Эпидемия зловреда-шифровальщика
M
MrWhite©
12:07, 27.06.2014
Связался с ними, выудил что если окончание в названиях файлов такое же, то должно подойти и к другому компу, никаких файлов, ключей и т.д им не нужно т.е. дешифратор скорее всего один на всех.
Поэтому ЕСЛИ КТО ТО ЗАПЛАТИЛ ИМ , выложите дешифратор, :он может пойти всем.
Поэтому ЕСЛИ КТО ТО ЗАПЛАТИЛ ИМ , выложите дешифратор, :он может пойти всем.
окончание у всех разное, подчерк и несколько букв
Ключ генерится на каждом компе свой.
Э
Эпилог
12:10, 27.06.2014
Мне касперский не хочет отвечать по линии корпоративной ТП.
Может кто в доктора веба запрос посылал (для отправки запроса ключ нужен) на дешифратор?
Может кто в доктора веба запрос посылал (для отправки запроса ключ нужен) на дешифратор?
12:20, 27.06.2014
Может кто в доктора веба запрос посылал (для отправки запроса ключ нужен) на дешифратор?
как вариант хозяин зловреда,для подтверждения наличия дешифратора предлагает выслать зашифрованный файл и в ответку присылает расшифрованный..
D
Driv777
13:05, 27.06.2014
Хорошо, если так то у них должно быть ограниченное кол-во вариантов окончания, и соответствующее кол-во дешифраторов.
Либо они должны запрашивать файл с шифром, спрятанный на компе, либо пример зашифрованного файла, так ведь ?
M
MrWhite©
13:17, 27.06.2014
Хорошо, если так то у них должно быть ограниченное кол-во вариантов окончания, и соответствующее кол-во дешифраторов.
нет
сколько угодно
Запрашивают ключ(пример файла) с вашей стороны, делают дешифратор под вас и высылают.
Я попробовал выслать файл обрезав раширение. Сказали, что надо не модифицированный.
М
Мартовский 
13:17, 27.06.2014
Будешь смеяться, но это определяется политикой.
Ну, запрети политикой создавать пользователю документы в Word или Excel.
работа пользователя превратиться в ад.
Либо твою жизнь превратят в ад.
Ибо, в txt-файлах договоры (счета и т.д. и т.п.) уже не высылают.
А наш гад зашифровал и jpg, и pdf.
Мне касперский не хочет отвечать по линии корпоративной ТП.
Мне ответили, запросили некоторые отчеты и зашифров. файлы с зараженных компов. Отослал, ждем-с.
окончание у всех разное, подчерк и несколько букв
Ключ генерится на каждом компе свой.
Ключ генерится на каждом компе свой.
Дешифратор, по идее, должен быть один. Просто вторую часть ключа он должен брать с зараженного компьютера.
Кстати, пострадавшие. Проверьте свои компьютеры полной проверкой со свежими базами. Эта сволочь сохраняет кое-что в %USER%\Application Data\Бессмысленное имя папки
M
MrWhite©
13:28, 27.06.2014
Дешифратор, по идее, должен быть один.
ну да. неправильно выразился. У жулика, дешифратор один, с возможностью ввода сгенерированного на стороне жертвы ключа. Но это получается универсальный дешифратор, я не думаю, что его высылают оплатившим вступительный взнос.
если кто-то купит, можно попробовать разобрать прогу, возможно ключ жертвы, там будет в открытом виде. Можно будет подменять. Не думаю, что они сильно будут заморачиваться, шифруя этот ключ
D
Driv777
13:43, 27.06.2014
Я так понял высылают дешифратор и ключ, ключ видимо генерируют исходя из полученного образца зашифрованного файла....
Э
Эпилог
14:04, 27.06.2014
Можно будет подменять.
Весь смысл в поиске этого ключа)))))))
D
Driv777
14:09, 27.06.2014
Вот ответ от них"
"Да, exe, запустите введете пароль, далее все файлы автоматически начнут расшифровываться.
5000 за оба, только, если на втором ПК окончание в названиях файлов другое, нужен будет прислать файл и с него."
Слово "ЕСЛИ" подразумевает что может быть и одинаковое...
