К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Рекомендовать в новости

Вирус-шифровальщик - устранить последствия и обезопаситься на будущее

Гость
0 - 15.02.2015 - 19:41
Сегодня в 5 утра произошла такая беда.
Теперь имена файлов БД имеют следующий вид 1SACCSEL.DBF.id-{VEOQGICFZBOUIOMSGFLJXDCIVBAGTZYESYWC-15.02.2015 5@07@416114300**-email-base1c1c1c@gma...er-4.0.0.0.cbf

Можно-ли с этим что-то поделать сейчас? И как обезопаситься в будущем?



Гость
1 - 15.02.2015 - 19:56
http://forum.drweb.com/index.php?showtopic=317016
http://forum.kasperskyclub.ru/index....showentry=1920
http://habrahabr.ru/post/206830/
И много их: http://yandex.ru/yandsearch?text=%D0...89%D0%B8%D0%BA
А защитится не просто. Совсем не просто. А очень просто.
Рецепт: Повторяй три раза в день: Я не работаю на компе под аккаунтом админи! Я не работаю на компе под аккаунтом админи! Я не работаю на компе под аккаунтом админи! Я не работаю на компе под аккаунтом админи!
Потом настрой UAC, при необходимости.
И всё....... Шифровщики и блокираторы идут лесом.
Гость
2 - 15.02.2015 - 20:11
(1)"Я не работаю на компе под аккаунтом админи"

1с файловая, поэтому пользователи имеют доступ к файлам. как здесь поможет ограничение аккаунта?
Гость
3 - 15.02.2015 - 20:18
(1) а вот это не поможет?

http://forum.drweb.com/index.php?showtopic=317016

"Шифрует он не весь файл - а первые 255 байт. Поэтому декриптор можно написать - в dbf там как раз заголовки со структурой."

каким ПО можно отредактировать зашифрованную часть файла dbf?
4 - 15.02.2015 - 21:03
(3) Ссылка старая, с тех пор уже не одно поколение этих вирусов сменилось. Про данный гуглится вот что:

http://virusinfo.info/showthread.php?t=173152
http://virusinfo.info/showthread.php?t=170580
http://forum.kaspersky.com/index.php?showtopic=312780

А можно расшифровать или нет - об этом лучше DrWeb спрашивать, если лицензия на него есть.
Гость
5 - 15.02.2015 - 21:14
2-Looking > "1с файловая, поэтому пользователи имеют доступ к файлам. как здесь поможет ограничение аккаунта?" - ну что ты несешь, при чем здесь "файловая"? У меня все пользователи работают под ограниченными правами. Конечно, они имеют полный доступ. Но они не могут натравить никакую утилу на обработку этих файлов, если она не расположена в "правильном" месте (напр. Program Files"). А чтобы разместить утилу в "правильном месте" надо обладать правами админа. А UAC - это инструмент для управления "правильными местами".
Все просто: пришедшая хрень по сети через браузер ("блокировщик") может что-то заблокировать, но не RESET на корпусе компа. А вот записать свое тельце в "правильном месте" никак не сможет.
С .js несколько сложнее, но изначально виндовый браузер (и, вроде как другие брендовые браузеры) изначально настроены на запрещение исполнять .js
Плюс бэкапы. в статье хабра приведено замечательное правило: бэкап может записать только специально для этого заведенная учетная запись. Читать бэкап ("восстанавливать с архива") - куча других. И тут "врагу" будет облом: добраться до архива, и прочитать-то он сможет, но вот испортить - никак, ибо нет прав записи.
3-Looking > Обратись к drweb. Не знаю.
P.S. Я давний член клуба Любителей бэкапов.
6 - 15.02.2015 - 21:27
(5) Да не надо там никуда в "правильное место" писать - вирус срабатывает одноразово, максимум для чего подобное зверье пытается прописать себя в автозагрузку - чтобы требования и координаты злоумышленника вывесить. Но в данной модификации его e-mail прямо в имени файла зашит, у меня один клиент пострадал от похожего (вот такого: http://www.yaplakal.com/forum3/topic985657.html), так тот и не пытался автозагрузку настроить - просто спустя день или два пришло на ту же почту письмо от вымогателя. Видимо, вирус уведомляет хозяина об успешном заражении. А то и ключ шифрования ему отсылает, так что остается только деньги платить паразиту, больше никто помочь не в силах.
Гость
7 - 15.02.2015 - 21:32
(6)а "отдел К"? ведь он-же с какого-то мыла пишет? его вычислить нельзя?
Гость
8 - 15.02.2015 - 21:34
(5)спасибо за подробный ответ!
Гость
9 - 15.02.2015 - 21:51
(6)у меня один клиент пострадал от похожего

антивирус не помог?
10 - 15.02.2015 - 22:41
(9) Это просто невозможно: ключ ширования длинный, не подберешь, для каждого пострадавшего он уникальный и на компьютере его вообще не остается - только на сервере злоумышленника. Причем, ходят слухи, что ключи хранятся ограниченное время, если протянете время, то вообще никто помочь не сможет.

