106 ответов в этой теме

[Apen211]

Сегодня обнаружили в некоторых сетевых папках зашифрованные файлы типа: email-Igor_svetlov2@aol.com.ver-CL 1.0.0.0.id-ULEXSHXMCQGVKZOCTHXMCRGVLAPEUJYNDSIW-24.09.2015 11@36@518585267.randomname-AVLAPERESFTFSFSGUKXJVHUJWJVIVI.CPB.cbf. На всех компьютерах в сети стоят агенты Dr.Web, на файловых серверах тоже, но ни один из них заразу не остановил. Есть подозрение на два компьютера, которые имели доступ к одной из зараженных сетевых папок. ?

на одном из подозреваемых компьютерах были обнаружены вирусы:
Источник: Dr.Web Scanner for Windows ()
Объект: "C:\Windows\Temp\dw5\3290852.attach.678917 - Sudebnoe_postanovlenie_DOC_3946735498019.zip\Судебное постановление по вашему делу DOC___654397582650845643850236505675823965238348.scr" (-)
Тип: инфицирован
Инфекция: Trojan.Encoder.398
Результат: сообщен

Источник: Dr.Web Scanner for Windows ()
Объект: "C:\Windows\Temp\dw2\3290852.attach.678917 - Sudebnoe_postanovlenie_DOC_3946735498019.zip\Судебное постановление по вашему делу DOC___654397582650845643850236505675823965238348.scr" (-)
Тип: инфицирован
Инфекция: Trojan.Encoder.398
Результат: сообщен
Один и тот же файл с вирусом в двух папках C:\Windows\Temp\dw5 и C:\Windows\Temp\dw2.В них же был еще один вирус. Кто-то сталкивался с таким? Что это за папки, может это папки Dr.Web? И почему антивирус не удалил эти файлы, хотя настроен на удаление архивов с вирусами? К сожалению, на тех поддержку вообще никакой надежды. Может кто-то из пользователей подскажет?

[maxic]

Apen211, 1) это системный темп, либо у вас с правами все плохо, либо сами запускали дрянь; 2) если в сканере не настроено автоприменение действий и он запущен пользователем (а не из центра управления админом), то естественно, что нужно выбрать применяемое к угрозе действие.

[Apen211]

Apen211, 1) это системный темп, либо у вас с правами все плохо, либо сами запускали дрянь; 2) если в сканере не настроено автоприменение действий и он запущен пользователем (а не из центра управления админом), то естественно, что нужно выбрать применяемое к угрозе действие.

1.Похоже, что пользователь открыл вложение в письмо и запустил вирус, админских прав у нее нет. Непонятно только почему его не блокировал Spider?
2. Да, так и есть, сисадмин признался, что после того, как отключил компьютер от сети, запустил сканер локально, а после проверки включил его в сеть и сообщения от сканера пришли в центр управления.
Спасибо за подсказку.

[maxic]

Apen211, ES какой версии? Если 10 и превентивка по умолчанию - то, конечно, странно. И странно, что файл в системном темпе, а не юзерском.

[Apen211]

Apen211, ES какой версии? Если 10 и превентивка по умолчанию - то, конечно, странно. И странно, что файл в системном темпе, а не юзерском.

Версия Сервера Dr.Web 10.00.0 (03-07-2015 08:00:00).

[valdai]

Добрый день. Такая же проблема. От ТП получили рекомендации проверить антивирусом с актуальными базами, по расшифровке файлов ничем помочь не смогли. При сканировании компьютер перезагружается, пробовали различными версиями D.weba с актуальными базами, ничего не получается. Подскажите может есть варианты как то выполнить эту проверку.

[v.martyanov]

Добрый день. Такая же проблема. От ТП получили рекомендации проверить антивирусом с актуальными базами, по расшифровке файлов ничем помочь не смогли. При сканировании компьютер перезагружается, пробовали различными версиями D.weba с актуальными базами, ничего не получается. Подскажите может есть варианты как то выполнить эту проверку.

Написать об этой проблеме в техподдержку.

[I_CaR]

Написал в тех поддержку тикет по расшифровке.

Как этот тикет увидеть?  - [drweb.com #6235598].

Инфорация для админов форума (ну и регистрация тут!)

"Введите 4 любых буквы и цифры!"

5 раз вводил, заматерился даже!

И так у людей по 20 000 - 30 000 вымагают, плюс ко всему: и в прокуротуру, и в трудовую коммисию, и в суд всё сорвано!!! А ведь там сроки!!!

А тут ещё и ваша дурацкая регистрация! Ни у кого такой нет!

А как оказалось надо БУРЖУЙСКИЕ симфолы вводить!!! (а у большинства людей русская раскладка стоит)

А написать, предупредить это в форме не судьба???

[v.martyanov]

Написали вы не в техподдержку, это раз. Ответ по тикету получили - это два.

[I_CaR]

Доктор Web уже официально заявил, что в большинстве случаев файлы не расшифровываются.

http://antifraud.drweb.ru/encryption_trojs/

Остаётся лишь одно - (самое скользкое) надеяться, как не смешно, на честность злоумышленников и выплатить им (с меня они требуют  25 000 руб.)

Другого выхода пока нет. Да и вряд ли будет.

