Вирус-шифровщик

[ammo1]

У нас на работе один из компьютеров используется для непрерывного мониторинга объектов. Он непосредственно подключён к интернету и имеет фиксированный реальный ip-адрес.

В пятницу, не смотря на антивирус AVG, компьютер заразился пакостью, которая зашифровала все файлы doc, xls, rar, jpg и оставила во всех папках файлик "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" с вот таким содержимым.



Интересно, что упоминаний адреса ymasiz76@mail.ru не находит ни Яндекс ни Google.
upd.: уже находит на Virusinfo письмо от пострадавшего.
К счастью, ничего важного на этом компьютере не было и всё удалось быстро восстановить.

Ради интереса написал на этот адрес письмо. Через десять минут пришёл ответ:

----------------------------------------------------------------------------------------
Для расшифровки файлов необходимо отправить 2500руб, на Qiwi кошелёк: 79643130512 (способы пополнения: https://visa.qiwi.com/replenish/main.action )
После оплаты вы получите код для расшифровки, а также программу
----------------------------------------------------------------------------------------


Главный вывод из произошедшего: Недостаточно иметь резервную копию системы, нужно делать резервные копии всех данных. В данном случае нам просто повезло, но если бы такая дрянь поселилась, к примеру, на моём домашнем компьютере, это была бы катастрофа.

Делайте бэкапы!!!

Comments

[vovney.livejournal.com]

Он непосредственно подключён к интернету и имеет фиксированный реальный ip-адрес.
это на винде-то? и поди с админскими правами?

не смотря на антивирус AVG,
эээээ, не надо использовать noname антивирусы

[ammo1.livejournal.com]

Да, XP с админскими правами. Плохо, а что делать. По другому не работает.
Поставил сейчас туда MSSE, посмотрим, что будет.

[ugryumy.livejournal.com]

А вот интересно, Алексей, у вас много информации, которая _ДЕЙСТВИТЕЛЬНО_ критически ценна? И как часто она появляется/обновляется? ;)

ПыСы.
Вообще-то,на шифровку файлов требуется дофига времени. Вы уверены, что они таки зашифрованы? может просто ребятки расширения файлам поменяли? :))

[ammo1.livejournal.com]

Много.
Уверен.

[http://users.livejournal.com/_jerry/]

Касперский помогает

[ammo1.livejournal.com]

Хорошо, если так.

[herrkot.livejournal.com]

Могут как сложным методом так и простым делать, если нет желания терять денег и время придется платить.

[sheverduk.livejournal.com]

как показывает опыт - оплата ничего не дает, я по крайней мере ни про один успешный опыт оплата-ключ-восстановление не слышал...

[herrkot.livejournal.com]

и да авг не антивирус :(

[ammo1.livejournal.com]

А кто из бесплатных? Никто? MSSE?

[dusty.livejournal.com]

А что, домашние данные не бэкапятся? Мде...

[ammo1.livejournal.com]

Бекапятся, но не настолько регулярно, как хотелось бы.

[gnawer.livejournal.com]

Интересно, какая ответственность может ждать граждан. Ну, в случае, если они неправильный компьютер испоганят. Найти-то их не очень сложно.

А так, антивирус, не антивирус, новые-то поделки местных кулибыных, вроде этой, ничего из них всё равно не ловит.

[shur-ik.livejournal.com]

Найти их крайне сложно. По факту, обналичка через Би и Киви не расследуется совершенно, дела заворачиваются под любыми предлогами и поводами. Учитывая аффилированность Би "известным структурам" -- вообще дохлый номер, кому надо и так в курсе, но проблемы негров шерифа не трогают.

[demkristo.livejournal.com]

Вот суки то))!

[clannad.livejournal.com]

нужно делать резервные копии всех данных НА ВНЕШНЕМ НОСИТЕЛЕ!!
Который подключается только тогда, когда нужно сделать резервную копию.
Не все это понимают.
У меня как-то у матери произошло подобное - зашифровались все данные. Помогло только форматирование и убийством всех файлов. Даже исполнительные файлы были зашифрованы. Для каждого исполнительного файла создавался подфайл с оригинальным названием, который дешифровывал переименованный оригинал.
Кстати, если подождать немного, то скорее всего касперский или им подобные опубликуют утилиту по расшифровке.

[sheverduk.livejournal.com]

Поправка - на 2х внешних носителях... Опыт. Ибо даже стримерные кассеты помирают...

[za1chas.livejournal.com]

Раз в полгода ты пишешь пост о том, как твой комп под Виндоус атакован вирусом, заблокирован, похищены данные или Яндекс-деньги.

Каждый раз я пишу комментарий с единственным советом, что надо сделать с компьютером под Виндоус.

Не повторяться же и в этот раз? Давай наоборот я расскажу тоже о своих ужасных проблемах. У меня (ALT-Linux) пять дней назад чуть не пропали все данные! Я делал загрузочную флешку на Raspberry Pi, но ошибся, нажал не ту кнопку, и все записалось вместо флешки на мой SSD, убив диск... Поначалу до перезагрузки система еще работала, и я успел сохранить все свои нужные архивы. После перезагрузки система упала, и Линукс пришлось ставить заново. Это были ужасные 5 минут, а дальше шло сплошное разочарование - оказалось, за прошедшие годы совершенно исчезло КДЕ3 (а КДЕ4 я ненавижу), после долгих жксперимннтов я остановился на LXDE, но возникла проблема с переносом почты - kmail2 не понял, где лежала почта у kmail1, а kmail1 не ставится без KDE3... Пришлось поставить ClawsMail - Thunderbird мне не нравится - и все мейлбоксы импортировать по очереди руками. Это было очень долго, потому что почты у меня 20 гигабайт с 1996 года вся переписка. Впрочем, остальная инфа вся сохранилась в /home - зря я ее так спешно копировал, системная партиция Raspberry до /home так и не докатилась, попортив лишь первые системные 10гигов.

