[1] [2] |
Вирус-шифровальщик - устранить последствия и обезопаситься на будущее Сегодня в 5 утра произошла такая беда. Теперь имена файлов БД имеют следующий вид 1SACCSEL.DBF.id-{VEOQGICFZBOUIOMSGFLJXDCIVBAGTZYESYWC-15.02.2015 [email]5@07@416114300**-email-base1c1c1c@gmail.com-ver-4.0.0.0.cbf[/email] Можно-ли с этим что-то поделать сейчас? И как обезопаситься в будущем? |
[url]http://forum.drweb.com/index.php?showtopic=317016[/url] [url]http://forum.kasperskyclub.ru/index.php?app=blog&module=display§ion=blog&blogid=345&showentry=1920[/url] [url]http://habrahabr.ru/post/206830/[/url] И много их: [url]http://yandex.ru/yandsearch?text=%D0%92%D0%B8%D1%80%D1%83%D1%81-%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BB%D1%8C%D1%89%D0%B8%D0%BA[/url] А защитится не просто. Совсем не просто. А очень просто. Рецепт: Повторяй три раза в день: Я не работаю на компе под аккаунтом админи! Я не работаю на компе под аккаунтом админи! Я не работаю на компе под аккаунтом админи! Я не работаю на компе под аккаунтом админи! Потом настрой UAC, при необходимости. И всё....... Шифровщики и блокираторы идут лесом. |
(1)"Я не работаю на компе под аккаунтом админи" 1с файловая, поэтому пользователи имеют доступ к файлам. как здесь поможет ограничение аккаунта? |
(1) а вот это не поможет? [url]http://forum.drweb.com/index.php?showtopic=317016[/url] [em] "Шифрует он не весь файл - а первые 255 байт. Поэтому декриптор можно написать - в dbf там как раз заголовки со структурой." каким ПО можно отредактировать зашифрованную часть файла dbf?[/em] |
(3) Ссылка старая, с тех пор уже не одно поколение этих вирусов сменилось. Про данный гуглится вот что: [url]http://virusinfo.info/showthread.php?t=173152[/url] [url]http://virusinfo.info/showthread.php?t=170580[/url] [url]http://forum.kaspersky.com/index.php?showtopic=312780[/url] А можно расшифровать или нет - об этом лучше DrWeb спрашивать, если лицензия на него есть. |
2-Looking > "[em]1с файловая, поэтому пользователи имеют доступ к файлам. как здесь поможет ограничение аккаунта?[/em]" - ну что ты несешь, при чем здесь "файловая"? У меня все пользователи работают под ограниченными правами. Конечно, они имеют полный доступ. Но они не могут натравить никакую утилу на обработку этих файлов, если она не расположена в "правильном" месте (напр. Program Files"). А чтобы разместить утилу в "правильном месте" надо обладать правами админа. А UAC - это инструмент для управления "правильными местами". Все просто: пришедшая хрень по сети через браузер ("блокировщик") может что-то заблокировать, но не RESET на корпусе компа. А вот записать свое тельце в "правильном месте" никак не сможет. С .js несколько сложнее, но изначально виндовый браузер (и, вроде как другие брендовые браузеры) изначально настроены на запрещение исполнять .js Плюс бэкапы. в статье хабра приведено замечательное правило: бэкап может записать только специально для этого заведенная учетная запись. Читать бэкап ("восстанавливать с архива") - куча других. И тут "врагу" будет облом: добраться до архива, и прочитать-то он сможет, но вот испортить - никак, ибо нет прав записи. 3-Looking > Обратись к drweb. Не знаю. P.S. Я давний член клуба Любителей бэкапов. |
(5) Да не надо там никуда в "правильное место" писать - вирус срабатывает [b]одноразово[/b], максимум для чего подобное зверье пытается прописать себя в автозагрузку - чтобы требования и координаты злоумышленника вывесить. Но в данной модификации его e-mail прямо в имени файла зашит, у меня один клиент пострадал от похожего (вот такого: [url]http://www.yaplakal.com/forum3/topic985657.html[/url]), так тот и не пытался автозагрузку настроить - просто спустя день или два пришло на ту же почту письмо от вымогателя. Видимо, вирус уведомляет хозяина об успешном заражении. А то и ключ шифрования ему отсылает, так что остается только деньги платить паразиту, больше [b]никто[/b] помочь не в силах. |
