Вирусы шифровальщики

12 3
IndexSa
На сайте с 23.12.2005
Offline
209
1761

Будьте бдительны.

В бесплатные ящики на мейле, яндекс почте итд приходят письма.

Внутри писем ссылка завуалированная под файл.

При открытии происходит скачивание скрипта, начинается шифровка файлов на вашем компьютере, на сетевых дисках, на флешках итд.

Антивирусы не срабатывают, никакие.

мозг находится в мире, а мир находится в мозгу
N
На сайте с 08.10.2011
Offline
184
#1

Печально всё это, сколько адалта пропадёт на моём винте :(

Redbaron _chaos
На сайте с 12.08.2009
Offline
677
#2

IndexSa, ну про шифровальщик уже как полгода известно, если не больше. Меня вот этот момент заинтересовал:

При открытии происходит скачивание скрипта

То есть я просто письмо открыл и все?

Ни файл (doc, pdf и т.д.), не архив...а просто тыкнул на письмо?

Гемблинг, беттинг, крипта на весь мир в 3snet, 1500+ офферов. ( https://clck.ru/TdZLM )
IndexSa
На сайте с 23.12.2005
Offline
209
#3
Redbaron_chaos:
IndexSa, ну про шифровальщик уже как полгода известно, если не больше. Меня вот этот момент заинтересовал:



То есть я просто письмо открыл и все?
Ни файл (doc, pdf и т.д.), не архив...а просто тыкнул на письмо?

Там внутри картинка, типа RAR или DOC но это всего лишь картинка с ссылкой.

Получается ты перешел по ссылке.

Теоретически при наведении мышки уже может начать скачивать скрипт.

Redbaron _chaos
На сайте с 12.08.2009
Offline
677
#4

IndexSa, понял, ну я то сразу все удаляю, не открываю. Только если на 100% уверен что это письмо мне.

Я просто узнать, сына предупредить...он то такой, может на красивый заголовок письма повестись.

Хотя уже предупредил, звонил ему сейчас, прочел лекцию)

IndexSa
На сайте с 23.12.2005
Offline
209
#5

Redbaron_chaos, Кстати касперский на год бесплатный.

http://www.kaspersky.ru/free-antivirus

Redbaron _chaos
На сайте с 12.08.2009
Offline
677
#6

IndexSa, да его и так можно взять без проблем, там подписка вроде есть...я раньше 120 руб примерно в месяц платил. Плюс у меня от Ростелекома бонусов куча скопилась, могу с скидкой взять.

У меня сейчас Аваст Premier стоит. Вот честно, разницы пока не заметил. Он мне бесплатно достался, ну поставил потестить...так и оставил.

Кстати, что Каспер, что Аваст все таки пропускают бяку...тут в одной теме писали про рекламу в баузерах. Каспер, Аваст, Веб курейт тупо фигню эту не видели, пока специально заточенной под это прогой не прогнал, только тогда избавился от нее.

Ну а так, не лазишь куда не надо, не открываешь все подряд и все будет норм).

albion
На сайте с 07.10.2005
Offline
247
#7
Redbaron_chaos:
Кстати, что Каспер, что Аваст все таки пропускают бяку...тут в одной теме писали про рекламу в баузерах.

Естественно, иначе обновления были бы не нужны :) Т.е. о чем антивирус знает - то и ловит. И так все антивирусы работают.

Redbaron _chaos
На сайте с 12.08.2009
Offline
677
#8

albion, да это понятно...но вот пример:

У сына стоит Аваст, обновления постоянные, все на автомате.

Вирус был примерно на компе у них месяц (за это время я не мог к ним приехать, а больше помочь и не кому): инет еле работал (подозреваю в бот сеть или как там комп попал, там и так скорость маленькая была) + реклама + ОД перестали корректно отображаться))).

Приехал я к ним, прогоняю Авастом (да и до этого сын прогонял) - все чисто.

Скачиваю Доктора курейта, все по феншую..с флешки и т.д. - все чисто.

Скачиваю adwcleaner, прогоняю и офигеваю от того что он нашел: в службах (4-х), в расписание, в реестре, в файлах... Он это все удаляет/чистит, комп перезагружается и вуаля! Все проблемы пропали.

И что получается: Аваст за месяц не обновился? курейт который был скачен с оф.сайта и по сути с последними обновлениям за месяц не обновился?

albion
На сайте с 07.10.2005
Offline
247
#9
Redbaron_chaos:
albion, да это понятно...но вот пример:

У сына стоит Аваст, обновления постоянные, все на автомате.
Вирус был примерно на компе у них месяц (за это время я не мог к ним приехать, а больше помочь и не кому): инет еле работал (подозреваю в бот сеть или как там комп попал, там и так скорость маленькая была) + реклама + ОД перестали корректно отображаться))).

Приехал я к ним, прогоняю Авастом (да и до этого сын прогонял) - все чисто.
Скачиваю Доктора курейта, все по феншую..с флешки и т.д. - все чисто.

Скачиваю adwcleaner, прогоняю и офигеваю от того что он нашел: в службах (4-х), в расписание, в реестре, в файлах... Он это все удаляет/чистит, комп перезагружается и вуаля! Все проблемы пропали.

И что получается: Аваст за месяц не обновился? курейт который был скачен с оф.сайта и по сути с последними обновлениям за месяц не обновился?

Да, тоже самое может быть с любым антивирусом. По этому я, пользуясь бесплатным AVG и понимая, что он может что то пропустить, периодически смотрю автозагрузку с помощью https://technet.microsoft.com/ru-ru/sysinternals/bb963902 . И по хорошему, чего сам не делаю, кроме установки антивируса должна вестись работа из под учетной записи, у которой толком и прав нет, а не как обычно - из под админа :)

Toster_Alex
На сайте с 02.12.2009
Offline
83
#10
Redbaron_chaos:
IndexSa, ну про шифровальщик уже как полгода известно, если не больше. Меня вот этот момент заинтересовал:
То есть я просто письмо открыл и все?
Ни файл (doc, pdf и т.д.), не архив...а просто тыкнул на письмо?

Вирусу этому уже минимум пару лет. Известен под названиями vault, xtbl, сbf и другими. Он приходит на почту, обычно на корпоративную (так как потеря файлов для фирм очень болезненна и у них есть деньги), под видом письма со вложенными документами. Обычно в письме написано, что-то типа "Здравствуйте. Высылаем Вам акт сверки, просьба подписать и выслать до конца следующей недели" или "Высылаем закрывающие документы на отгрузку, пришлите подписанные документы по почте". Иногда может приходить с известного Вам ящика, который заранее хакнули. Самая мощная волна рассылок идёт в период бухгалтерской отчётности.

К письму прикреплён архив RAR, а в нём лежит исполняемый файл типа Акт_сверки.exe. Естественно, представитель офисного планктона тычет на него не задумываясь и начинается шифровка всех файлов в формате DOC, RTF, XLS, PDF, JPG и даже 1С. Сразу это незаметно, только начинает лагать комп. Через некоторое время жертва осознаёт, что файлы #почемутонеоткрываются, но к этому времени уже поздно. Если комп подключён к местному FTP, то файлы начинают шифроваться и там.

В большинстве случаев расшифровать не получится, придётся платить злоумешленникам. Причём они не расшифровывают часть файлов - высылают GPG-ключ для расшифровки всего сразу. Ценник в среднем от 100 до 800 USD. У меня несколько клиентов попадали так с этим шифровальщиком. Платили два раза, ключ расшифровки прислали быстро.

Судя по количеству пострадавших даже среди знакомых, кто-то на этой теме сейчас делает не просто деньги, а огромное состояние.

12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий