Шифровирусы шумной толпою - Страница 2

GamleTSever · 24.02.2015, 15:29

Цитата:

Сообщение от ~safety

пример письма (с шифратором vault), к которому приложили руки соц_инженеры.

ссылка в письме ведет на вредоносный архив из сети.
при скачивании архива из сети, и запуска вложения из архива, ваши документы уже никогда не вернутся в первоначальное состояние, если только нет возможности их восстановления из архивных или теневых копий.

К нам тоже пришло. в VirusInfo помочь к сожалению не смогли.

Половину удалось восстановить с помощью восстановления удалённых данных через "гет дата бэк".

Непонятно мне, отчего в новостях все молчат про эти шифровальщики, а если и что то мелькает, то называют это мини эпидимией. По моему это эпидемия - ЭПИДЕМИЯ!!!! У нас уже два были заражену (первый 3 месяца назад) и у знакомых моих куча народа перезаражалась разными версиями этих троянов.
я недоумеваю!

safety · 24.02.2015, 18:18

1. если данные зашифрованы на системном диске, пробуйте восстановление через теневые копии (если есть чистые). это работает для Виста, Win7, Win8

2. vault (вариант бат.энкодера) никто в ближайшее время не сможет расшифровать. Так же как не смогли до этого расшифровать paycrypt и keybtc.

3. достаточно зайти на любой форум технической поддержки: eset, drweb, kaspersky, а так же virusinfo чтобы увидеть, что свыше 50% всех тем - это решение проблем, связанных с шифраторами.

4. почему так плохо информируются пользователи, для меня тоже загадка.
как правило рассылками из вирлабов занимаются маркетологи, а они либо рекламируют свои акции, либо мнимые и реальные достижения своих компаний.

о проблеме шифраторов пишут крайне редко.

avalsz · 21.03.2015, 12:52

Доброго времени суток!Подскажите плз,а эта зараза (шифраторы или как их еще обозвать) передаются с внешними носителями? Ну допустим захочу я HDD к другому ПК подключить или флешку с шифрованными xtbl-файлами туда же вставить с тайной надеждой восстановить?

safety · 21.03.2015, 16:03

зашифрованные файлы (xtbl, vault, cryakl, ctblocker и другие) не представляют опасности, конечно. хотя уже есть разновидность Virlock, которые не просто шифруют документ, но и превращают его в исполняемый файл, который в случае если будет запущен, сам станет новым источником заражения.
Win32/Virlock – первый саморазмножающийся вымогатель / Блог компании ESET NOD32 / Хабрахабр

Николай_С · 09.04.2015, 15:05

Вот и я получил криптовирус предположительно с АлиЭкспресс.
Тело, как всегда в папке Temp, имя Svchost.exe
Шифрует файлы документов (.doc, .pdf мож еще чего - ревизию пока не делал). Вирус обнаруживается по аномально долгой и стопроцентной загрузке процессора.
В результате его деятельности образуются файлы #имя#.id-xxxxxxxxx_maxcrypt@foxmail2
DrWeb его пока не видит - надо выкатить им предьяву!
У меня он наврядли чего напортил - есть резерв на флешке и облаках.
Будьте внимательны и осторожны!

mike_ · 09.04.2015, 16:33

Цитата:

Сообщение от Николай_С

Вот и я получил криптовирус предположительно с АлиЭкспресс.

Oo. А как? Просто на сайт зашел и он сам?

safety · 09.04.2015, 17:06

да, похоже используется пара: доунлоадер + шифратор.

Цитата:

Полное имя C:\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\LOCAL SETTINGS\TEMP\5DD.TMP
Имя файла 5DD.TMP
Удовлетворяет критериям
SHIFR.MAXCRYPT@FOXMAIL2.COM (ПРОИЗВОДИТЕЛЬ ~ EXHEDRA SOLUTIONS)(1)
Оригинальное имя AddInClient.exe
Версия файла 1.00.0009
Продукт AddInClient
Copyright 2002 by Exherda Solutions, Inc.
Производитель Exhedra Solutions, Inc.

и

Цитата:

Полное имя C:\DOCUMENTS AND SETTINGS\ЗАЙЦЕВ ЕА\LOCAL SETTINGS\TEMP\SVCHOST.EXE
Сигнатура Win32/Filecoder.DG [ESET-NOD32] [глубина совпадения 64(64), необх. минимум 8, максимум 64]

Удовлетворяет критериям
SHIFR.MAXCRYPT@FOXMAIL2.COM (ПРОИЗВОДИТЕЛЬ ~ EXHEDRA SOLUTIONS)(1)
Оригинальное имя AddInClient.exe
Версия файла 1.00.0009
Продукт AddInClient
Copyright 2002 by Exherda Solutions, Inc.
Производитель Exhedra Solutions, Inc.

второй может быть добавлен в папку автозагрузка.
---------
на форуме ДрВеб создана тема по расшифровке документов с maxcrypt@foxmail2.com но решения пока нет.

Цитата:

Сравнительно новый вариант шифровальщика. На данный момент ведутся исследования. Когда что-то станет понятно (возможна\невозможна дешифровка) - сообщу вам в этом запросе.

и
вчера.

Цитата:

Зашифровано одним из новых вариантов Trojan.Encoder.741

Никаких способов расшифровать такое на данный момент не известно.
Ведутся исследования, но каковы перспективы и сколько это займет времени - пока неизвестно.
В случае появления практически полезной для расшифровки информации мы вас известим (запрос в случае необходимости будет переоткрыт с нашей стороны).

