Sign in to follow this  
Followers 0
vilyaua

Клубным и внеклубным Админам!

20 posts in this topic

Столкнулся у клиента с ситуацией, описанной вот тут:
[url="http://obsudi.net/2014/05/22/vnimanie-vse-vashi-faylyi-zashifrovanyi-binfoo-ya-ru/"]http://obsudi.net/20...i-binfoo-ya-ru/[/url]
[url="https://toster.ru/q/68798"]https://toster.ru/q/68798[/url]
[url="http://support.kaspersky.ru/viruses/disinfection/2911#block2"]http://support.kaspe...ion/2911#block2[/url]
[url="http://virusinfo.info/showthread.php?t=158187"]http://virusinfo.inf...ad.php?t=158187[/url]

Симптомы:
часть данных запакована в архивы, сопровождается текстовым файлом "Внимание! Все Ваши файлы зашифрованы!", в котором предлагается написать письмо на электронку с указанием некоего кода, который присутствует там же. Полагаю, в дальнейшем последует вымогательство денег.

Проконсультировался со спецами, которые восстановлением данных профессионально занимаются, они говорят что в новых версиях этого вируса реально AES шифрование и нужно тупо заплатить.

Вопросы:
кто-нибудь что-нибудь знает о сабже?
что делать и куда бежать?
пробовать ли декриптить утилитами, которые в интернете предлагаются?
0

Share this post


Link to post
Копайся на форумах поддержки Dr. web и Касперского, скорее всего там либо есть утилиты расшифровки, либо скоро появятся.

Утилитами пользоваться можно, но перед всеми экспериментами - обязательный бекап файлов.

Если время горит, то скорее всего - только заплатить.
0

Share this post


Link to post
акронисом зазеркалю все на другой винт перед экспериментами
0

Share this post


Link to post
А какой вирус определяется?
А то так мало информации, что либо трудно сказать.
0

Share this post


Link to post
По сути это не вирус, данная хрень распространяется через почтовые вложения и пока юзверь руками ее не запустит не сработает. При работе использует консольную версию WinRar. Пакует все что найдет на Рабочем столе и в Моих документах (т.е. по стандартным путям). На сегодняшний день 100% способов получить пароль не платя злоумышленникам нет. Так что только профилактика, путем урезания пользователя в правах, хранения рабочих файлов на сетевых дисках, удаление winrar и переходе на 7zip, инструктаж юзверей на предмет "кто откроет левое вложение сам себе "злобный буратино" + премии лишат" и т.п.
0

Share this post


Link to post
Да вообще надо давно хранение файлов в "Мои документы" и "Рабочий стол" запретить и закрыть, пусть на других дисках файлы хранят ;) Только ярлыки ставить, нефиг рабочий диск всяким хламом засорять. :realmad:
0

Share this post


Link to post
Самая нормальная профилактика:
* В конторах - централизованный бекап, со временем хранения, хотя бы пару недель.
* Дома - бекап и/или синхронизация в облоко (сам пользую Wuala, CrashPlan)
* Мозг (с этим бывает туго :))

ЗЫ чем всё кончилось то?
0

Share this post


Link to post
я выступаю от имени Клиента
связался, запросили 10к грн. это чуть меньше 40к рублей
торговался, сошлись на 4750грн
Клиент выплатил, сегодня буду перечислять на вебмани

о результатах сообщу
0

Share this post


Link to post
Погоди платить!!!! Какая операционка на компе клиента?
0

Share this post


Link to post
7-ка 64 бита
0

Share this post


Link to post
Теневые копии смотрел?
0

Share this post


Link to post
отключено восстановление

убегаю
Вайбер +380993552965
0

Share this post


Link to post
не контрольные точки, а теневые копии, скачай http://www.shadowexplorer.com/downloads.html и попробуй им поглядеть.
0

Share this post


Link to post
[quote name='MpakPM' timestamp='1413268877' post='241807']
не контрольные точки, а теневые копии, скачай [url="http://www.shadowexplorer.com/downloads.html"]http://www.shadowexp.../downloads.html[/url] и попробуй им поглядеть.
[/quote]
Эта софтина может ничего не показать.
Тогда уж ПКМ на нужных папках/файлах -> Свойства -> Предыдущие версии.
Но, по дефаулту у этой фичи совсем уж низкий процент резервирования и не везде. Но попробовать можно.
0

Share this post


Link to post
нужных папок/файлов нет
вместо них архивы запароленные
заплатил
выслали прогу и инструкцию, сегодня буду пробовать
0

Share this post


Link to post
[color=#ff0000][b]флуд почищен[/b][/color]

[quote name='TermaZ' timestamp='1413489668' post='241984']
Ты по делу и по порядку все напиши. Если это у тебя просто накипело это одно. Если на самом деле ситуация угнетения по национально-политическим убеждением то поверь с этим разберемся. Особенно если 20 пеньков Виля именно по своей прихоти удалил (в чем я лично не уверен, потому как адекватность Вили пока сомнений не вызывала). Однако я не читаю клановые разделы, поэтому или точнее и без эмоций говори или не говори вообще!
[/quote]
благодарю за такую оценку :о)
[color=#ff0000][b]по поводу происшедшего в ветви клубных авиаполков, Администрацией Клуба будет сделано соответствующее заявление[/b][/color]
0

Share this post


Link to post
[quote name='vilyaua' timestamp='1413290915' post='241841']
нужных папок/файлов нет
вместо них архивы запароленные
заплатил
выслали прогу и инструкцию, сегодня буду пробовать
[/quote]

... получилось ?
0

Share this post


Link to post
нет
его проги не отработали как нужно
он попросил предоставить удаленный доступ для того чтобы сделать лично
результат нулевой, на связь не выходит

сегодня сообщу клиенту что данные утеряны
0

Share this post


Link to post
вопрос: антивирус или что-нибудь из софта по безопасности стояла у клиента (как подцепил) ?
0

Share this post


Link to post
вероятнее всего, кто-то из пользователей (комп под Win7 использовался в качестве терминального сервера) запустил программу-троян, которая произвела архивацию ряда папок консольным RAR'ом с ключом в дохерища знаков

профилактика, как я ее вижу - ограничение прав пользователей, бэкапы регулярные в отдельную папку с ограниченным доступом, в идеале на отдельный диск

и какую-то серверную систему поставить типа 2003 или 2008
0

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now
Sign in to follow this  
Followers 0
  • Recently Browsing   0 members

    No registered users viewing this page.