Так что если нужны данные - только платить, а если хочется покарать злодея - можете обращаться куда угодно и ждать, ждать, ждать...
Гость
11 - 15.02.2015 - 22:48
6-Ткачик > Пишет-пишет. Шифровальщик же надо куда-то скачать, правда? Не виндовым же гад пользуется?
Так что UAC рулит. И да, никогда не запускаю на исполнение архивы. Всегда вызываю контекстом архиватор (7z) и "Сохранить..."). Если знаю, что а архиве (от users.v8.1c.ru, напр.). Иначе предварительно "Открыть архив".
И все будет хорошо.
P.S. По твоей ссылке на первой же странице, некий Kurbis, цитата: "...Легко произойдет при открытии письма на Win XP с Outlook 2007 (а то и 2003), у пользователя у которого есть права админа". Конец цитаты.
ЧиТД.
Гость
12 - 15.02.2015 - 22:49
(10)я имел ввиду - как он его подхватил? на ПК не было антивируса?
13 - 15.02.2015 - 23:01
(11) "Шифровальщик же надо куда-то скачать, правда?" - временные файлы Интернета чем не годятся?

(12) Точно, как в ссылке: письмо от судебных приставов открыли. Антивирус - не панацея, авторы постоянно модифицируют свою заразу.

У меня в качестве положительного опыта в конце прошлого года был случай, когда обратились люди, уже купившие ключ для расшифровки и не сумевшие им воспользоваться как раз из-за антивируса: заражение он не распознал, вируса не было в базах. Зато когда вирусу (шифровщик - он же и расшифровщик) скормили ключ и он приступил к расшифровке - НОД32 был уже в курсе и грохнул супостата, не дав закончить работу.
Гость
14 - 15.02.2015 - 23:48
12-Looking > как как, вариантов масса
сотр теамвьюером из дома поработал или на работе из андроида вайфай точку доступа сделал, что бы корпоративную блокировку сайтов обойти
ЗЫ некуй тырнет блокировать и внешние носители типа юсби, как работать-то юзерам? про программеров уже молчу
15 - 16.02.2015 - 00:09
(13)Я своих запугал страшилками, провел презентацию по безопасной работе с электронной почтой, вложениями.
При малейшем подозрении на странность в электронном письме обращались в ИТ, так на днях всплыло два письма с вышеозначенным шифровальщиком: одно якобы от арбитражного суда о возбуждении административного производства, другое - акт сверки от клиента.
Знают злоумышленники на что давить )
Гость
16 - 16.02.2015 - 00:09
и вай-фай глушилки в бизнес центре фик поставишь, сразу сосэдские нищеброды набегут, типа калл-центров из х/ф Мамы
Гость
17 - 16.02.2015 - 00:19
Windows серьезно за безопасность взялся: http://dml.compkaluga.ru/forum/index...howtopic=26342
Гость
18 - 16.02.2015 - 00:50
Вот еще хорошая статья: http://www.winblog.ru/admin/1147768013-19031201.html
Шифровальщик в пролете ;)
Гость
19 - 16.02.2015 - 01:27
(17) вопрос сабжа не решает, имхо шифровальщик легко батничком можно сделать вполне на текстовом уровне, смд или скриптом
ЗЫ как впрочем и сам бат, смд или скрипт программно сформировать и потом прикокнуть после выполнения или перезагрузки
Фаервол надо серьезный, что б перед записью/перезаписью всего на C: всегда спрашивал. для домашнего пользования неудобно конечно, зато антивирь тогда не нужно если один юзер с паролем за рулем
Гость
20 - 16.02.2015 - 01:33
хотя конечно, вспоминая операторов ввода накладных в три смены круглосуточно начинаешь репу чесать - что такое ПК?
21 - 16.02.2015 - 20:54
Принципиально, раз и навсегда, вопрос с вирусами решает установка Линукса.
22 - 16.02.2015 - 21:02
(21) Зато может создать другие проблемы: клиент-банк, сайты госзакупок и отправки отчетности в ФНС&ПФР и прочее ПО, требующее IE и/или технологий, доступных только в Windows.
Гость
23 - 16.02.2015 - 21:58
21-shotsdv2008 > Ох, уж эти сказочники...
24 - 17.02.2015 - 08:46
Этой осенью дважды попали на paycrypt@gmail_com - зараза каждый раз разная и не ловится ни Касперским ни Авирой.
--
Как в моем случае поймали:
По почте (неважно через почт.клиент или браузер)приходит безобидное письмо - типа "Акт сверки.....", само письмо безопасное, но в нем вложение обязательно в архиве. Жертва открывает письмо, открывает архив, бдительность - 0, а в архиве обязательно длинное имя, также безобидного вида - "Акт сверки ....", но оно настолько длинное, что "Жертва" пока не раздвинет на весь экран не увидит, что расширение файла - js. На значек в начале файла уже не смотрят.