Николай_С · 09.04.2015, 17:29

Цитата:

второй может быть добавлен в папку автозагрузка.

Точно так. Прописался в Автозагрузку только моего профиля.
Как вирус - шифратор опасности не представляет. Слабоват он. Больше автозапуск нигде не происходит. Ко мне попал через Мозилятор. Как именно - разбираться не стал, но никаких внешних проявлений заражения я не заметил кроме подтормаживания проца и активности винта.
Шифрует все известные ему БД (.mdb; .dbf; .1CD), архивы (.rar; .lzh; .zip), картинки .jpg, автокадовские файлы .dwg, все виды выходных файлов Ms Office, .bak, .txt.
Из всего что ему попалось (во бестолочь - даже TXT нулевого объема шифранул) делает файлы вида debug.txt.id-хххххххххх_maxcrypt@foxmail2.com, где хххххххххх - цифровой идентификатор.

Сейчас жду реакцию от DrWeb-а. Как только сканер его начнет детектировать, накажу уродов-шифровальщиков. Мстя будет ужасной!

safety · 09.04.2015, 18:46

Цитата:

Сообщение от Николай_С

Точно так. Прописался в Автозагрузку только моего профиля.
Как вирус - шифратор опасности не представляет. Слабоват он. Больше автозапуск нигде не происходит. Ко мне попал через Мозилятор. Как именно - разбираться не стал, но никаких внешних проявлений заражения я не заметил кроме подтормаживания проца и активности винта.
Шифрует все известные ему БД (.mdb; .dbf; .1CD), архивы (.rar; .lzh; .zip), картинки .jpg, автокадовские файлы .dwg, все виды выходных файлов Ms Office, .bak, .txt.
Из всего что ему попалось (во бестолочь - даже TXT нулевого объема шифранул) делает файлы вида debug.txt.id-хххххххххх_maxcrypt@foxmail2.com, где хххххххххх - цифровой идентификатор.

Сейчас жду реакцию от DrWeb-а. Как только сканер его начнет детектировать, накажу уродов-шифровальщиков. Мстя будет ужасной!

Николай, они ваши файлы шифранули, а вы их зашифруйте пока они в автозапуске болтаются

. Некоторые горючими слезами умываются от потери именно личных файлов и за не имением копий. Пусть уж лучше бы пароли украли или банеры повесили, а то сразу порубали_пошинковали_и_пошифровали все полезные файлы.

mike_ · 09.04.2015, 19:03

Парни, так объясните вы мне - как вирус был скачан?
А то на али стремно заходить теперь.

24.02.2015, 18:18	#12 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	1. если данные зашифрованы на системном диске, пробуйте восстановление через теневые копии (если есть чистые). это работает для Виста, Win7, Win8 2. vault (вариант бат.энкодера) никто в ближайшее время не сможет расшифровать. Так же как не смогли до этого расшифровать paycrypt и keybtc. 3. достаточно зайти на любой форум технической поддержки: eset, drweb, kaspersky, а так же virusinfo чтобы увидеть, что свыше 50% всех тем - это решение проблем, связанных с шифраторами. 4. почему так плохо информируются пользователи, для меня тоже загадка. как правило рассылками из вирлабов занимаются маркетологи, а они либо рекламируют свои акции, либо мнимые и реальные достижения своих компаний. о проблеме шифраторов пишут крайне редко.

21.03.2015, 12:52	#13 (permalink)
avalsz Member Регистрация: 27.09.2012 Сообщений: 141 Сказал(а) спасибо: 0 Поблагодарили 1 раз в 1 сообщении Репутация: 60	Доброго времени суток!Подскажите плз,а эта зараза (шифраторы или как их еще обозвать) передаются с внешними носителями? Ну допустим захочу я HDD к другому ПК подключить или флешку с шифрованными xtbl-файлами туда же вставить с тайной надеждой восстановить?

21.03.2015, 16:03	#14 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	зашифрованные файлы (xtbl, vault, cryakl, ctblocker и другие) не представляют опасности, конечно. хотя уже есть разновидность Virlock, которые не просто шифруют документ, но и превращают его в исполняемый файл, который в случае если будет запущен, сам станет новым источником заражения. Win32/Virlock – первый саморазмножающийся вымогатель / Блог компании ESET NOD32 / Хабрахабр

09.04.2015, 15:05	#15 (permalink)
Николай_С Радиоинженер Регистрация: 25.09.2012 Адрес: г.Дзержинск Нижегородской обл. Сообщений: 25,301 Записей в дневнике: 7 Сказал(а) спасибо: 292 Поблагодарили 219 раз(а) в 70 сообщениях Репутация: 110185	Вот и я получил криптовирус предположительно с АлиЭкспресс. Тело, как всегда в папке Temp, имя Svchost.exe Шифрует файлы документов (.doc, .pdf мож еще чего - ревизию пока не делал). Вирус обнаруживается по аномально долгой и стопроцентной загрузке процессора. В результате его деятельности образуются файлы #имя#.id-xxxxxxxxx_maxcrypt@foxmail2 DrWeb его пока не видит - надо выкатить им предьяву! У меня он наврядли чего напортил - есть резерв на флешке и облаках. Будьте внимательны и осторожны!

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

09.04.2015, 19:03	#20 (permalink)
mike_ VIP user Регистрация: 15.01.2014 Сообщений: 1,828 Сказал(а) спасибо: 242 Поблагодарили 15 раз(а) в 11 сообщениях Репутация: 26010	Парни, так объясните вы мне - как вирус был скачан? А то на али стремно заходить теперь.