На днях сам заразил себе компьютер. Вроде не лох, а нет — сам попался на простом приеме — пришло письмо вроде от доктора-веба с антивирусом для лечения моего компьютера, якобы он был заражен через почту. И тут мое любопытство меня подвело — сам же запустил скрипт для загрузки очень нехорошего вируса (шифратора), на следующий день у меня аваст нашел подозрительную прграмму в моем случае был неро. Пару раз я, не обращая внимания, игнорировал угрозу, отменял лечение и отправлял в карантин, а на третьи сутки сделал роковую ощибку и добавил его в исключения. После я имел счастье познакомиться с вирусом шифратором воочию ! Благо информации немного было, систему снес, но когда сносил, обратил внимание на некоторые особенности, о которых и хочу рассказать, чтобы в будущем не повторяли моих ошибок.
Во-первых, вирус поел избирательно только файлы с расширением doc, xls, xlsx, docx, rar, jpg, jpeg. Остальное расширение вирус не тронул, базы были целые, это плюс. Был у меня и яндекс диск, гугл диск — вирус добрался и туда и, естественно, они меня не спасли, инфекция перенеслась туда. (Но архивы с расширением .exe вирус не сожрал) — Буду делать бекапы самораспаковывающимися.
Ну это если система уже пробралась, то хоть архивы будут целыми.
Сравнивал инфицированный файл со здоровым, понял только, что здоровый файл весит больше — когда будет время, сравню файлики в хехредакторе
Для предотвращения проникновения вируса в систему через почту главное не запускать или не открывать архивы (естественно, от незнакомых или от подозрительных лиц, зачастую такие письма приходят на корпоративные ящики, т.е. те, которые засвечены в рекламах на страницах интернет-сайтов или при регистрациях в сетях). Можно поставить сборщик почты и разрешить проверять почту на вирусы антивирусам, благо сегодня подавляющее большинство антивирусов это умеет делать. Дать антивирусу полную свободу действий, т.е. 1. Лечить 2. Поместить в карантин 3. Удалить. Все поставить автоматом, не спрашивая человека.
Я еще для полного спокойствия рекомендую делать архив не на локальный жесткий диск и не на сервисы яндекса, майла и гугла, а на соседнюю машину в сети (вероятность накрывания медным тазом двух машин крайне низка).
Жалко, правда, документы с фотографиями.
Безумству храбрых поем мы песню….
Честно жалко вас, лично так и не понял а зачем вы собственно проделали все необходимые манипуляцию по заражению ?
да уж…, сочувствую, но вот я никогда не открываю ссылки от непроверенных источников, да и от проверенных с опаской
Все айтикомпании уже устали предупреждать, что они не рассылают программы, не запрашивают (кроме как по телефону, и то ты сам звонишь) никакую приватную информацию типа паролей…
Никак люди не научатся простому методу — любую входящую в компьютер информацию, если вы именно её не запрашивали, по умолчанию считаем вредоносной и относимся с подозрением. Даже если это от налоговой или от твоего банка.
Была подобная эпидемия среди клиентов около года назад, только по мимо архивов шифровались все 1с ные базы и 7 и 8 ка и их архивы, письмо приходило якобы из арбитражного суда, следом на почту приходило письмо с телефоном и стоимостью расшифровки, кто-то платил, а паре бюджетных клиентов ключ выслали бесплатно, видно пожалели там дет дом был и школа.
Интересно-познавательная статья +
(5) makas, Угу. Статья их разряда «мойте руки перед едой, не тащите всё в рот и смотрите по сторонам, когда дорогу переходите». Впрочем, подобные советы не теряют актуальность уже сотни лет, от повторения хуже не станет 🙂
(1) AlexSunS, Ну если знать этапы и методы заражения то в будущем этого можно избежать. Мне на почту уже три таких письма счастья прилетело.А с учетом того что я обслуживаю организации то срочно выезжаю им в офисы и ставлю новые бэ капы, с попутным инструктажем ликбеза.
(6) vcv, Да именно статья стара как мир и компьютер не относится к пословице «мой дом — моя крепость». Написал статью специально для предупреждения чего делать не стоит!
Но для себя выводы сделал!!!
Надеюсь кому-нибудь статья поможет не встать на мои грабли
ну надо дроп бокс ставить — сделал откат на предыдущую версию и все 🙂
А еще — не надо сидеть на компе под админом — нужны админские права — указал пароль и логин и все.
Сделал вывод, что аваст это «типа антивирус» 🙂
И как вы вообще додумались это запустить, если письмо отправлено от др. веба, а у вас стоит аваст? 🙂
(9)
С облаками может совсем весело получиться. Настроил себе какой-нибудь ГуглДиск с синхронизацией на всех своих устройствах. Очень удобно. Дома что-то делал, пришел на работу и видишь все свои последние документы. Пошёл в кафешку, попутно с планшета доделал идею в проекте. Если срочно позвонил заказчик, внести мелкие изменения и смартфона хватит. Ну просто красота, прогресс и глобальное удобство.
А потом подхватываешь шифрующего трояна. Трах-тибидох-тибидох! И все файлы в считанные минуты зашифрованы на всех твоих компах, планшетах и телефонах.
Твои документы от трояна пользовательская учетка не спасёт. А они-то самое ценное. Всё остальные можно переустановить за разумное время.
(9) DitriX, С таким же успехом акроникс можно поставить с клоном диска- только вот не задачка шифрованные файлы не сразу увидишь, может получиться так что и копия жесткого будет уже с инфекцией. А аваст зря ругаешь он меня предупреждал. Лично мне аваст нравится систему не грузит как каспер.
Как тут не поверишь (Любопытство губит)!
(11) А чему тут верить? От Dr.Web письмо? Отлично! Идем на сайт веба, набирая ссылку руками и читаем новости. Если письмо от них, факт рассылки и ссылка на инструкции и программы будет на сайте.
лучше всего помогают не антивирусы, а такие программы типа универсальных снифферов
(10)
Во первых можно отключить устройство от сети если это к примеру ноутбук, что бы он не смог получить обновления, а во вторых вам не просто так сказали именно про дропбокс, он хранит все версии файлов за месяц. Это его киллер-фича. То есть восстановить можно даже удаленные файлы или откатиться на любое состояние файла которое было зафиксировано в течении месяца. Очень удобно.
Ты не сможешь посадить в систему вирус, если у тебя нет прав. Вирус в систему не запишется, системные файлы или программы не подменит, ничего сделать не сможет. А начнет «шевелиться» самостоятельно, антивирус быстро скажет что непонятный файл(а не известная пользователю программа) проявляет подозрительную активность.
(11)Какой почтовый сервер пропустил письмо с подделанным полем «FROM» ? Что бы избежать подобных казусов там же есть целая система подписей и письмо отправленное с другого адреса палится очень быстро. Гмаил предупреждает, что то вроде «возможно письмо было отправлено не с этого адреса». Или как то так тожеhttps://support.google.com/mail/troubleshooter/2411000?hl=ru (причем отправитель не должен быть обязательно гмаил)И если речь идет о письме от серьезной компании, то я это письмо просто удаляю. Особенно если надо что то скачать.
ЗЫ а вот нашелполный список сообщений нашел здесь
(14) webester,
Это если сразу видишь, что что-то подхватил. Но это редкость. Скорее всего троянчик будет жить у тебя как минимум несколько дней, прежде чем последствия его присутствия увидишь.
Это, конечно, классная фича. Но вот у меня, например, папка с нужными мне документами, проектами и прочими файлами (видео и музыка в другом месте) почти шесть гигов. Количество файлов измеряется тысячами. Если у меня часть файлов окажется зашифрованными, сколько времени и усилий понадобится, что бы отловить их всех и восстановить из версий?
🙂 Я уже пять раз сказал «троян», а вы всё про вирусы. Трояну не нужны админские права. Да и вирусу не каждому.
Ну зачем шифрующему трояну какие-то права? Пользователь сам скачал и запустил какой-нибудь 3D-Аквариум. Тот зашифровал всё, на что есть права (то есть все пользовательские документы). И всё. И никаких прав не надо.
Из-за злоупотребления с вирусами обычные пользователи фактически перестали делать самораспаковывающиеся архивы, есть только в бухгалтерии 7.7
Вдобавок есть фича не проверять архивы более … размера, но exeшник антивирус действительно будет проверять.
Касперский не предлагать?
Это же элементарное правило безопасности. Хотя, давно как-то я и сам так попался (пришел типо прайс, файл EXE с пиктограммой текстового документа notepad).
Это если вирус сам не умеет распространяться. Вирусы типа Worm.xxx — умеют искать дыры в безопасности.
Мой совет — установите Agnitum Outpost Firewall, в режиме обучения и без создания автоматического создания правил — он мониторит всю сетевую активность компьютера (и снаружи и изнутри — т.е. если программа захочет подгрузить что-то из интернета, то он об этом сообщит). Если это слишком сложно — то ставьте антивирус Касперского — он у нас вроде считается лучшим, но он ресурсопрожорливый. Аваст же бесплатный антивирус — но не супер-эффективный. Он рекомендуется как бесплатная альтернатива, но при этом надо знать и соблюдать правила безопасности работы на компьютере и в интернете.
(6)Как метко высказался основатель АО МММ: «Лох не мамонт, лох не вымрет»
1. Не работай под админскими правами. Все вирусы шарят только доступные папки, а для установки и записи вируса в реестр нужно право на установку программы.
2. Не используйте простые пароли к логином, алгоритмы переборов простых паролей просты, а иногда просто перебирают свою не большую базу
Не так давно друг попросил помочь, подхватил шифровка, а на компе было много домашних фото и документов. Нашли дешифровщик у Др.Веба, скормили ему один зараженный файл и где-то через пару суток получили ключ дешифровки с которым запустили эту же утилиту от Веба на зараженном компьютере друга и как буд-то ничего и не было)
Дешифровку проводили на Xeon’е, дешифровщик во время работы загружает все ядра почти на 100%, нужно хорошее охлаждение
Извините, но всё-таки он…
Расскажу, как мне удалось частично восстановить базу 7.7, зашифрованную подобным вирусом.
Ко мне обратился клиент с просьбой помочь в этом горе. Вирус зашифровал всё содержимое жестких дисков (файлы с расширениями, указанными автором темы плюс файлы dbf). Под раздачу попали все базы 7.7. Базы архивировались, но на этом же компьютере. Файлы архивов тоже входят в список, подлежащий шифрованию, поэтому воспользоваться архивами для восстановления не удалось. Частично ситуацию спасло то, что часть архивов, пусть не первой свежести, хранилась на другом компьютере, который от вируса не пострадал. Восстановили оттуда. А вот одну базу, причем самую нужную, никак было не восстановить. Встал вопрос о создании новой базы, но заполнение справочника номенклатуры (несколько тысяч наименований) и начальных остатков по оценкам работников склада займёт 2 недели. По сути предприятие останавливается на эти две недели, что недопустимо.
Я перепробовал все дешифраторы, имеющиеся на сайтах касперского и доктора веба — не помогло. И тут я обратил внимание на письмо счастья — текстовый файл, который есть во всех зашифрованных папках. В письме предлагается связаться с автором вируса по e-mail и, за некоторую мзду, получить дешифратор. Однако меня больше заинтересовала фраза, где автор в качестве гарантий предоставления дешифратора предлагает бесплатно восстановить несколько файлов. Объём архива для восстановления не должен превышать 5 МБ. Не очень-то веря в письмо я решил воспользоваться этим, упаковал самые нужные файлы (справочник номенклатуры, контрагентов плюс вспомогательные справочники типа справочника единиц), благо dbf файлы упаковываются очень хорошо и отправил архив по указанному адресу с просьбой назвать стоимость дешифратора. И о чудо, на следующий день получил ответ, в котором был архив с восстановленными файлами. Кстати, сумму автор просил относительно небольшую — 15 тыс. руб. Но руководством компании было принято решение ничего не платить (что я полностью поддерживаю). Из полученных файлов я создал новую базу, оставалось завести остатки. Простой компании составил 2 суток.
(23) а сарказм здесь не уместен. Я написал пост чтобы моих ошибок не повторяли, повторение мать учения!
И я этот шифратор собираюсь вдоль и поперек излазить и опробовать ваши продолженные методы для борьбы с ним, о результатах обязательно отпишусь
(21) Я сильно подозревая что и без прав админки это не поможет т.к. это был скрипт который я сам же и запустил.
(24) )))))))) Прикольно !!!!
До чего может додуматься человек !!!
ПЛЮСУЮ ЗА ОТЛИЧНУЮ ИДЕЮ И СМЕКАЛКУ !!!
(24) alexpa2005,
таких бы админов убивать нужно, пока они еще не родились! автор статьи описал какой он «м…к»
Авст у него стоит, а он от ДрВеба скрипты выполняет!!!
(27) MIracloid2000, как говорится: «И на старуху бывает проруха». Не ошибается только тот, кто вместо дела критикует других. 🙂 В моём случае ошибка админа имела место. И базы и архивы баз хранились на одном компьютере, пусть и на физически разных дисках. Сделано так было от бедности. Иметь отдельный сервер для архивов руководство компании посчитало избыточным. Но админ вполне мог делать дубликат архивов хотя бы на свой компьютер, что сделано не было. ну что же, на ошибках надо учиться. Кстати, вирус оказался весьма умным. Ведь чтобы зашифровать все диски сервера, нужно не один и не два часа. Вирус сработал в ночь с пятницы на субботу. И за выходные успел сделать своё грязное дело. Но по этой же причине остальные компьютеры сети не пострадали, поскольку были выключены. Так что отсюда ещё один совет админам — требуйте от пользователей выключения компьютеров после окончания рабочего дня!!!
(11) а не смутило что в в описании типа архив zip, а в имени самого файла скрипт js просматривается?
Просто столько несовпадений с логикой в скане сообщения. Я бы пожалуй если стал экспериментировать, то на тестовой машине, но не рабочей. 🙂
(0)
«Вроде не лох, а нет — сам попался на простом приеме — пришло письмо вроде от доктора-веба с антивирусом для лечения моего компьютера »
Извини, но ты таки лох
Мне кажется, глупо делать самораспаковывающиеся архивы в надежде на то, что следующие вирусы тоже проигнорируют exe файлы. Ведь если бы пришёл вирус, который не ел rar, то по этой логике надо было бы все файлы архивировать? Сомнительно.
(29) zelevova, Смутило. Почта у меня в майле,хотел глянуть что внутри и щелкнул нетуда вместо просмотра что внутри архив распаковался и запустился.
(31) Патриот, Все файлы совсем не обязательно а вот базы данных архивировать в двух экземплярах считаю уместно.
А нам принесли на днях ноут с шифровальщиком.. вообще экран черный.. но как сказать.. систему откачали…с помощью утилиты Доктора Веба, только мусора после него параллельного было навалом.. грубо говоря на каждый док и фото — параллельная помойка вируса…
систему спасли.. 1с работала.. но видать повреждена оказалась система по части шифрования… переустановили криптопровайдер.. он все равно вис.. не работал.. а без него сервис электронного документооборота тоже не работает…
как итог — пришлось переустанавливать ОС.. и переустанавливала сертификаты(благо бекап был)))
Базы слава богу оказались нетронутыми.. разве что в папочке лог 1С вычистила параллельный именной файл(помойку от вируса)
(16)
Вопрос был о том что если грохнули в облаке, то грохнулось везде и восстановить не возможности. Так вот восстановить возможность есть? вопрос в трудоемкости процесса.
Раз уж такое огромное количество документов(6гигов и тысячи файлов, это прилично). Тут немного по другому надо мыслить, программ которые позволяют оперативно делать копии в разные места просто пруд пруди. А в дропбоксе хранить уже архивы. Поднял нужную версию одного архива и ОК.
Ну зачем шифрующему трояну какие-то права? Пользователь сам скачал и запустил какой-нибудь 3D-Аквариум. Тот зашифровал всё, на что есть права (то есть все пользовательские документы). И всё. И никаких прав не надо.
Если вы читали статью(вы же ее читали?) там вирустроян заразил неро. А тот в свою очередь уже начал делать черные дела. Но пользователь верит программе неро и пользуется ей. Поэтому разрешил ей активность. Если бы антивирус ругнулся на только что скачанный аквариум(а вирусутрояну ничего не остается как самому делать свое грязное дело) то пользователь уже четыре раза бы подумал, что, там что то нехорошее.
Попался , также на шифратор ,
Закрылись документы и тп.
но в темпе local setting нашёлся лог файл вируса со списков обработанных файлов.
при анализе выяснилось что объём файлов не меняется а идёт побайтное XOR кодирование с применением предъидущего результата
первый байт стал равен 0.
обратить алгоритм не удалось.
(37) vvirus, надо было отправить файл в вирлабы)))
(38) не все антивирусные лаборатории обрабатывают такие заразы, да и надо учесть что они обрабатываю дешифратором твои файлы только если у них был куплен и действует антивирус.Из бесплатных была только avira — служба поддержки и то не знаю они делают такое или нет.
(39) Я в своё время слала Доктору вебу — хотя лицензии не имела)))
Потом так же в списках были БитДефендер,НОД32, ТрендМикро(тестила две недели), Сумантек(Пользуюсь трехмесячными пробниками), и Касперский..
Касперский и доктор веб — дадут вам данные для расшифровки, если у вас лицензия.. а если нет.. то просто примут файл для антивирусных баз…
Надо слать, чтобы другие потом не пострадали))))
То -ли в Авиру или Аваст — тоже отсылала файлы))))
По сути даже знаю специальные форумы, где люди тестят антивирусы и у них постоянно там свежие карантины для теста))) но от нас всегда вирлабы принимали файлы)))
CureIt! от DrWeb тебе в помощь
(41) profess0r, Если шифровальщик есть в антивирусных базах)))
При файловом заражениии.. Или свежий ЛивСД, или с съемного диска запускаем одновременно СалитиКиллер плюс Курейт))))
PS: опять же поможет.. если он есть в антивирусных базах..
А если нет вируса в базах.. шлем файл в вирлаб, ждем день-два пока утвердят его в базах.. и потом снова обрабатываем компьютер)
(20) Артано, не факт, у меня подспудное ощущущение что троль.
(42) Я специально тестил свой пойманный вирус занася заразу заново и все антивирусы его уже видели — прошло около 4 дней и он был в списке вирусов.
(44) 4 дня — нехило)))))
(45) как руки дошли ))
Социальный хакинг самый надежный! 🙂
— друг, зачем вам антивирус на компьютере? Он только место занимает, жрет ресурсы, и ваше внимание 🙂
Надеюсь, в жизни вы куда более осторожнее чем в виртуальном пространстве.
(48) врага надо знать в лицо и знать как с ним бороться с помощью или без помощи антивируса. И какие последствия от него идут. Это полезно знать!!!!!!!
И сарказм тут неуместен. Я ладно я все-таки знал чем рискую, но представь если это был бы сервер с 10 летней базой данных и доками.
До того как я сам с ним столкнулся уже читал в форумах и давал виртуальные советы, теперь знаю заразу в лицо и советы мои не виртуальные а действительные. И статья моя специально чтобы люди не делали таких ошибок.
Если компьютер подключен к Интернет, то антивирус обязательно нужен.
Хотя бы бесплатный, например, AVG. Конечно, не открывать письма от неизвестного
и тем более ссылки не кликать и файлы не скачивать.
Последствия могут быть самые ужасные. Например, вирус (Penetrator», никому не желаю.
Да и шифровальщики-вымогатели тоже неприятная зараза.
(49) Очень все индивидуально )