"Да, exe, запустите введете пароль, далее все файлы автоматически начнут расшифровываться.
5000 за оба, только, если на втором ПК окончание в названиях файлов другое, нужен будет прислать файл и с него."
Слово "ЕСЛИ" подразумевает что может быть и одинаковое...
D
Driv777
14:12, 27.06.2014
В крайнем случае можно скинуться на пару по 2,5 рубля и как обещают разблокируют 2 компа
В
Вадимыч на Грозе Паркета 
14:21, 27.06.2014
5000 за оба, только, если на втором ПК окончание в названиях файлов другое, нужен будет прислать файл и с него."
Слово "ЕСЛИ" подразумевает что может быть и одинаковое...
Слово "ЕСЛИ" подразумевает что может быть и одинаковое...
Может быть, подразумевается, что компы в одной сети, заразиться мог один комп и зашифровать файлы на другом через сеть, тогда одинаковое окончание. А если заразились оба, то окончания разные.
D
Driv777
14:26, 27.06.2014
Нет, у нас сеть из 4х компов. Заразился только тот, на котором запустили .scr
D
®Djinn©
14:48, 27.06.2014
у нас сеть из 4х компов.
Есть ли общие учетные записи, сетевые папки?
M
MrWhite©
14:52, 27.06.2014
я думаю у меня в понедельник будет дешифровчик, можно будет попробовать
Сейчас пока человек созревает, платить или не платить. Но больно уж много у него добра попало под раздачу
Сейчас пока человек созревает, платить или не платить. Но больно уж много у него добра попало под раздачу
М
Мартовский
15:03, 27.06.2014
У нас сетевые папки не тронул. Сетевые диски не используем. Учетная программа через терминал. Подключение флешек на пользовательских ПК запрещено политикой, таким образом пострадали только отдельные личности.
D
Driv777
15:10, 27.06.2014
Есть ли общие учетные записи, сетевые папки?
Есть много сетевых папок, затронуты только файлы на локальном диске.
U
11110010101 
15:11, 27.06.2014
У мэйла каспер почту проверяет.
на сервере не распознал его, а на компе узнал как UPX Обнаружено: HEUR:Trojan.Win32.Generic
[Сообщение изменено пользователем 27.06.2014 15:15]
U
11110010101
15:18, 27.06.2014
Расскажи потом каку-нибудь занимательную историю. Улетел подопытный.
В
Встретимся у холодильника?! 
15:20, 27.06.2014
если кто-то купит, можно попробовать разобрать прогу, возможно ключ жертвы, там будет в открытом виде. Можно будет подменять. Не думаю, что они сильно будут заморачиваться, шифруя этот ключ
ну вон я выкладывал выше, сидите - разбирайте сколько угодно
В
Встретимся у холодильника?!
15:21, 27.06.2014
я думаю у меня в понедельник будет дешифровчик, можно будет попробовать
ну ну
В
Встретимся у холодильника?!
15:24, 27.06.2014
Запрашивают ключ(пример файла) с вашей стороны, делают дешифратор под вас и высылают.
сомнительно
у них должно быть ограниченное кол-во вариантов окончания, и соответствующее
кол-во дешифраторов.
думаю так и есть, только их может быть 9999 штук. или скорее всего софтина-компилятор которая рожает новые версии вируса + дешефратор на лету.
Я уже писал выше об этом. Но в любом случае легче от этого не становится. Я пострадавших с таким же числовым окончанием в инете не нашел. Почта и вирус были общие, а цифра на конце разная...
[Сообщение изменено пользователем 27.06.2014 15:26]
Б
Бухалов™ 
20:24, 27.06.2014
ШИФРОВАНИЕ и смену атрибутов файлов можно запретить политикой.
И пущай создает сколько влезет, зашифровать не сможет ни архивом ни штатными средствами.
И пущай создает сколько влезет, зашифровать не сможет ни архивом ни штатными средствами.
чо за чушь ты пишешь?
I
Individual2
22:34, 27.06.2014
Собрался платить.... видимо никак по другому...
Обсуждение этой темы закрыто модератором форума.