• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о форуме и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Шифровирусы шумной толпою

  • Автор темы Автор темы safety
  • Дата начала Дата начала
Полагаю, дело было так:
На Али "висит" активное содержимое в виде рекламных баннеров. Уязвимостями плагинов, воспроизводящих это содержимое, и воспользовался даунлоадер. Как именно он это сделал, этого я не знаю. Наверняка есть "дыра", запускающая ссылку на закачку и запуск.
К завтрему антивирь обновят и проблема исчезнет.
 
А иногда и кликать не нужно, как в моём случае.
Сегодня утром DrWeb уже начал детектировать зловреда.
 
Ну как успехи, я тоже такого поймал, отпишитесь пожалуйста
 
svls, поймали,
1. поделитесь с товарищами :),
историей.
откуда могли предположительно получить шифратор: с сайта, из почты, с флэшки.
2. сделайте образ автозапуска системы для проверки, возможно шифратор еще активен, или в автозапуске.
http://www.tehnari.ru/f150/t81269/
 
Вирусом заразились через интернет, перешли по ссылке, утилита CureIt от drweb его сразу нашла и удалила. За пол часа заразил всю сеть из 10 компов. На машине которая заразилась первой зашифровались все файлы известного формата. В сети заразились только файлы находящиеся в общем доступе. Антивирус касперского никак не отреагировал на данный вирус. Вот имя одного из файлов: XXX.doc.id-6545477759_maxcryptAfoxmail2.
 
Вот что ответили мне на dr web:
К сожалению, все методы подбора ключа, которыми мы располагаем, оказались неприменимы.

Не видим способа подобрать ключ расшифровки в данном случае.

Возможно со временем (несколько месяцев или лет) такой способ удастся придумать.
Исследования будут продолжаться.
Если мы когда-нибудь получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы вам сообщим.
 
кстати,

Эксперты ESET предупреждают об опасном трояне-шифраторе TeslaCrypt, который нацелен на пользователей популярных игр.
По данным компании, подавляющее большинство заражений этим вредоносным ПО приходится на Россию.

TeslaCrypt способен шифровать 185 типов файлов.
Под угрозой оказались пользователи Steam и игроки World of Tanks, World of Warcraft, League of Legends, Minecraft, Call of Duty, StarCraft 2, Skyrim и многих других игр.
Нажмите для раскрытия...
https://club.esetnod32.ru/news/novo...frator-vymogaet-dengi-u-rossiyskikh-geymerov/
 
Вот лаборатория касперского предложила прогнать утилитой: rakhnidecryptor, а так же сказали что в конце недели будут обновления. Ну расшифровка может занять до 120 дней на процессоре i-5)
 
можно один зашифрованный файл поместить на тестовую машину, и проверить эту утилитку в действии. :)
 
5 с половиной часов опробовано 1900126001 паролей, пока не помогло. Еще и половины нет.
 
Проще надо жить - сразу после обнаружения заражения, запускаем восстановление удаленных файлов. Т.о. можно восстановить бОльшую часть зашифрованных файлов. То что не удалось, восстанавливаем с резервной копии.
 
Как вирус первый раз проявляет себя?
Сразу все под шифром или постепенное шифрование и можно не зашифрованное успеть скинуть на резервный диск?
 
Taper написал(а):
Как вирус первый раз проявляет себя?
Нажмите для раскрытия...
Очень просто - хрюкнуть не успеваешь - глядь, а всё уже зашифровано. Даже на резервном диске. ;)
И чем более скоростной комп, тем шустрее всё происходит.

Одного не могу понять - а где требования выкупа?
Я что, должен сам догадаться что делать и кому платить?
Или я не дождался окончания процесса?
 
по maxcrypt@foxmail.com требование в самой заставке, а может и текстовый файл тоже есть.

maxcrypt.webp
 
ctblocker опять активен после некоторого перерыва.
способ распространения практически прежний. файл scr в архиве, прилетает скорее всего в почту. после запуска данный файлик подгружает из сети тело шифровальщика, и запускает его, передавая ему управление. после завершения шифровки документов любуемся заставкой на экране и берем кредит в банке на покупку ключа с расшифровкой документов. :). 96 часов отводится на все это. вирлабы здесь не помогут. Разве что превентивно или сигнатурно заблокируют запуск шифратора.

ctblock.1.webp ctblock.2.webp
 
Всем ДВС!
Тоже попался на эту удочку. Пообщался с "техподдержкой из maxcrypt". Сначала попросили прислать им файл для доказательства, что разблокируют. Разблокировали.
Теперь ждут от меня 1 биткойн на кошелек с разовой транзакцией. После оплаты пришлют прогу для расшифровки. Никаких гарантий...
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

S
VAULT. Что делать?
Ответы
5
Просмотры
26K
safety
S
S
BAT.encoder
Ответы
0
Просмотры
24K
safety
S
Назад
Сверху