можно поменять на нормальные. И почтовый клиент нормальный поставить. Такой, в котором будет видно истинное расширение файла, и который не то, что сам программу из аттача не запустит, но и глупому юзеру не даст это сделать.

Во-вторых, также великолепно известно, что есть всякие эксплойты, черви и прочая гадость, которой для начала вредоносное программное обеспечениеной деятельности вообще не нужны никакие действия пользователя. И возможность подцепить заразу будет всегда. Ну, или, по крайней мере, до тех пор, пока операционки Микрософта продолжают щеголять своей интеллектуальностью.

Но речь в данной теме идет не о том. Здесь вполне конкретный случай (массовый, кстати). Когда недалекий пользователь с неограниченными правами из-за незнания элементарных мер безопасности сам запускает пришедший от злоумышленника шифровальщик. Так что от таких пользователей (типа, главбухов) либо надо требовать все же знания элементарных мер безопасности, либо урезать им к чертовой матери права.
Программное обеспечение не должно быть старым. Программное обеспечение не должно быть новым.
Программное обеспечение должно быть адекватным решаемым задачам.

#105 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 09 Август 2012 - 12:07

Так что от таких пользователей (типа, главбухов) либо надо требовать все же знания элементарных мер безопасности, либо урезать им к чертовой матери права.

Вспоминаем, что суслик работает в контексте пользователя и соответственно с его правами. Следовательно, от Энкодеров система прав несколько не спасает...
С уважением,
Борис А. Чертенко aka Borka.

#106 GeoJ

GeoJ

    Member

  • Posters
  • 195 Сообщений:

Отправлено 09 Август 2012 - 22:19

Так что от таких пользователей (типа, главбухов) либо надо требовать все же знания элементарных мер безопасности, либо урезать им к чертовой матери права.

Вспоминаем, что суслик работает в контексте пользователя и соответственно с его правами. Следовательно, от Энкодеров система прав несколько не спасает...

Урезать права -- это значит, разрешать запуск только приложений из белого списка :)
Программное обеспечение не должно быть старым. Программное обеспечение не должно быть новым.
Программное обеспечение должно быть адекватным решаемым задачам.

#107 alex31

alex31

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 09 Сентябрь 2012 - 20:46

Та же история. Получили по почте в школу письмо якобы от «Юридической Коллегии», в нём был аттач Document.lzh. Секретарь открыла его, после чего все файлы офиса, архивы, картинки зашифровались. И появились текстовые файлы со стандартным содержанием, вымогающим деньги (см. выше) с концовочкой "Для переговоров собираемся в кают компании, sos на мыло Номер компании 75474821 KORSARS@POST.COM. Прогнал Document.lzh онлайн - наличие заразы подтверждено.

Файлы успешно расшифрованы с помощью утилиты для расшифровки, присланной Великим Гуру В. Мартьяновым! Огромное СПАСИБО! :)

#108 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 09 Сентябрь 2012 - 20:53

ура!

#109 kenst

kenst

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 11 Сентябрь 2012 - 19:38

Файлы успешно расшифрованы с помощью утилиты для расшифровки, присланной Великим Гуру В. Мартьяновым! Огромное СПАСИБО!

Сегодня на работе получил точно такое письмо с тем же адресом и Номером компании. Комп бухгалтерский. Решил, что умнее спайдергейта (он ругнулся) и "залез на борт". Сделал копии зашифрованных папок на отдельном компе. И вот вопрос: здесь где-то можно скачать эту утилиту или тоже надо свой запрос отправлять? Письмо сохранил, файлы тоже есть.

Сообщение было изменено kenst: 11 Сентябрь 2012 - 19:39


#110 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 11 Сентябрь 2012 - 19:39

надо свой запрос отправлять
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#111 kenst

kenst

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 12 Сентябрь 2012 - 09:03

Отправил. [drweb.com #3618060].

#112 Jonnoton

Jonnoton

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 02 Октябрь 2012 - 13:30

А мне не поможете? Уже долго жду ответа в этом тикете . Это вообще реально? Или лучше выкупить информацию -она важна мне.

Сообщение было изменено SergM: 02 Октябрь 2012 - 13:50
Скрыл тикет


#113 Fight

Fight

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 13 Октябрь 2012 - 13:25

Номер тикета:
[drweb.com #3649260]

#114 AlexisFX24

AlexisFX24

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 14 Ноябрь 2012 - 03:00

КОРАБЛЬ НА ЯКОРЬ, ГОСПОДА!
Бонжур мадам, месье ! Вэлком на борт нашей "Чёрной мамбы".
Ваш компьютер взят на абордаж
командой Зимбабвийских пиратов.
Ваши файлы зашифрованы нашим
морским криптографом Намбо Ваном.
Если вы, нежадный белый человек
и не психованный депутат из ЛДПР,
то, мы готовы обменять вашу драгоценную инфу, на жалкие
бумажки именуемые бабками.
Поверьте, бабло зло - отдайте его нам.
Алчных и неадекватных типов за борт.
Весёлым и находчивым скидки.
У вас три дня до отплытия корабля.
Для переговоров собираемся в кают компании, sos на мыло
Номер компании 11106560
KORSARS@POST.COM

1. http://zalil.ru/33959305 это зашифрованные файлы
2. http://zalil.ru/33959310 это оригинал
Пробовал последними дешифраторами, не помогает.
Одна надежда на Вас.

#115 HHH

HHH

    Massive Poster

  • Posters
  • 2 714 Сообщений:

Отправлено 14 Ноябрь 2012 - 09:04

Читать пост №2 в это теме

#116 mixxa_k

mixxa_k

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 02 Март 2013 - 15:09

Та же история. .... Номер компании 75474821 KORSARS@POST.COM

Та жа ситуация   КОРАБЛЬ НА ЯКОРЬ, ГОСПОДА!..... 75474821 KORSARS@POST.COM
drweb.com #3918446


#117 mixxa_k

mixxa_k

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 03 Март 2013 - 12:59

Спасибо! Все расшифровалось! И отдельное спасибо за скорость реагирования. :)



#118 Ольгерд

Ольгерд

    Newbie

  • Posters
  • 36 Сообщений:

Отправлено 24 Июнь 2014 - 02:29

 

Интересно - через какое время после запуска "Увeдoмление о взыскaние дoлга.exe" пират начинает шифровать файлы?

Сразу, я думаю. Но это лоадер, он практически бесполезен, что вы и наблюдаете - шифрования после первого запуска не будет наверняка.

 

Но если бесполезен, почему антивирус его сразу засекает при любом шевелении?........... Все таки нашлось что то похожее))))


Сообщение было изменено Ольгерд: 24 Июнь 2014 - 02:30


#119 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 24 Июнь 2014 - 07:10

Ольгерд, некропостинг - зло.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых