Странный шифратор, кто нибудь сталкивался ?
 

У знакомых на работе словили вирусяру, судя по всему шифровальщик. Но я с таким впервые столкнулся. Он прибил все .... ert - ешки больше ничего не тронул, но вместо всех внешних обработок "email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-TGTVVIZDCSMDSICSTIBQGVPETJCRHWPEUJDS-30.03.2016 [email]16@54@314970843.randomname-LTLILABVIARHULBSFVMDQGXOARPGSJ.APB.cbf[/email]"
причем еще прикол - было несколько самописных и часть из них была названа на русском языке - они остались нетронутыми, а те которые латиницей - так же прибиты...
Никто не сталкивался ? Что за 1С-ненавистник появился ? Причем ненавистник 7-ки....

Именно с таким не сталкивался, сталкивался с plague17. Этот, помимо ерт, зашифровал и дбф.

(0) поиском поисковать не пробывал ?
[url]http://virusinfo.info/showthread.php?t=189999&[/url]

[url]https://forum.kaspersky.com/lofiversion/index.php/t338806.html[/url]

"Все фигня, если не война. И война фигня".
Несколько правил гигиены:
1. Всегда (слово обозначает именно "всегда", а не что-то вроде "когда время будет") работайте под [b]ограниченными[/b] (не "админскими") правами.
2. Не отключайте UAC (простое и удобное средство встроенной защиты).
3. Не открывайте кликом вложенные файлы в почтовике! Особенно зипованные. Офисные могут содержать макросы. Считываем в отдельную папку, смотрим содержимое зип-файла архиватором. Офисные - с запретом на макросы. Иначе макрос должен быть предварительно объявлен, а автор документа известен.

Уточнение к (3) п.2: "(...) Особенно [b][em]исполняемые, в т.ч.,[/em][/b] зипованные"

Тьху, п.3 :)

[quote=101;42176195] (0) поиском поисковать не пробывал ? [url]http://virusinfo.info/showthread.php?t=189999&[/url] [url]https://forum.kaspersky.com/lofivers...p/t338806.html[/url] [/quote]
да мне это как то ... до лампочки...
просто прикольно - кто то конкретно на 1С 7,7 ополчился....

(6) думаю, что чисто бизнес... если не осталось копий внешних отчётов, то люди заплатят дешифровальщику деньги

[quote=med;42177644]кто то конкретно на 1С 7,7 ополчился.... [/quote]
Бенефициар этого вируса один и имя его все знают.
Начинал с угроз "сбивать палками", мантрами про устаревшую систему,
обещал снять с поддержки и отменить таблицу умножения.
Угрозы не возымели эффекта.
Теперь перешел к акциям прямого действия - бабла-то не хватает.
Дидосит потихоньку неугодные ресурсы руками своего подельника по овносайту.
Вирусы эти продаются, есть рынок.
Запросто мог купить и доржику своему скормить ...

7-Гена >Согласен. Ибо внешние отчеты нередко не включают в бекапы, ограничиваются стандартной схемой.

а мне понравилось -

На вопрос, почему у нас понос? Как лечить?
некто VZ отвечает - носите с собой горшок

10-Helen1986 > Ну полечи RSA...
Чего лечить? Голову, которая открывает исполняемый файл от неведомого адреса? Так это раньше надо, когда пациент еще в пеленках все в рот тащил.
Макросы? Да им уже лет 20, как минимум, с Word-6 первые попёрлись.

Эти "шифровальщики" вовсе не какие-то там хитромудрые черви, продирающиеся через серьёзную настройку безопасности, и подделующие сертификаты, это то, что называется "социальная инженерия". А проще - ловля лоха на живца. Замучаешься его спасать.
Просвещение и профилактика - вот рецепт. А необучаем... Что ж, такие всегда найдутся. Пусть ездят на такси, нанимают секретаршу, и самостоятельно гвоздь в стенку не забивают.

Наверное база была открыта поэтому открытые файлы dbf cdx не зашифровались

12-i_mak > Даже в "чистой" базе полно файлов, которые не держаться открытыми постоянно. От readme. до Extforms, набитом всяким барахлом. И можно сразу понять, на что нацелен "шифровальщик". На БД-ы 77? легко: ищем каталоги с .md. Только вот таких каталогов должно быть [u]несколько[/u]. Даже если забыть про копии и апдейты. Бо даже в единственной и неповторимой БД мд-ника - [b]две штуки[/b]. Так что определить "цель" зловреда - как два байта прочитать.
Хотя описание ситуевины - невнятно совсем, да.

[quote=VZ;42179050]Просвещение и профилактика - вот рецепт. А необучаем... Что ж, такие всегда найдутся. Пусть ездят на такси, нанимают секретаршу, и самостоятельно гвоздь в стенку не забивают.[/quote]

и остерегаются!