(6)а "отдел К"? ведь он-же с какого-то мыла пишет? его вычислить нельзя? |
(5)спасибо за подробный ответ! |
(6)[em]у меня один клиент пострадал от похожего [/em] антивирус не помог? |
(9) Это просто невозможно: ключ ширования длинный, не подберешь, для каждого пострадавшего он уникальный и на компьютере его вообще не остается - только на сервере злоумышленника. Причем, ходят слухи, что ключи хранятся ограниченное время, если протянете время, то вообще никто помочь не сможет. Так что если нужны данные - только платить, а если хочется покарать злодея - можете обращаться куда угодно и ждать, ждать, ждать... |
6-Ткачик > Пишет-пишет. Шифровальщик же надо куда-то скачать, правда? Не виндовым же гад пользуется? Так что UAC рулит. И да, никогда не запускаю на исполнение архивы. Всегда вызываю контекстом архиватор (7z) и "Сохранить..."). Если знаю, что а архиве (от users.v8.1c.ru, напр.). Иначе предварительно "Открыть архив". И все будет хорошо. P.S. По твоей ссылке на первой же странице, некий Kurbis, цитата: "[em]...Легко произойдет при открытии письма на Win XP с Outlook 2007 (а то и 2003), у пользователя [b]у которого есть права админа[/b][/em]". Конец цитаты. ЧиТД. |
(10)я имел ввиду - как он его подхватил? на ПК не было антивируса? |
(11) "Шифровальщик же надо куда-то скачать, правда?" - временные файлы Интернета чем не годятся? (12) Точно, как в ссылке: письмо от судебных приставов открыли. Антивирус - не панацея, авторы постоянно модифицируют свою заразу. У меня в качестве положительного опыта в конце прошлого года был случай, когда обратились люди, уже купившие ключ для расшифровки и не сумевшие им воспользоваться как раз из-за антивируса: заражение он не распознал, вируса не было в базах. Зато когда вирусу (шифровщик - он же и расшифровщик) скормили ключ и он приступил к расшифровке - НОД32 был уже в курсе и грохнул супостата, не дав закончить работу. |
12-Looking > как как, вариантов масса сотр теамвьюером из дома поработал или на работе из андроида вайфай точку доступа сделал, что бы корпоративную блокировку сайтов обойти ЗЫ некуй тырнет блокировать и внешние носители типа юсби, как работать-то юзерам? про программеров уже молчу |
(13)Я своих запугал страшилками, провел презентацию по безопасной работе с электронной почтой, вложениями. При малейшем подозрении на странность в электронном письме обращались в ИТ, так на днях всплыло два письма с вышеозначенным шифровальщиком: одно якобы от арбитражного суда о возбуждении административного производства, другое - акт сверки от клиента. Знают злоумышленники на что давить ) |
и вай-фай глушилки в бизнес центре фик поставишь, сразу сосэдские нищеброды набегут, типа калл-центров из х/ф Мамы |
Windows серьезно за безопасность взялся: [url]http://dml.compkaluga.ru/forum/index.php?showtopic=26342[/url] |
Вот еще хорошая статья: [url]http://www.winblog.ru/admin/1147768013-19031201.html[/url] Шифровальщик в пролете ;) |
(17) вопрос сабжа не решает, имхо шифровальщик легко батничком можно сделать вполне на текстовом уровне, смд или скриптом ЗЫ как впрочем и сам бат, смд или скрипт программно сформировать и потом прикокнуть после выполнения или перезагрузки Фаервол надо серьезный, что б перед записью/перезаписью всего на C: всегда спрашивал. для домашнего пользования неудобно конечно, зато антивирь тогда не нужно если один юзер с паролем за рулем |
хотя конечно, вспоминая операторов ввода накладных в три смены круглосуточно начинаешь репу чесать - что такое ПК? |
Принципиально, раз и навсегда, вопрос с вирусами решает установка Линукса. |
(21) Зато может создать другие проблемы: клиент-банк, сайты госзакупок и отправки отчетности в ФНС&ПФР и прочее ПО, требующее IE и/или технологий, доступных только в Windows. |
21-shotsdv2008 > Ох, уж эти сказочники... |