--
После чего выходит безобидное сообщение "Ошибка архива" или что-то подобное.
--
Жертва закрывает окно и работает как ни в чем не бывало. А в это время шифруются все доки, все графические файлы, все PDF.
--
Расшифровать нереально судя по сообщениям в инете. Зараза в текстовом файле просит ~4500 евро.
--
Как лечил - никак система после перезагрузки ничем не заражена -просто удалил все файлы с расширением - paycrypt@gmail_com
--
Меня частично спасло, то что, хотя в сети более 100 комп. но она разделена сегменты по VLAN.
--
В первом случае все зашифрованное восстановил из почты, кроме личных фото. Во втором потери были, но несущественные, 1С не тронуло т.к. локально ничего нет и все прописано по полному пути через IP.
--
Скорость шифрования очень высокая, в первую очередь шифрует локальные и сетевые диски.
25 - 17.02.2015 - 08:50
Да, после "заразы" чистил все временные файлы.
Гость
26 - 17.02.2015 - 11:05
Не пойму один момент: если комп жертвы входит в сеть, то шифруются только его файлы или и те, которые находятся на сервере? Как вирус до сервера может добраться?
Гость
27 - 17.02.2015 - 11:36
26-Bitas > Зараза наследует права на доступ от юзера.
28 - 17.02.2015 - 11:52
Шифрует даже все, что расшарено у соседних пользователей в сегменте VLAN.
--
Выводы делайте сами, я дважды всех обходил и все подробно объяснял. После чего были еще две попытки (наверно больше), но юзеры были готовы.
--
Поменьше, я бы вообще запретил, юзерам что-либо расшаривать кроме принтеров.
29 - 17.02.2015 - 18:44
(22) Никаких проблем. Ставишь Виртуал Бокс и в него любимую винду, которая ходит только в банк и на площадки.
(23) Я в этой "сказке" живу уже 13 лет.
Гость
30 - 17.02.2015 - 20:11
29-shotsdv2008 > А я с виндой 20 лет. И что?
Совершенно не вижу причин, чтоб сабжевый "шифровальщик" не смог поразить линукс. Рут/администратор ему, собсно, и не нужен. Единственно, что нужно: как можно больше декстопов. Сейчас их много больше с виндой.
Ничего, он еще на смарфонах и планшетах порезвиться :)
31 - 18.02.2015 - 15:46
Меряться письками будем? Тогда я свою первую программу написал в 76 году...
В линуксе, в отличие от винды, все нужно запускать руками. Безусловно, если пользователь поставит вайн и САМ запустит вирус, то он поразит базы 1С. Но тогда проще взять и стереть эти базы и не надо для этого никаких вирусов.
32 - 18.02.2015 - 15:48
Одно из принципиальных отличий линукса от винды, это то, что линукс не ставит себя выше пользователя, а винда это делает постоянно.
Гость
33 - 18.02.2015 - 16:33
32-shotsdv2008 > Совершенно бессмысленные слова...
Гость
34 - 18.02.2015 - 16:44
Гость
35 - 18.02.2015 - 18:31
В виндус 7 и 8 есть замечательное свойство файлов - "предыдущие версии"
Гость
36 - 18.02.2015 - 18:41
35-smaharbA > в (18) дана ссылка.
Но кардинально проблема решается либо облачным сервисом по автоматическому сохранению всего содержимого компа, либо мощным эвристическим преданализом.
med
37 - 20.02.2015 - 10:42
Мы являемся клиентами DrWeb и он нам помог , правда времени прошло около 2 недель, но после обращения в службу поддержки был прислан расшифровальщик - расшифровал все файлы и 1С и картинки и pdf и документы офиса.
Гость
38 - 30.05.2016 - 19:26
Блин, помучился я с этим Cbf. Перепробовал много разных антивирусов и программ антишпионов и тулзов от Касперского, уже был готов платить за разблокировку, но на этом сайте (http://itsecurity-ru.com/viruses/cbf) нашел бесплатную программу ShadowExplorer которая каким-то образом отбекапила почти все файлы!
39 - 31.05.2016 - 10:27
нонешние шифровальщики(от спецов) теневые копии не забывают прибивать... только восстановление из грамотного бекапа спасает от этой заразы после ее работы


К списку вопросов
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск




Copyright ©, Все права защищены