главное - остерегаться!

[img]http://cdn.trinixy.ru/pics5/20160526/tehnika_bezopasnosti_25.jpg[/img]

почему-то те, кто ездит на такси, нанимают секретаршу и самостоятельно гвоздь в стенку не забивают - чувствуют себя намного лучше...

15-Buhta >У каждого свой уровень проблем. И те, кто имеет (в хорошем смысле) секретаршу, имеют и проблемы соответствующие. Кому-то файлы восстанавливать, а кому-то от ОБЭП бегать.

[quote=Странный аттрактор;42183113]У каждого свой уровень проблем[/quote] естесственно. и каждый решает свои проблемы в меру своего уровня, а остальное чисто по желанию :)

[quote=i_mak;42180862]Наверное база была открыта поэтому открытые файлы dbf cdx не зашифровались [/quote]
Кстати очень может быть - база действительно была открыта
[quote=Странный аттрактор;42178045]Ибо внешние отчеты нередко не включают в бекапы, ограничиваются стандартной схемой. [/quote]
Ну тут проблем не было - база DBF поэтому кроме обычных хранятся еще оперативные копии за последние 7 дней - целиком архивы каталогов базы, так что извлечь оттуда ert шники большого труда не составило. Просто как я уже говорил удивило efd-шники остались, ert-шники которые названы по русски остались... как будто искались файлы по маске и по шрифту ...

имхо - проба пера ....

(0) нет. и не стремлюсь.
получается система не тронута (работоспособна). мягкий такой ненавязчивый отъём денег. заплати мол лучше сейчас, или хуже будет.

ибо что не зашифровано - не значит не заражено.

21-Зелёный тролль > "Почтовый шифратор" только шифрует. Фотки, видео, потом все, до чего дотянется. Если клиент работает пол локальным админом, то - до многого чего.
Схема: Зараженный файл загружает шифратор (с сервера, или облака), формирует рандом ключ, и начинает шифровать все, до чегодотягивется. Одновременно формируется сообщение для клиента (кудп платить). Шифратор самоуничтожается при остановке. Схема постоянно совершенствуются. Цены держаться умеренными. Мыло долго не живет, так что сроки - это от момента запуска в сеть,а не от момента срабатывания.
Правоохренители не помогут, увы.
Так шта... Спасение утопающих - забота самих утопающих.

[quote=VZ;42190053] Цены держаться умеренными[/quote]с меня просили 30. Это так, для сверки цен.

23-Странный аттрактор > Сам не платил, личного опыта нет. Меры предпринял сразу же после появления первой версии (не RSA).
Полагаю, что услуги частной расшифровки вообще мало кому доступны.

А мне вот интересно: почему шифровальщики не научились ещё шифровать данные в лок. сети? Подумаешь, комп ГБ издох, тоже мне, потеря.. А так, открыла она письмо: "Арбитраж завершился не в вашу пользу, выписка с заседания суда в приложении", и вся локалка легла. Ну или, по крайней мере, расшаренные на RW папки с БД. Вот это был бы успех.
И ещё: почему Касперские/Даниловы/етс не реагируют никак? Что, трудно задетектить процесс шифрования и спросить, в курсе ли происходящего юзер?

[quote=Странный аттрактор;42193056]почему шифровальщики не научились ещё шифровать данные в лок. сети?[/quote]да давно уже шифруют. "все расшаренные на rw папки".
одни мои клиенты истчо в 2014 году такого шифровальщика ловили. он им по сети все расширения док, хлс, жипег, зип, рар зашифровал. В общем, почти все, что было во всех расшаренных каталогах.

[quote=Блондинка в шок;42193622]да давно уже шифруют. "все расшаренные на rw папки"[/quote]"Эх.. А я думал, что самый умный..
Тогда другой вопрос: шифровальщики работают по маске? Может, будет уместным на всякий случай архивы переименовывать в архивТакойТо.123?

25-Странный аттрактор > Во-первых, локальные сети (ко времени появления "шифровальщиков") уже были защищены хотя бы стремлением не разводить бардак. И были закалены предыдущими поколениями вирусов. И сеть более устойчива: она распределенная устройствами. И корпоративный клиент, в общем-то, просто опаснее когда обидится.
Во-вторых, [u]касперскиеданиловы[/u] реагировать умеют только на что-то типовое. Первую версию "шифровальщиков" ("Ваш компьютер заблокирован. Для разблокировки получите код блаблабла") они реагировали: помещали на своих сайтах списки этих самых кодов. Но следующая версия (с RSA) стала им не по зубам. Даже обладая методами взлома - нужны очень значительные ресурсы. Одно дело: вскрыть переписку какого-нить посольства, совсем другое - массовая услуга взлома для восстановления частных коллекций "Как я провел с Машей это лето". Тот, кто может заплатить, тот может и обратится с частным заказом к криптоаналитику (достаточно редкая профессия).
А "задетектить"? Это как? Контролировать все компьютеры? Все-все почтовые сервера обязать просматривать почту? Нарушать приватность?
Так это возможно только при свирепой диктатуре. Которая подстригает мозги под один фасон. И, как следствие, эта страна просто гибнет: съедят.

