Форумы Крайслер Клуба > Про вирусы, кидалово и Яндекс диск!

Помощь - Поиск - Пользователи - Календарь

Полная версия этой страницы: Про вирусы, кидалово и Яндекс диск!

Форумы Крайслер Клуба > Разное > Электроника

DAK

31.5.2014, 10:50

Вчера придя на работу обнаружил, что на моем компьютере все файлы с расширением xls, doc, jpg, pdf, zip и т.д. зашифрованы.

При запуске компьютера выводится такое радостное сообщение.

С помощью Россохи связались с DrWeb. Они делают декодеры для регистрированных пользователей.

В результате ответили, что у меня поработал вирус Trojan.Encoder.398
Это одна из последних его разновидностей и декодеры они не смогут сделать.

К названиям всех файлов добавилось такое расширение
Файл 1.xls стал вот таким 1.xls.yourfiles2014@yahoo.com_O0D1mRJ
Проверил файлы действительно закодированы.

Отправил им на почту закодированный файл и в ответ получил раскодированный.

И пришлось задушить жабу и отправить эти сраный 5000.

1. Выяснил что мне на почту пришло письмо типа высылаю вам договор и приложен файл договор.rar
Так как мне постоянно присылают документы моя девочка без задней мысли его открыла. Но там видимо был запускаемый файл, который сделал мне эту пакость.

2. Ни к коем случае не ставьте на компьютер приложение Яндекс Диск.
Эта дрянь закодировала и все файлы на яндексе.

Artem_evich

31.5.2014, 14:12

ээээ .. а какой антивирь стоял на компе?

DAK

31.5.2014, 15:52

ESET NOD 32

ned

31.5.2014, 16:16

у меня такой, 8 лет с ним дружу.
каспер мне кажется не лучше но дороже

Подорожник_V

31.5.2014, 16:33

Гм...про такой вирус я узнал пару лет назад. Причем 2 раза. Раз у кумовьев( вылечил) и раз на своей машине (пришлось переустанавливать систему)

Так что, не знаю почему лаборатория DrWeb объявила эту дрянь новинкой...

DAK

31.5.2014, 17:31

Я же написал, что меня заразила последняя модификация этой дряни, с которой они не могут помочь.

Apl

31.5.2014, 18:02

Как хорошо что у меня яблоко

Dim0n78

31.5.2014, 21:36

на работе бывшей, коллега словила точно такой же троян.
документов важных не было, в итоге просто осталась без всех документов и фотографий на рабочей машине.
п.с. антивирус как правило не видит это.
п.п.с. яндекс диск скорее всего не причем

DAK

31.5.2014, 22:17

Цитата(Dim0n78 @ 31.5.2014, 22:39)

п.п.с. яндекс диск скорее всего не причем

Повторяю ещё раз. Если у вас сделана синхронизация файлов, то всю эту дрянь вы получите на Яндекс диске.
Не включайте синхронизацию, а лучше пользуйтесь web интерфесом.

Sundy

1.6.2014, 8:52

Цитата(DAK @ 31.5.2014, 11:53)

Вчера придя на работу обнаружил, что на моем компьютере все файлы с расширением xls, doc, jpg, pdf, zip и т.д. зашифрованы.

Соболезную Дим, как собрат по несчастью, мне такое "подарили" в прошлом году, пока я был в командировке. Я был сильно удивлён 5000руб, в моём случае "просили" в районе 45000 и конечно без гарантии...

Бистрий Чирипахх

1.6.2014, 9:12

Спасибо, синхронизацию отключил.

Vlad

1.6.2014, 20:01

Цитата(DAK @ 31.5.2014, 16:55)

ESET NOD 32

Ты бы поставил Аваст и не мучался.

Технолог

1.6.2014, 20:45

Соболезную..
Лазил где?
Может есть история, глянь ее..
Сюда скинь подозрительные адреса...
Про почту читал.. Там не факт...

DAK

2.6.2014, 10:36

Прислали утром дешифратор.
Сижу понемногу восстанавливаю данные.
Слава богу, что он работает.

IgorN

2.6.2014, 10:40

Цитата(DAK @ 2.6.2014, 13:39)

Прислали утром дешифратор.

Вирусописатели или антивирусники?

DAK

2.6.2014, 10:44

Вирусописатели

IgorN

2.6.2014, 10:52

Цитата(DAK @ 2.6.2014, 13:47)

Вирусописатели

Ну вот, я ты не верил в людей, кидалами их называл :)

Tax

2.6.2014, 11:09

Цитата(IgorN @ 2.6.2014, 11:55)

не верил в людей, кидалами их называл :)

Россоха

3.6.2014, 9:54

Прям гордость берет за нашу страну!

США включили хакера из России в список самых опасных киберпреступников.
ВАШИНГТОН, 2 июн — РИА Новости, Алексей Богдановский. Федеральное бюро расследований включило российского гражданина Евгения Богачева в список наиболее разыскиваемых подозреваемых в киберпреступлениях, сообщил в понедельник исполнительный замдиректора ФБР Роберт Андерсон
По его словам, Богачев создал «наиболее сложную систему зараженных компьютеров, с которой когда-либо имело дело ФБР». Власти США обвинили Богачева по 9 статьям Уголовного кодекса, в том числе в компьютерном мошенничестве и отмывании денег. По их данным, только на территории США созданная им сеть зараженных компьютеров Gameover Zeus перехватывала финансовую информацию и осуществляла несанкционированные банковские транзакции, что привело к ущербу более чем на 100 миллионов долларов только в США. Еще 27 миллионов долларов владельцы компьютеров заплатили авторам вируса Cryptolocker, который шифровал содержимое компьютеров и требовал с владельцев выкуп.
Власти США распространили несколько фотографий Богачева и информацию о нем. По их данным, подозреваемый родился в 1983 году, является гражданином России, работает в сфере информационных технологий. ФБР считает, что Богачев живет в Анапе, увлекается парусным спортом и может путешествовать на своей яхте по Черному морю. Также у Богачева есть недвижимость в Краснодаре, считают в ФБР. Богачев, по данным ведомства, известен в интернете под именами lucky12345 и slavik, и занимается созданием сети зараженных компьютеров с 2011 года. Против него выдвинуты обвинения в федеральных судах в штатах Пенсильвания и Небраска.
Ранее заместитель генпрокурора США генерал Джеймс Коул (James Cole) заявил, что американские правоохранительные органы запросили помощь у российских коллег в поисках и аресте Богачева. Однако, если он находится в России, он не может быть выдан США: Конституция РФ запрещает выдачу граждан России другим государствам.

©

ЛЁТЧИК

4.6.2014, 22:12

Антивирусы - это программы, которые провоцируют попадание вируса на Ваш компьютер, не более. Без антивиря ты на левый сайт не попрешься, а с ним складывается иллюзия защиты. Но это иллюзия. Ни аваст, ни платные dr web с касперским не помогут от более-менее серьезного вируса. Но отказываться от антивиря конечно нельзя, хотя бы мелочевку ловить будет.
Нормальная защита, которая обеспечит гарантированную безопасность компа:
1. Брандмауер, и не крутецкий, который знакомый админ посоветовал, а родной, который в винде стоит. Как показала десятилетняя практика - он лучший.
2. Антивирус. И пофиг какой он, хваленый каспер, который дороже всех стОит ничем не лучше бесплатного AVG, и то и другое простояло около двух лет(минус касперу, что тормозит систему, на слабый комп ставить нельзя)
3. Утилиты для чистки системы. У меня это Vit Registry Fix(лучший бесплатный чистильщик реестра) и DrWebCureIt - находит вирус там, где не найдет любой антивирь. Кстати, автору темы, вместо того, чтобы платить 5 рублей, стоило бы скачать этот сканер и не парить мозг. Я этих вирусов-вымогателей десятки удалял, причем весьма разных, и сканер зачастую неплохо выручал.
P.S. Nod32 полное дерьмо, лучше аваст поставить
и яндекс диск тут не причем, заражение не от него, а на него пошло

alenik

5.6.2014, 1:06

пользую бесплатную авиру, за 5 лет на 4-х компах ни одного вируса.

IgorN

5.6.2014, 6:05

Цитата(ЛЁТЧИК @ 5.6.2014, 1:15)

Кстати, автору темы, вместо того, чтобы платить 5 рублей, стоило бы скачать этот сканер и не парить мозг. Я этих вирусов-вымогателей десятки удалял, причем весьма разных, и сканер зачастую неплохо выручал.

