Перейти к содержимому


Фото
- - - - -

Шифровальщик .vault


  • Закрыто Тема закрыта
536 ответов в этой теме

#381 zamara3007

zamara3007

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 25 Март 2015 - 18:53

пробовал ставить пароль (virus) как рекомендуется, вебер ругается


Сообщение было изменено zamara3007: 25 Март 2015 - 18:54


#382 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 25 Март 2015 - 18:55

111


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#383 username500

username500

    Newbie

  • Posters
  • 88 Сообщений:

Отправлено 25 Март 2015 - 18:58

Так, я же говорю, что с рабочего недает др.веб отправить, а с домашнего (не зараженного) стремно как-то, попробую завтра с зараженного отправить

https://www.virustotal.com/en/file/443a7142877fa56c07794e08a58968d860adc33c62c4e878f5e35615275740d1/analysis/1427298465/

 

авасты и ноды32 пока "отдыхают". Свежачок уже стал толще в размерах для правдоподобности, т.е. техподдержка рэкетиров не дремлет.

Осталось вирусу научиться шифровать файлы odt, rar, gsf, dt, компаса3Д и в 64-х битных виндах и за ними будет вся страна гоняться с автоматами и "тополями" :)

 

Сквозь мэйл.ру такие заразные письма ещё проходят.


Сообщение было изменено username500: 25 Март 2015 - 19:00


#384 zamara3007

zamara3007

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 25 Март 2015 - 18:59

приходил товарищ, пробовал Cureit удалять, даже другими прогами через загрузку с флешки, ничего не помогает, может проги старые, а Cureit сегодня только качал


Кстати, рар пока не кодирует, я пробовал, в архиве все открывается



#385 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 983 Сообщений:

Отправлено 25 Март 2015 - 19:00

 

Так, я же говорю, что с рабочего недает др.веб отправить, а с домашнего (не зараженного) стремно как-то, попробую завтра с зараженного отправить

https://www.virustotal.com/en/file/443a7142877fa56c07794e08a58968d860adc33c62c4e878f5e35615275740d1/analysis/1427298465/

 

авасты и ноды32 пока отдыхают. Свежачок уже стал толще в размерах для правдоподобности, т.е. техподдержка рэкетиров не дремлет.

Осталось вирусу научиться шифровать файлы odt, rar, gsf, dt, компаса3Д и в 64-х битных виндах и за ними будет вся страна гоняться с автоматами и "тополями" :)

 

Сквозь мэйл.ру такие заразные письма ещё проходят.

Можно в личку архивчик?


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#386 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 25 Март 2015 - 19:03

удалять что?

зашифрованые файлы?эксплоит?дропер в вордовском документе?


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#387 zamara3007

zamara3007

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 25 Март 2015 - 19:04

я боюсь, не получится, завтра обещали нагрянуть с проверкой на вирусняки и даже письмо, которое пока еще я по просьбе сисадминов не удалял, завтра удалят. я боюсь скачивать на свой единственно работающий домашний комп письмо с архивом, фиг его знает, как он себя поведет даже не открытый, если вы даете гарантию, что скачанный, но не открытый файл можно переслать, то я скину



#388 username500

username500

    Newbie

  • Posters
  • 88 Сообщений:

Отправлено 25 Март 2015 - 19:05

Можно же удалять JS из папки temp на всякий случай.

и запретить vbs, cmd&bat оттуда выполняться без 10 предупреждений.

 

и грохать все письма из налоговой и от приставов, написанные в 3 часа ночи с расширением *.docx.js

 

 

 

 

Можно в личку архивчик?

 

Прошёл без пароля?


Сообщение было изменено username500: 25 Март 2015 - 19:10


#389 zamara3007

zamara3007

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 25 Март 2015 - 19:05

производилась проверка на все вирусы, вирусы с подозрением на волт, Cureit не нашел



#390 zamara3007

zamara3007

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 25 Март 2015 - 19:09

Да, письмо то пришло не с налоговой, а возможно от потенциального поставщика техкомплект, конечно они использовали для этого даже подлинный маил организации



#391 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 25 Март 2015 - 19:10

мдэ.

Давайте ждать админов.

Надеюсь их компетентность позволит им обратится в суппорт.

Машину на которой зашифрованы файлы лучше всего выключить.


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#392 zamara3007

zamara3007

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 25 Март 2015 - 19:11

отдал товарищу, он головастый, может и вылечит, не вылечит, тогда хана всем моим госконтрактам



#393 zamara3007

zamara3007

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 25 Март 2015 - 19:13

скорее всего никуда они обращаться не будут (режим секретности не даст), вирус, я больше чем уверен на служебной машине уничтожат, а вот моим базам хана


Сообщение было изменено zamara3007: 25 Март 2015 - 19:13


#394 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 25 Март 2015 - 19:14

отдал товарищу, он головастый, может и вылечит, не вылечит, тогда хана всем моим госконтрактам

тля..ну включите думалку.

Что вылечит?

Переберет n-ное кол-во комбинаций для расшифровки? В АНБ работает товарищь?


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#395 username500

username500

    Newbie

  • Posters
  • 88 Сообщений:

Отправлено 25 Март 2015 - 19:14

Лет через 20 может и вылечит перебором.

Или если хакерам пошлёт меченые биткойны с горячим паяльником вместо оплаты.


Сообщение было изменено username500: 25 Март 2015 - 19:17


#396 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 25 Март 2015 - 19:15

скорее всего никуда они обращаться не будут (режим секретности не даст

Нас рать.

АВ сертифицирован ФСБ


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#397 zamara3007

zamara3007

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 25 Март 2015 - 19:15

Да нет ,не той американской разведке, просто головастый, ходит по военному городку и чинит по-маленьку компы нам безтолковым



#398 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 983 Сообщений:

Отправлено 25 Март 2015 - 19:24

Можно в личку архивчик?

Прошёл без пароля?

Немного не понял, куда хотите отправить? У нас в базе он уже есть. В чей вирлаб?


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#399 zamara3007

zamara3007

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 25 Март 2015 - 19:24

так безопасно ли скачивать архив или может зараженное письмо можно преслать



#400 zamara3007

zamara3007

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 25 Март 2015 - 19:28

в вирлаб аваста пытался с почты omto45108@yandex.ru (служебная почта) отправить зипархив с паролем со служебного компа, там стоит вебер, он и не дал переслать перепакованный и закодированный архив, просто я искал в нете, в чей вирлаб можно отправить скрипт




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых