Внимание новый вирус SPORA

Такая же хрень приходила. Касперский ни сном ни духом. Открывать не стал.

Цитата (Baldy @ 13.09.2017 - 08:08)

Цитата (AHOH72 @ 13.09.2017 - 08:05) уважаемы ЯП, вирус и все что с ним связано я удалить смогу, но подскажите, как дешифровать файлы, их на ПК 6564 + в сети осень много, может кто с такой ситуацией сталкивался.  P.S. Кстати кто в теме С ПРАЗДНИКОМ!!!   Никак не расшифруешь. Можешь забыть про те файлы.

Нет. Притаскивали бухи такую срань, типа письмо с налоговой. И даже адрес ну очень похожий..В общем - открыли. То что пожевало на сетевой шаре, то восстановили, но и были доки на их же компе. Да нельзя, да плохо, но вот есть такое..
В общем, отправлял образцы файлов и тело шифровальщика в лабораторию Касперского. Через две недели прислали расшифровщик - сработало, хотя часть файлов все равно битая оказалась. Но хоть так.

Но на это нужна легальная лицензия.

BSD/Linux + Exim на сервере в качестве MTA (Mail transfer agent) с проверкой сообщения на вложения и блокировкой всех типов вложений кроме, разрешенных,
и какой-нибудь The Bat! на локальной Win-машине в качестве MUA (mail user agent), чтобы скрипты не понимал и не исполнял, в отличие от аутглюков.
Пока был свой интернет в конторе (сейчас от вышестоящей организации через домен и прочую эксчанжу) так и работало. Летом петюню кушали все дружно.

Цитата (AHOH72 @ 13.09.2017 - 08:05)

уважаемы ЯП, вирус и все что с ним связано я удалить смогу, но подскажите, как дешифровать файлы, их на ПК 6564 + в сети осень много, может кто с такой ситуацией сталкивался.  P.S. Кстати кто в теме С ПРАЗДНИКОМ!!!

Никак, данные считать уничтоженными. Если есть лицензия доктор веб или каспера, можно в их техподдержку обратиться, но в любом случае шансы на успешное восстановление равны примерно нулю

От шифровальщиков - только бэкапы на отдельный носитель и здравый смысл.

И заблокировать на почтовом сервере все типы файлов кроме разрешенных, а в качестве клиента не аутлук.
Это сообщение отредактировал vaisman - 13 сен 2017 в 10:21

Цитата (AHOH72 @ 13.09.2017 - 08:05)

уважаемы ЯП, вирус и все что с ним связано я удалить смогу, но подскажите, как дешифровать файлы...

Никак ты не вернёшь эти файлы, даже если заплатишь ту сумму которую требуют.
В основном это кидалово.

Кстати, по поводу бекапов. Есть такая замечательная програмулина syncthing
это типа дропбокса, только все на своих компах/серверах
и у нее есть возможность хранить старые версии файлов. например - 30 дней. при этом она неплохо заменяет сетевые шары, но при этом работа идет в локальных папках. в общем, у кого в сети до 20 компов и нет денег на хорошего админа - рекомендую посмотреть в эту сторону. не реклама, т.к. програмулина абсолютно бесплатна.

У нас на одном из удаленных объектов гении притащили шифровальщика на телефоне "что-то у меня документ не открывается". Ну и открыли, мать их, потом звонят "у нас тут на нашем сетевом диске файлы непоймивочто превращаются". Поздравил, приказал рубить питание, искать какой комп зашифровался, данные из бэкапов поднимать.

Цитата

от неизвестного источника, соответственно распаковала

Соответственно, тупая пизда. Добавить больше нечего.

Цитата (AHOH72 @ 13.09.2017 - 07:55)

Приветствую дорогой ЯП, вчера на работе у нас произошел инцидент, одна наша сотрудница приняла письмо по почте, от неизвестного источника, соответственно распаковала и открыла файл, сама того не понимая, что это был скрипт

Ты это, есть ещё один новый вирус, называется винчих. Тот падла вообще, биос трёт.

gluk35
[quote]называется винчих. Тот падла вообще, биос трёт.[/quot]
Ага очень новый
А правильно он звался чернобыль

Цитата (Les1920 @ 13.09.2017 - 10:38)

gluk35 [quote]называется винчих. Тот падла вообще, биос трёт.[/quot] Ага очень новый А правильно он звался чернобыль

ну чернобыль это другое название. А правильно таки чих

Цитата

CIH, или «Чернобыль» (Virus.Win9x.CIH)

но ведь он новый. как и этот шифровальщик.

6к компов в сети... поди и программисты есть?
Если серьёзно: ручками надо было ещё года два назад вставить в групповые политики безопасности (и наследуемые от них локальные) новые исполнялки для всех видов скриптов, особенно js, hta. Чтобы не было в винде ассоциаций на исполнение сей гадости.
Второе - RSA не сказать, чтобы сильно криптостойкий алгоритм и используется он в основном не для шифрования файлов, а для шифрования потоков быстро устаревающей информации. Той, которую нет смысла расшифровывать "злоумышленнику-подглядывальщику", ибо пока он справится с задачей, актуальность уже уйдёт. Для шифрования в RSA используются пары больших простых чисел, которых не так уж много. Отсылай несколько зашифрованных файлов с оригиналами в касперычевскую лабу, они могут и помочь. А могут и не захотеть.
В-третьих, что уже чуть ближе к задачам программистов: нарисуй себе собственную защиту, резидентно валяющуюся в памяти и проверяющую структуру записываемого файла на соответствие его расширению. Поясню: любой файл типа EXE начинается с байтов MZђ , любой docx - c PK  и так далее. Кроме того, внутри файлов многих типов имеются другие обязательные структурные элементы, которые шифровальщиками на данном этапе развития не сохраняются. Грубо говоря: увидел несоответствие расширения файла его содержимому при попытке записи на диск (да-да, перехват потока, все дела) - шлёшь весь поток нахер, ибо сие есть шифровальня.