Ты бы внимательнее читал, и не спешил давать советы космического масштаба. Полезные, нужные файлы на компьютере уже оказались зашифрованы. Удалив вирус из компьютера, ты не вернёшь свои файлы. Расшифровка без знания ключа и алгоритма шифрования несколько затруднительная штука.

Россоха

5.6.2014, 16:06

Цитата(ЛЁТЧИК @ 4.6.2014, 23:15)

бла-бла-бла
и яндекс диск тут не причем, заражение не от него, а на него пошло

Видимо, вообще не понял, про что речь, но с умным видом высказался.

LechA

5.6.2014, 16:51

в "радостном сообщении" позорная ашыпка : УБЕДИТСЯ без Ь )))) школота-вирусопейсатели......
те, кто платит им 5круб, = лохи в квадрате !

Garikk

5.6.2014, 17:03

Цитата(ЛЁТЧИК @ 4.6.2014, 23:15)

P.S. Nod32 полное дерьмо, лучше аваст поставить

Помню были времена MSBlast.... Аваст только матерился и говорил "ой, вирус!! Типа вылечил" и через 10 минут синий экран и смерть. Чёто у меня аллергия на него с тех пор.

IgorN

5.6.2014, 17:24

Цитата(LechA @ 5.6.2014, 19:54)

Ну ты то не такой, ты платить не будешь. А ту порнушку и рефераты всегда можно снова скОчать.

ЛЁТЧИК

5.6.2014, 20:18

Цитата(Россоха @ 5.6.2014, 17:09)

Видимо, вообще не понял, про что речь, но с умным видом высказался.

Ну если не понял, то давай объясню. Тема для меня оч знакомая, всякого дерьма с компов друзей поудалял более чем достаточно, и там, где великие спецы советовали сносить винду, я всегда находил выход.
И яндекс диском не первый год пользуюсь;)
Че за народ пошёл, если знаний нет, то все остальные, у кого они есть - тупые и неадекватные. Я удивляюсь, как автора не отправили курить поиск, как на этом форуме принято. Хотя поиск тут не работает(админ, займись своими обязанностями)

ЛЁТЧИК

5.6.2014, 20:23

Цитата(IgorN @ 5.6.2014, 7:08)

Это не повод опускать руки и платить всяким уродам, ИМХО. Не бывает безвыходных ситуаций

IgorN

6.6.2014, 16:33

Цитата(ЛЁТЧИК @ 5.6.2014, 23:26)

Это не повод опускать руки и платить всяким уродам, ИМХО. Не бывает безвыходных ситуаций

Да, наверное со временем разработчики в Dr.Web и нашли бы способ расшифровать. Но бывают случаи, когда файлы нужны срочно, и вариантов особо нет. Участие Россохи в этой истории лично для меня достаточное основание думать, что по-другому файлы восстановить не удалось.
Наверное, теперь ТС озадачится организацией регулярного копирования информации, или хотя бы включением сервиса "теневого копирования".

ЛЁТЧИК

9.6.2014, 3:18

Цитата(IgorN @ 6.6.2014, 17:36)

Да просто стоило сказать тут о заражении, желающим разобраться скинуть ссылку на скачивание. Ещё раз повторюсь - тут из админов никто толком не подскажет, они ещё от 98-й винды в себя не пришли)) А ребята из Dr.Web просто показали, что это все фигня решаемая, но проги писать из-за разового случая они не будут. В следующий раз не факт, а проблему сюда кидайте, поборемся)

outsayder

9.6.2014, 10:55

Тут парень расшифровал сам... но не все так просто..... вот текст...

Цитата

Итак, как развивались события (опуская бесполезные методы и подходы )

Файл в составе вируса, создающий и удаляющий ключи - cde.cmd, из него нам интересно:

%SCV%%PRB%--import "%TEMP%\secrypt.cry"
%SCV%%PRB%--homedir "%TEMP%" --batch --gen-key genkey.cry
%SCV%%PRB%-r StyxKey --yes --trust-model always --no-verbose -q --encrypt-files "%TEMP%\secring.gpg"
...
move /y "%TEMP%\secring.gpg.gpg" "%TEMP%\secring.gpg"
RENAME "%TEMP%\secring.gpg" KEY.PRIVATE

т.е. ключ действительно создается каждый раз (--gen-key) и потом зашифровывается (--encrypt-files) уже безвозвратно.
secring.gpg после этого перезаписывается мусором и просто так его не востановить.