Вот такие серьезные проблемы подстерегают пользователей Линукса. Никогда не используйте его.

[vovney.livejournal.com]

лучший коммент в этом треде)

[feo-man.livejournal.com]

MSE тебе в помощь.
Не, ну это же нужно было умудриться поставить авг...

[ammo1.livejournal.com]

Ставил админ на своё усмотрение.

[advocatspb.livejournal.com]

Странно, что никто не предложил обратиться в полицию)))

[ammo1.livejournal.com]

На том компьютере уже работает восстановленная из бэкапа система.
Если бы это был личный компьютер - да, а компьютер организации нафиг-нафиг: у полиции может хватить ума забрать его в качестве вещдока.

[tvguide-khv.livejournal.com]

в бесплатном АВГ нет фаерволла... а виндозный видимо изрядно дыряв или по умолчанию слишком многое открыто...

[tupitochka.livejournal.com]

Встречал такое.
Обычно случается в крупных организациях, где есть круглосуточно работающий сервер с RDP.
Да, варианта два: бэкап и искать других жертв, которым уже выслали дешифровщик.
Шифруется обычно не весь файл а только его начало, несколько килобайт. Ключ шифрования для каждой жертвы уникальный, способ шифрования rsa1024. Набери RSA1024 в Yandex выпадет список, наводящий на размышления.

На мой взгляд, атака происходит вручную - подбором пароля на вход, обычно он простой.
Далее заходят, выбирают что поценнее и запускают шифровщик. Возможны и трояны в корпоративной почте.

[shur-ik.livejournal.com]

В моей личной практике --- 90% "работой на доверии оператора" (трояны) или атаки через известные дырочки в XP (ни одна из поражённых машинок с XP не имела регулярных обновлений безопасности).

Через RDP видел одно поражение, и то -- после прохода в сеанс опять была использована старая, у других клиентов давно закрытая брешь в RPC.

Так что, моё мнение: нифига не вручную, роботом (или ботнет, что однофиолетово).

[dimitry-1983.livejournal.com]

Храню бэкапы в 3-х местах: один в офисе, один дома, и один с собой ношу.

Да, с собой и в офисе они зашифрованы.

[ilyaseverin.livejournal.com]

А в Киви не обращались? Пусть лочат кошельки мошенников

[ammo1.livejournal.com]

Уже. :)

[jones-bustopher.livejournal.com]

А вот кстати... А чем можно бэкапиться инкрементно на болванки? Вот чтобы поставить на круглосуточно крутящейся машинке под XP, указать несколько папок для бэкапа - и чтобы оно на автопилоте крутилось с периодической заменой болванки?

[migdal-or.livejournal.com]

на фига? что, где-то ещё остались приводы для компакт-дисков?
да и теперь это стало в разы дороже жёстких дисков

[migdal-or.livejournal.com]

как всё непросто под вашей самой простой в мире системой виндоус...
ну то есть бэкап всегда нужен, но насколько всё проще в линуксе...

[richek-shu.livejournal.com]

А вот с юридической точки зрения интересно как можно бороться? На лицо факт вымогательства, что в таком случае произойдет при обращении в полицию?

[nervasystem.livejournal.com]

Выставлять тачку под ссаной виндой в интернет с реальным IP это делетантизм ;)

[ammo1.livejournal.com]

Во многом я дилетант. :)
На самом деле есть пути, как сделать, чтобы машинка была за роутером, но лееееееень.

[morituruz.livejournal.com]

В этом своём посте вы прямо пишете, что используете AVG в организации.
Так же есть комментарий, что вы считаете его «бесплатным», т.е. видимо пользуетесь AVG Free, который бесплатен только для персонального использования.
Почти что чистосердечное признание в преступлении =-)

[http://openid.yandex.ru/zotac031210/ (from livejournal.com)]

Кстати, к бесплатному MS антивирусу это тоже относится.

[luckan.livejournal.com]

Много лет пользуюсь АВГ, никакой дряни на компе не бывает, или убивается прям сразу. Система правда отшлифована - закрыты порты, удалены лишние службы и т.д.
А с шифровщиком делает злое приблуда от касперских, совершенно бесплатная. Не помню какая, год назад человеку помогал комп спасти. Дать денег преступникам, увы не выход, кинут.

[al-kur.livejournal.com]

просят цену внешнего HDD (not a HugeDimensionDick!).
Да ребята просто агенты Производителя.
А лучше всего E-Sata.

Как произошло проникновение

[utnubuk.info (from livejournal.com)]

Интересно всё же, как он проник в систему? Удалённо через какие-то дыры, или пользователь сам пронёс (воспользовался заражённым ПО (варез) или др.)...

Re: Как произошло проникновение

[ammo1.livejournal.com]

В компьютер заходят по удалённому доступу. Непосредственного доступа нет. Либо через дыры пролез, либо кто-то шибко умный на нехороший сайт зашёл.

[xasya.livejournal.com]

Обычно там лажово шифрует. я подобную гадость лечил расшифровшиками бесплатными от касперского. а несколько месяцев пробегал на хабре пост где человек расшифровал протокол сей гадости и получал ключи бесплатно от этих ребят.
ну а вообще,да бэкапы это нужно.