Этой осенью дважды попали на paycrypt@gmail_com - зараза каждый раз разная и не ловится ни Касперским ни Авирой. -- Как в моем случае поймали: По почте (неважно через почт.клиент или браузер)приходит безобидное письмо - типа "Акт сверки.....", само письмо безопасное, но в нем вложение обязательно в архиве. Жертва открывает письмо, открывает архив, бдительность - 0, а в архиве обязательно длинное имя, также безобидного вида - "Акт сверки ....", но оно настолько длинное, что "Жертва" пока не раздвинет на весь экран не увидит, что расширение файла - js. На значек в начале файла уже не смотрят. -- После чего выходит безобидное сообщение "Ошибка архива" или что-то подобное. -- Жертва закрывает окно и работает как ни в чем не бывало. А в это время шифруются все доки, все графические файлы, все PDF. -- Расшифровать нереально судя по сообщениям в инете. Зараза в текстовом файле просит ~4500 евро. -- Как лечил - никак система после перезагрузки ничем не заражена -просто удалил все файлы с расширением - paycrypt@gmail_com -- Меня частично спасло, то что, хотя в сети более 100 комп. но она разделена сегменты по VLAN. -- В первом случае все зашифрованное восстановил из почты, кроме личных фото. Во втором потери были, но несущественные, 1С не тронуло т.к. локально ничего нет и все прописано по полному пути через IP. -- Скорость шифрования очень высокая, в первую очередь шифрует локальные и сетевые диски. |
Да, после "заразы" чистил все временные файлы. |
Не пойму один момент: если комп жертвы входит в сеть, то шифруются только его файлы или и те, которые находятся на сервере? Как вирус до сервера может добраться? |
26-Bitas > Зараза наследует права на доступ от юзера. |
Шифрует даже все, что расшарено у соседних пользователей в сегменте VLAN. -- Выводы делайте сами, я дважды всех обходил и все подробно объяснял. После чего были еще две попытки (наверно больше), но юзеры были готовы. -- Поменьше, я бы вообще запретил, юзерам что-либо расшаривать кроме принтеров. |
(22) Никаких проблем. Ставишь Виртуал Бокс и в него любимую винду, которая ходит только в банк и на площадки. (23) Я в этой "сказке" живу уже 13 лет. |
29-shotsdv2008 > А я с виндой 20 лет. И что? Совершенно не вижу причин, чтоб сабжевый "шифровальщик" не смог поразить линукс. Рут/администратор ему, собсно, и не нужен. Единственно, что нужно: как можно больше декстопов. Сейчас их много больше с виндой. Ничего, он еще на смарфонах и планшетах порезвиться :) |
Меряться письками будем? Тогда я свою первую программу написал в 76 году... В линуксе, в отличие от винды, все нужно запускать руками. Безусловно, если пользователь поставит вайн и САМ запустит вирус, то он поразит базы 1С. Но тогда проще взять и стереть эти базы и не надо для этого никаких вирусов. |
Одно из принципиальных отличий линукса от винды, это то, что линукс не ставит себя выше пользователя, а винда это делает постоянно. |
32-shotsdv2008 > Совершенно бессмысленные слова... |
[img]http://s4.live4fun.ru/pictures/s3img_12398122_8474_0.jpg[/img] |
В виндус 7 и 8 есть замечательное свойство файлов - "предыдущие версии" |
35-smaharbA > в (18) дана ссылка. Но кардинально проблема решается либо облачным сервисом по автоматическому сохранению всего содержимого компа, либо мощным эвристическим преданализом. |
Мы являемся клиентами DrWeb и он нам помог , правда времени прошло около 2 недель, но после обращения в службу поддержки был прислан расшифровальщик - расшифровал все файлы и 1С и картинки и pdf и документы офиса. |
Блин, помучился я с этим Cbf. Перепробовал много разных антивирусов и программ антишпионов и тулзов от Касперского, уже был готов платить за разблокировку, но на этом сайте ([url]http://itsecurity-ru.com/viruses/cbf[/url]) нашел бесплатную программу ShadowExplorer которая каким-то образом отбекапила почти все файлы! |
нонешние шифровальщики(от спецов) теневые копии не забывают прибивать... только восстановление из грамотного бекапа спасает от этой заразы после ее работы |
Текущее время: 16:36. Часовой пояс GMT +3. | [1] [2] |