Файл genkey.cry удалось восстановить из удаленных (R-Studio или аналогичная). Его содержимое:
%pubring pubring.gpg
%secring secring.gpg
Key-Type: RSA
Key-Length: 1024
Name-Real: unstyx
Name-Comment: unstyx
Name-Email: unstyx@mail2tor.com
Expire-Date: 0
Passphrase: unstyx

Что сделал я:
1.Поставил себе gnupg (лучше бы наверное ту же верию 1.4, что и в вирусе, но поставил 2.2).
2.Сгенерил три пары ключей пользуясь genkey.cry как файлом параметров. Файл secring.gpg трижды оказался длиной 739 байт и вначале у каждого была сигнатура 0х95 0x01. Также в файле в открытом виде лежит email (unstyx@mail2tor.com).
3.Скачал disk editor, запустил поиск unstyx@mail2tor.com.
Оп-па, второе же вхождение имеет 0x95 0x01 вначале и окружено 0x00. Копируем этот блок в новый файл - 738 байт. Почти-почти, может версия играет роль 2.2 vs 1.4. Кладем файл под именем secring.gpg в каталог GnuPG.

gpg2 -K:
C:/Users/EWiZaRD/AppData/Roaming/gnupg/secring.gpg
------------------------------------------------------
sec 1024R/6C1328AF 2014-06-02
uid unstyx (unstyx) <unstyx@mail2tor.com>

Есть секретный ключ, мы уже рядом

gpg2 --output "1.rar" --decrypt "1.rar.unstyx@gmail_com"
вводим пароль (unstyx из genkey.cry) и ТА-ДА!
1.rar снова с нами.

Далее дело техники. unstyx.cmd:
@echo off
for %%I in (*.unstyx@gmail_com) do (
gpg2 --output "%%~nI" --decrypt "%%I"
del "%%I"
)

sweep unstyx и можно открывать шампанское, принесенное благодарным пользователем

P.S. добавлением всего двух команд в cde.cmd можно сделать так, чтобы этот и подобные подходы не сработали, но я не такой дурак, чтобы говорить об этом вслух ....

----------------------------

Вирус создает cptbase.cmd, в котором перечислены все файлы, что будут зашифрованы и начинает его выполнять.Код

Цитата

svchost.exe -r unstyx --yes --trust-model always --no-verbose -q --encrypt-files "C:\Users\All Users\Autodesk\Inventor Fusion 2013\Design Data\Thread.xls" & move /y "C:\Users\All Users\Autodesk\Inventor Fusion 2013\Design Data\Thread.xls.gpg" "C:\Users\All Users\Autodesk\Inventor Fusion 2013\Design Data\Thread.xls" & RENAME "C:\Users\All Users\Autodesk\Inventor Fusion 2013\Design Data\Thread.xls" "Thread.xls.unstyx@gmail_com"

На том компе, что я смотрел, размер cptbase.cmd - 137 мегов
Вирус успел зашифровать все файлы на C: (>33000 файлов) и частично на USB диске, к счастью, не успев добраться до сетевого диска.

Почитал я его, он сможет и по ИП вычислить

outsayder

9.6.2014, 11:00

Цитата

Если genkey.cry такой же, какой был у нас, то его искать не надо. Надо поставить какой-нибудь disk editor (не на тот раздел, на котором будем искать!), я поставил первый попавшийся, HxD Hex Editor, и запустить поиск по диску. Искать строчку unstyx@mail2tor.com, в блоке начинающемся на 0x95 0x01.

0x95 0x01 это не смещение, а сигнатура начала файла secring.gpg
Искать на диске unstyx@mail2tor.com, строку, а потом смотреть есть ли эти байты чуть выше.

Вот файл, что я вытащил с диска:

alexfial

10.6.2014, 7:45

Самый страшный компьютерный вирус всегда сидит перед монитором.

ЛЁТЧИК

11.6.2014, 21:58

Цитата(alexfial @ 10.6.2014, 8:48)

Самый страшный компьютерный вирус всегда сидит перед монитором.

ГЕНИЙ!!!

alexfial

13.6.2014, 15:08

Цитата(ЛЁТЧИК @ 11.6.2014, 23:01)

Цитата(alexfial @ 10.6.2014, 8:48)

Самый страшный компьютерный вирус всегда сидит перед монитором.

ГЕНИЙ!!!

Мопед не мой ...
:)

Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.