Форум на Kuban.ru - Итоги работы вируса Trojan.Encoder.3953 V4+

Форум на Kuban.ru (http://forums.kuban.ru/)

- Использование программ (http://forums.kuban.ru/f1025/)

- - Итоги работы вируса Trojan.Encoder.3953 V4+ (http://forums.kuban.ru/f1025/itogi_raboty_virusa_trojan_encoder_3953_v4-8984859.html)

Итоги работы вируса Trojan.Encoder.3953 V4+

это заметка о беспечности пользователей, которые были примерно наказаны; или чем венда отличается от ворда и почему следует ржать в ответ на фразы "а я без антивируса уже 10 лет полет нормальный, и всякие растворители нюхаю полет нормальный"

С неделю назад подвергся заражению сервер. Кто заразил, и как - неизвестно. Админ тоже ничего конкретного не говорит, вроде как кто-то, куда-то получил письмо с архивом и запустил заразу. Интересно, что это произошло с воскр. на понед. в два часа ночи.
Но факт остается фактом – все файлы, включая содержимое сетевых папок (это примерно 700 гб) и три базы 1С (28 гб) зашифрованы Trojan.Ransom.Crysis, или по версии др. веба (который всех посылает нафик) Trojan.Encoder.3953 V4+. У меня в обменнике тоже кое-что хранилось; восстановил из резервной копии. Давнишней, но это не шибко важно. С другими все сложнее. Ради интереса опробовал утилиты по дешифровке: BDGandCrabDecryptTool, RakhniDecryptor, RannohDecryptor, RansomwareFileDecryptor 1.0.1668 MUI Трендмикро определила, что это один из разновидностей Crysis.
Файлы имеют маску .docx.id-80BB3B33.[rsacrypt@aol.com].rsa
ОС сервера админ грохнул, но базы 1С и файлообменник сохранил. Обратился в несколько инет-контор, который дешифровать отказались без зараженной оси, но согласились восстановить базы 1С за шибко небессплатно. Почитал отзывы, настораживает мнение, что вымогатели и инет-конторы из одной идавитой среды; то есть, нефига они не восстанавливают, а просто дешифруют базы, используя инструменты, перекупленные у вымогателей.
***
Спросил у одного, а если обратиться к вымогателям? На что он ответил, примерно следующее:
- Есть 3 варианта развития событий. Наиболее вероятный - он попросит еще раз столько же. И вы скорее всего заплатите, потому что уже проинвестировали. После этого, он вам восстановит информацию, но вы попадете в их базы как платежеспособные, и вас будут пытаться каждый год ломать. А еще, иногда их дешифраторы не могут восстановить обратно все; что-то расшифровывается битым; или вообще не расшифровывается.
Второй по вероятности - после оплаты вымогатель перестанет выходить на связь; ни денег, ни информации вы больше не увидите.
Ну и третий - действительно бывают те, кто сразу восстанавливает, но почти всегда с последствиями которые я в первом случае указал. Я бы сказал процентов 15-20 по опыту шанс успеха.

[quote=Carcass;47254193]Почитал отзывы, настораживает мнение, что вымогатели и инет-конторы из одной идавитой среды; [/quote]
Я думаю что скорее всего так и есть
Помниться в начале 2000 только появился в Краснодаре ADSL бродили такие вирусяки из области [b]ДОУНЛОАДЕРОВ [/b]то есть трафик качали НЕМЕРЯННО, тогда безлимитов исчо не было и вся оплата по скачаному трафику шла.
многие им заражались им такие счеты от ЮТК приходили что мама не горюй сам лично таких людей знвал и на Красной 59 видел лично МНОЖЕСТВО разборок по этому вопросу
Чел божиться что не мог качать стоко а они грят у нас билинг показал что мог, в итоге у него в компе и находили такого ДОУНЛОАДЕРА, проблема была широкого масштаба

после того как тарифы по трафику ушли в историю а их место заняли БЕЗЛИМИТЫ и сами куда то ЖДОУНЛОАДЕРЫ и пропали.
НЕ наводит ни накакие мысли?????

[img]https://d.radikal.ru/d24/1911/56/acd9e1b362c9.jpg[/img]

тут же на КАБАН HE и реклама идет вот и размышляй кто это все творит.

Я думаю что расшифровывают теже люди что и расшифровывают

[quote=Шепель;47259335]Я думаю что расшифровывают теже люди что и расшифровывают [/quote] что и зашифровывают.
То есть, из лучших побуждений, вообще не следует платить, ибо кому не заплатишь - одно идавитое жулье. А жулье кормить мы и без этого привыкли.

[quote=Carcass;47261768]что и зашифровывают. [/quote]
да извини ошибся)))
Знаешь ли, если это в организации и происходит это у некоторых пользователей, то очень даже велика вероятность тук рук Админа
Я сам много лет Админом работал, и не по наслышке знаю, как некоторые [b]КРУТЫЕ ЮЗВЕРИ[/b] любят приоткрыто и прилюдно плюнуть в морду АдминуЭ не думая о последствиях и не догадываясь что у Админа против него СтоооООООООлько возможностей его подставить)))))))

Подобное часто происходит когда РУКОВОДСТВУ нужно провести чистку рядов, таккую тонкую чистку, что бы юзверь сам написал [b]ПО СОБСТВЕНОМУ[/b]

Хотя могут быть и откровенные ВЫМОГАТЕЛИ извне, с одних постов тяжело истину понять.

у нас, как и везде енотовый пофигизм: руководство делает вид, что платит, а сотрудники делают вид, что работают. Отсюда и растут все ноги

и ТАКОЕ МОЖЕТ БЫТЬ
Руководство от своего жопоумтства могло кинуть Админа на деньги вот и получают результаты

[quote=Carcass;47254193] Кто заразил, и как - неизвестно. Админ тоже ничего конкретного не говорит, вроде как кто-то, куда-то получил письмо с архивом и запустил заразу.[/quote]
Ну тут просто, настоящего сисадмина на работу берёте и всё.