Привер: Вам поставили бомбу в квартиру с таймером на 2 дня... Правоохранительные органы будут код расшифровывать 7 дней. Вынести бомбу нельзя - привязана к координатам по навигации. Выходить и эвакуировать членов семии нельзя (камера грамотной бомбы отслеживает положение створок окна и дверного проёма - сличение с исходным положением).

Выбирать вам... Заплатите. И, возможн бомбу отключат. (В коммерческих целях злоумышленников, первоочередная цель - не жертвы, а деньги). Поэтому должны отключить.

Добро побеждает лишь в сказках.

Вы же все взрослые люди!

И помните киднепинг в 90-х.

Сейчас это делаеться более умным способом и более умными технологиями.

[v.martyanov]

Доктор Web уже официально заявил, что в большинстве случаев файлы не расшифровываются.

http://antifraud.drweb.ru/encryption_trojs/

Остаётся лишь одно - (самое скользкое) надеяться, как не смешно, на честность злоумышленников и выплатить им (с меня они требуют  25 000 руб.)

Другого выхода пока нет. Да и вряд ли будет.

Привер: Вам поставили бомбу в квартиру с таймером на 2 дня... Правоохранительные органы будут код расшифровывать 7 дней. Вынести бомбу нельзя - привязана к координатам по навигации. Выходить и эвакуировать членов семии нельзя (камера грамотной бомбы отслеживает положение створок окна и дверного проёма - сличение с исходным положением).

Выбирать вам... Заплатите. И, возможн бомбу отключат. (В коммерческих целях злоумышленников, первоочередная цель - не жертвы, а деньги). Поэтому должны отключить.

Добро побеждает лишь в сказках.

Вы же все взрослые люди!

И помните киднепинг в 90-х.

Сейчас это делаеться более умным способом и более умными технологиями.

И что же вы этим хотите сказать?

[I_CaR]

Написали вы не в техподдержку, это раз. Ответ по тикету получили - это два.

Компания Dr.web предлагает свою, возможно посильную помощь, тем кто заплатит деньги за преобретение их продукта (плата а труды) - Согласен. Заплатил!

Приобрёл Лиценизию для Security Space v10

Написал тикет.

Первый раз я же не знал, что это зашифровшик. Там дали номер тикету: drweb.com #6235598

И ответ:

"Данная угроза известна нашим специалистам. Соответствующая запись появится в вирусной базе Dr.Web в ближайшее время.
Угроза: Trojan.Encoder.567
Спасибо за сотрудничество."

Ну что-ж здорово. Хорошо.

Сделал второй запрос уже вот сюда: https://support.drweb.ru/new/free_unlocker/?keyno=&for_decode=1

И получил следующий ответ:

"Расшифровка нашими силами видится невозможной. Таким образом, основная рекомендация : обратитесь с заявлением в управление МВД РФ;"

Слово то какое - "видится"!

Хорошо. Милиция поймает злоумышленника. И он под страхом сурового уголовного наказания расшифрует файлы.

И ещё. Почему я открыл этот файл.

(Dr.Web на тот момент писал: "Обновление не требуется")

Проверил: см.скриншот и открыл....

 

Позже уже проверил на Dr.Web онлан - результат тот же! Чисто.

Лишь через несколько часов позже (видать после моего тикета) обе системы стали показывать заразу.

Но... бомба уже запустилась...

---

К чему всё это? А вот к чему:

Не вижу платить деньги тем, кто не может предоставить защиту.

Помните как работал рекет?

Так и тут... сопротивляешься - твой ларёк сгорит. Заплотишь - всё будет нормально. До следующего раза.

Так и здесь

Сообщение было изменено I_CaR: 08 Октябрь 2015 - 17:35

[VVS]

К чему всё это? А вот к чему:

Не вижу платить деньги тем, кто не может предоставить защиту.

100% защиту (с некоторыми оговорками) может обеспечить только сам пользователь.

Ни один антивирус 100% защиты не обеспечит.

[Vladimir K.]

Бэкап, бэкап и еще раз бэкап - скупой и ленивый платят дважды. А в ситуации с шифровальщиками можно платить до бесконечности и дальше будет только хуже, судя по всему.

[VVS]

Бэкап, бэкап и еще раз бэкап - скупой и ленивый платят дважды. А в ситуации с шифровальщиками можно платить до бесконечности и дальше будет только хуже, судя по всему.

Вспоминается песенка из фильма "Буратино", цитировать не буду, чтобы никого не обидеть...

[v.martyanov]

Ога. А особенно радуют доморощенные эксперты, которые и двух-то строк кода написать не могут.

[katbert]

Подскажите плз, где можно отслеживать новости по борьбе с Trojan.Encoder.567, шифрующем файлы в .cbf

 

Например, тут он не упомянут:

http://forum.drweb.com/index.php?showtopic=314687

 

Тут - говорится о вероятности 10-20%

http://antifraud.drweb.ru/encryption_trojs?lng=ru

[Sanderus]

Решение

Доброго дня!

Сам столкнулся с этой заразой на днях.
Для лечения использую утилиту ShadowExplorer.

Восстанавливает предыдущее состояние документов.

[v.martyanov]

Если состояние было и троян его не удалил...

[Sanderus]

Если состояние было и троян его не удалил...

Для многих хоть какая-то надежда на восстановление большинства файлов   И еще один путь поиска решения проблемы.