"сотрудницу" определили в сексуальное рабство года на три?

Цитата (Les1920 @ 13.09.2017 - 14:38)

gluk35 [quote]называется винчих. Тот падла вообще, биос трёт.[/quot] Ага очень новый А правильно он звался чернобыль

Нет, бро, он правильно назывался Virus.Win9x.CIH, а "чернобылем" его прозвали потому, что основная эпидемия пришлась в аккурат на 26 апреля. Помню на старых материнках даже bios выпаивали и бегали по городу в поисках программатора, а у одногруппника на ходу микросхему перешивали, ниткой поддевали чтобы после перепрошивки вынуть из живой материнки.

Цитата (Alice9tails @ 13.09.2017 - 10:41)

6к компов в сети... поди и программисты есть? Если серьёзно: ручками надо было ещё года два назад вставить в групповые политики безопасности (и наследуемые от них локальные) новые исполнялки для всех видов скриптов, особенно js, hta. Чтобы не было в винде ассоциаций на исполнение сей гадости. Второе - RSA не сказать, чтобы сильно криптостойкий алгоритм и используется он в основном не для шифрования файлов, а для шифрования потоков быстро устаревающей информации. Той, которую нет смысла расшифровывать "злоумышленнику-подглядывальщику", ибо пока он справится с задачей, актуальность уже уйдёт. Для шифрования в RSA используются пары больших простых чисел, которых не так уж много. Отсылай несколько зашифрованных файлов с оригиналами в касперычевскую лабу, они могут и помочь. А могут и не захотеть. В-третьих, что уже чуть ближе к задачам программистов: нарисуй себе собственную защиту, резидентно валяющуюся в памяти и проверяющую структуру записываемого файла на соответствие его расширению. Поясню: любой файл типа EXE начинается с байтов MZђ , любой docx - c PK  и так далее. Кроме того, внутри файлов многих типов имеются другие обязательные структурные элементы, которые шифровальщиками на данном этапе развития не сохраняются. Грубо говоря: увидел несоответствие расширения файла его содержимому при попытке записи на диск (да-да, перехват потока, все дела) - шлёшь весь поток нахер, ибо сие есть шифровальня.

lol

"любой docx - c PK"

с этого начинается зип-архив, коим твой досх и является. а что делать, если изменили формат файлов, придумали новые и тэдэ и тэпэ бугого?

остальное примерно в таком же стиле изложено. и очень надеюсь, что ты не имеешь отношения к программированию, не надо.

Цитата (LEPRIKON79 @ 13.09.2017 - 08:04)

Вот почему наши думозвоны пытаются протянуть закон о запрете покупки крипто физ лицами. Бабки отследить --- нельзя ...

Это не деньги, хотя и используется как средство расчётов. Деньги - это отражение произведённого товара.

GLKaban
и таки да, Alice9tails, RSA используется в шифраторах только для шифрования самого ключа, остальное происходит через симметричное шифрование
Это сообщение отредактировал simulatoris - 13 сен 2017 в 10:57

Покарать сотрудницу анально...

Цитата (Cache @ 13.09.2017 - 08:01)

Цитата одна наша сотрудница приняла письмо по почте, от неизвестного источника, соответственно распаковала и открыла файл, сама того не понимая хреновая у вас служба безопасности!

а админа проще расстрелять, чем объяснить ему про политики и права пользователей.

daemani

Цитата

Помню на старых материнках даже bios выпаивали и бегали по городу в поисках программатора, а у одногруппника на ходу микросхему перешивали, ниткой поддевали чтобы после перепрошивки вынуть из живой материнки.

У меня была материнка с ВВ программированием биоса. И она выжила, а вот данные на харде нет.

у него насколько помню дата на 26 апреля стояла для активации

Цитата (AHOH72 @ 13.09.2017 - 08:10)

Цитата (VinipuxNSK @ 13.09.2017 - 08:07) Антивирсус поставить религия не позволяет? Плачу всеми нелюбимому производителю и не имею ни каких проблем. Ни одного банера, ничего. Ещё бы на кривые руки домашних он работал... каспер стоит, на скипты не реагирует

реагируют антивирусы на скрипты, просто базы не обновились еще до этой сигнатуры.
как правило письма с гавном рассылаются ночью, по свежаку, с утра люди тыкают, а новые базы часам к 9ти только выкатываются.

Цитата (AHOH72 @ 13.09.2017 - 07:05)

уважаемы ЯП, вирус и все что с ним связано я удалить смогу, но подскажите, как дешифровать файлы, их на ПК 6564 + в сети осень много, может кто с такой ситуацией сталкивался. P.S. Кстати кто в теме С ПРАЗДНИКОМ!!!

никак - ключи меняются как "перчатки" - как только антиврусники "ломают" актуальную версию - появляестя новый шивровальщик с другим ключом. Взломать лично - нужны миллиарды лет.
Выход один - формат и установка чистой системы.
И да - этим шифровальщикам триста лет в обед!!!
А сотрудницу, запустившую левый файл оштрафовать на очень приличную сумму - думаю на те самые 520 баксов :)

И да - от "скриптов" вот вам в помощь: https://ru.malwarebytes.com/
ну или старый добрый АВЗ: http://www.z-oleg.com/secur/avz/