Вирус-шифровщик

[ammo1]

У нас на работе один из компьютеров используется для непрерывного мониторинга объектов. Он непосредственно подключён к интернету и имеет фиксированный реальный ip-адрес.

В пятницу, не смотря на антивирус AVG, компьютер заразился пакостью, которая зашифровала все файлы doc, xls, rar, jpg и оставила во всех папках файлик "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" с вот таким содержимым.



Интересно, что упоминаний адреса ymasiz76@mail.ru не находит ни Яндекс ни Google.
upd.: уже находит на Virusinfo письмо от пострадавшего.
К счастью, ничего важного на этом компьютере не было и всё удалось быстро восстановить.

Ради интереса написал на этот адрес письмо. Через десять минут пришёл ответ:

----------------------------------------------------------------------------------------
Для расшифровки файлов необходимо отправить 2500руб, на Qiwi кошелёк: 79643130512 (способы пополнения: https://visa.qiwi.com/replenish/main.action )
После оплаты вы получите код для расшифровки, а также программу
----------------------------------------------------------------------------------------


Главный вывод из произошедшего: Недостаточно иметь резервную копию системы, нужно делать резервные копии всех данных. В данном случае нам просто повезло, но если бы такая дрянь поселилась, к примеру, на моём домашнем компьютере, это была бы катастрофа.

Делайте бэкапы!!!

Comments

[vovney.livejournal.com]

Он непосредственно подключён к интернету и имеет фиксированный реальный ip-адрес.
это на винде-то? и поди с админскими правами?

не смотря на антивирус AVG,
эээээ, не надо использовать noname антивирусы

[ugryumy.livejournal.com]

А вот интересно, Алексей, у вас много информации, которая _ДЕЙСТВИТЕЛЬНО_ критически ценна? И как часто она появляется/обновляется? ;)

ПыСы.
Вообще-то,на шифровку файлов требуется дофига времени. Вы уверены, что они таки зашифрованы? может просто ребятки расширения файлам поменяли? :))

[ammo1.livejournal.com]

Много.
Уверен.

[ammo1.livejournal.com]

Да, XP с админскими правами. Плохо, а что делать. По другому не работает.
Поставил сейчас туда MSSE, посмотрим, что будет.

[vovney.livejournal.com]

- с админскими правами никакой антивирус не поможет в принципе
- забрать права, настроить файрвол корректно, ОБНОВИТЬ СИСТЕМУ, поставить касперского.

тогда шансы увеличатся))

[http://users.livejournal.com/_jerry/]

Касперский помогает

[enternet.livejournal.com]

XP? Ей даже EMET не поможет - у него половина возможностей просто не может на ней работать.

"Доктор сказал в морг, значит в морг"

[ugryumy.livejournal.com]

Или нифига не делать, а просто иметь образ системы и бэкапировать ценные данные раз-другой в сутки. :)

[ammo1.livejournal.com]

Так и живём. :)

[vovney.livejournal.com]

лолшто? какие проблемы с XP??

[ammo1.livejournal.com]

Хорошо, если так.

[vovney.livejournal.com]

помогают права обычного пользователя и разграничение прав на файловую систему)

[sheverduk.livejournal.com]

У меня достаточно успешно живет на точках ХР с авастом бесплатным, хотя ХР - это конечно не такая сплошная дырка как 98, но перейти на 7ку по куче причин не могу.
Домашние связки - 7ка + MSSE + Avast + comodo farewall - пока проблем нет на примерно 2х десятках машин. Про 8ку не скажу... А вот - если есть возможность уйти с ХР на 7ке - право слово, стоит, 7ка намного устойчивей к заразе. Ну и стандартные админские развлекушки - пользователям Инет закрыть, флешки запретить ну и тд.
Их платных - более менее нормальный - касперский - но есть куча но...
ps если что - я сисадмин.

[ammo1.livejournal.com]

На самом деле пост был совсем не про XP и антивирусы, а про необходимость бекапа. :)

[herrkot.livejournal.com]

Могут как сложным методом так и простым делать, если нет желания терять денег и время придется платить.

[herrkot.livejournal.com]

и да авг не антивирус :(

[sheverduk.livejournal.com]

пару раз вытаскивал инфу после таких шифровальщиков, как ни странно - R-studio - если на винте достаточно места, то все на самом деле в удаленных, побитых и тд файлах лежит

[vovney.livejournal.com]

MSSE + Avast + comodo farewall
это на всех 20 машинах? сисадмин? ок)))

[aka-mik.livejournal.com]

"Много, уверен" и ее нет где-нить в дропбоксе? Ну ты рисковый парень

[vovney.livejournal.com]

нет уж дудки. щас начнется!))

[sheverduk.livejournal.com]

как показывает опыт - оплата ничего не дает, я по крайней мере ни про один успешный опыт оплата-ключ-восстановление не слышал...

[ugryumy.livejournal.com]

Главное, чтобы оно до бэкапов не добралось ;)

А так, действительно, самый простой метод, да и самый надежный, пожалуй :)

[dusty.livejournal.com]

А что, домашние данные не бэкапятся? Мде...

[herrkot.livejournal.com]

Не знаю про ваш опыт но даже на форуме каспера признают что чаще всего отдают код. Пока емыл не протух по крайней мере.

Если нет бэкапа, а писал эту фигнюшку не совсем школьник расшифровать дико трудно, на том же хабрее есть несколько статей как разбирали эти пакости.

[ammo1.livejournal.com]

Чё это нету? Всё есть. Обижаете.