Ничего страшного. Это все-го лишь очередной урок взросления. Кто его усвоит - тот будет готов к следующим атакам на приватность. А нет так нет.

[quote=VZ;42193785]А "задетектить"? Это как? Контролировать все компьютеры? Все-все почтовые сервера обязать просматривать почту? Нарушать приватность?[/quote]
да зачем так сложно-то? Стоит антивирус, детектит процессы. Началось шифрование - ахтунг! Подозрительная активность. Не Вы ли шифруете данные? (да/нет). По-моему, вполне рабочий вариант.

[quote=VZ;42193785]Ничего страшного. Это все-го лишь очередной урок взросления.[/quote]Я волнуюсь за коммерческое состояние антивирусописателей. Первый антивирус, детектирующий шифровальщика, ждёт оглушительный успех.

29-Странный аттрактор > "[em]Стоит антивирус, детектит процессы. Началось шифрование - ахтунг! Подозрительная активность[/em]" - с чего это вдруг "подозрительная"? Процесс инициализирован пользователем. Царем природы. Повелителем Вселенной. Процесс обыденный: Царь природы решил зашифровать свои данные. Соответствующие разрешения в браузере прописаны...

"[em]Первый антивирус, детектирующий шифровальщика, ждёт оглушительный успех[/em]" - или коммерческий провал. Ибо "шифровальщик" - это не чудо-технология, а цыганская хитрость. "Социальная инженерия". Такая же, как и "нигерийские письма".
Как только задействуют тяжелую артиллерию, шифровальщик злодеи просто бросят. И как оправдать расходы на разработку?

[quote=VZ;42196815]с чего это вдруг "подозрительная"?[/quote]а почему бы и не объявить эту деятельность таковой, раз повод есть?
[quote=VZ;42196815]Как только задействуют тяжелую артиллерию, шифровальщик злодеи просто бросят. И как оправдать расходы на разработку?[/quote]Да какие там расходы? Поставить галочку: "детектирование шифрования", и всё. Они больше теряют на утере доверия, нежели потратятся на разработку.

(32) "[em]Поставить галочку: "детектирование шифрования", и всё[/em]" - угу это только так кажется. С точки зрения компьютера шифрование ничем не отличается от редактирования файла программой специально запущенной пользователем, той же 1С: открытие файла - чтение - запись.

Другое дело, что писатели антивирусов могли бы ввести фишку ограничения доступа к файлам только "доверенным" (разрешенным) приложениям: для DOC - Word, для XLS - Excel, для 1CD - 1C и так далее.

Почему они этого не делают, лично мне не понятно. Впрочем, у Касперского вроде можно настроить доступ к определенным типам файлов только приложениям из папки Program Files, в кторую запись шифраторов можно легко пресечь.

1С много чего вытворяет и не утратила доверия. И господа антивирусники не утратят

[quote=Ткачик;42198070]С точки зрения компьютера шифрование ничем не отличается от редактирования файла программой[/quote]т.е., шифрование как процесс нельзя вычленить?

[quote=USSR;42198079]1С много чего вытворяет[/quote]она-то, может, и вытворяет, но базовые функции выполняет чётко. А тут антивирус не справляется со своей первостепенной задачей.

33-Ткачик > Угу. Только вот Ворды всякие умеют запускать макросы на VBScript (и все хорошее через CreatObject()), А 1С умеет присоединять ВК через замечательную vkloader.dll. В режиме ограниченного пользователя. Ну, и СоздатьОбЪект() на двух языках никто не запретил. Да-с.

Функционал с такими дырками будет просто обманывать юзеров ложными надеждами.

Мы хотим совместить несовместимое или как говорят "м рыбку сьесть и ...". Хотим работать в открытой вему и всем операционной системе Windows (которая по своей сути является большой и малоконтролируемой помойкой файлов) и безопасность. Да еще чтобы дядюшки Нортон или Касперский нам эту безопасность обеспечили. Хочется безопасности - есть другие машины, другие операционки, другие прикладные решения. Ну а иначе, уж кто как умеет. А Касперский по моему многое спрашивает, разрешить ли, но многое и пропускает

38-USSR > "[em]которая по своей сути является большой и малоконтролируемой помойкой файлов[/em]" - ты просто не в курсе. А по серверным - особенно.