Ваш компьютер атакован опаснейшим вирусом

Я считаю, первое средство от этих мошенников-это полное закрытие полупрозрачных платёжных систем. Все мошенники пользуются платёжными средствами, где нет контроля. Пай-пэл, яндекс-деньги, да много, где нет контроля за собственником счёта. И некому предъявить финансовые претензии. Когда это прикроют, то все эти мошенники исчезнут, поскольку не будет неконтролируемых финансовых потоков. Сразу будет ясно куда идут деньги.

тут бэкап мозга делать надо. обычно запускают файлы присланные по почте тупые юзвери женского полу. их нисколько не ебет что это за файл и кем послан.
п.с. сам столкнулся с подобной хуетой год назад. помогли на форуме доктора веба. небесплатно.

Это сообщение отредактировал Pomario80 - 26 фев. 2017 г. в 00:24

Цитата (Alice9tails @ 26.02.2017 - 00:02)

Цитата (dedpixai @ 25.02.2017 - 23:47) Где то читал что парни вродь разобрались как с этой бедой бороться, получалось у них вроде как Хреново, когда теорию информации не преподают. Всё, что шифруется, может быть расшифровано. Итак, имеем некий входной файл, некий алгоритм и выходной файл. Берём декомпилятор алгоритма, выцепляем порядок перестановок байт и их обработку ключом. Далее - исходный файл и шифрованный файл. На руках три из четырёх неизвестных. Обратная перестановка, обработка, получаем четвёртое неизвестное - ключ шифрования. А дальше дело техники.

Как у тебя все просто.В армии еще 20 лет назад степень зашифровки сов.секретной и особой важности информации была 10 в 17-ой степени лет.Можно было и быстрее расшифровать с привлечением порядка 100-150 тыщ компов,и то на это ушло бы 10-15 лет.К тому времени дешифруемая информация потеряет свою актуальность.

Цитата (zoleg @ 26.02.2017 - 00:12)

Цитата (anikifya @ 26.02.2017 - 00:07) Цитата Только лишь бухгалтер откроет это письмо, как во всей локальной сети происходит шифрование баз данных "1С" прекратите писать хуйню. у пользователя не должно хватить прав на что то, кроме папки "рабочий стол" и "мои документы" И уж точно - на открытие портов или запуск левых соединений, или запуск экзешников не из "программ файлз" Если хватило- это вопрос к админу. Хватит ходить в вытянутом свитере с отщеренным еблом и починять принтеры. Время наводить порядок в сети. обычно базы 1С ставят на на полные права пользователям в группе, иначе не работает - это DBF. Что в большинстве используется в 7.7, и на папки с 8 файлами, со своим форматом. Шифровальщик запускается под пользователем и шифрует все до чего может дотянуться, включая базы данных, где есть доступ. Так что про свитерок ты рановасто .

Силился вспомнить, как работает файловая база 1с, но не смог- это все было очень, слишком давно

ЗЫ- спросил у яндекса про файловую базу. Почитал.
Мой вердикт: Расстрелять..
Использовать это сейчас нельзя.
Кто использует - советую написать пин-код на своей банковской карте и хранить ее в заднем кармане джинсов.

Это сообщение отредактировал anikifya - 26 фев. 2017 г. в 00:32

Надо почту в Линуксе открывать или в виртуалке или на выделенном компе без важных данных и подключения к внутренней сети.
Расширения js, vbs, scr, com, bat, cmd,... запретить или назначить им запуск самописной программы с окном вызова Админа.

Цитата (zoleg @ 25.02.2017 - 23:54)

помогает ежедневный бэкап. Но многие игнорируют данный способ. Причем, можно использовать встроенные механизмы винды - да... не лучшая хрень, но когда все зашифровано - станет панацеей.

не ингорируют а тупо денег не дает руководство на это
и на песочницы не дает...
да и админ какой нибудь самоучка скорее всего.


Это сообщение отредактировал BuDilNick - 26 фев. 2017 г. в 00:26

Чтоб связь времён не терялась:
http://www.yaplakal.com/forum3/topic1507914.html

Цитата (ALiEN175 @ 26.02.2017 - 00:20)

Админу по шапке! У нас шеф не поскупился на почтовый сервер. Все вложения bat, exe и прочее - сразу идут на хуй. Вся ответственность и последствия кликов по ссылкам четко прописаны в договоре трудоустройства.

Да попадаются, что бух или юрист видит письмо с налоговой или судебной херни. Адрес, все есть. В письме архив, как правило zip. Только открываешь якобы уведомление или еще что - и понеслася
Одно дело если документооборот маленький, еще как то можно выловить, а когда переписка активная - люди промахиваются.
Ну и потом, эта шняга вирусом как таковым не является, запускается исключительно с согласия пользователя. Как то так.

Так то все почтовые сервера уже давно в открытую ни бат ни ехе не пропускают, банят сразу.

Цитата (Adaril @ 25.02.2017 - 23:56)

Вопрос - а если у меня 1с на удаленке И там Почта не юзается никакая и вообще файлы не гуляют - риск занести заразу какой?

Открыть ЯП с этим постом!

.js на конце файла.
Мне даже, алкоголику и инвалиду понятно, что это Java скрипт.
нахуй запускать?
Где учили пользоваться компом этих овец и баранов?
платят и поделом.
Аникейщики тоже хороши, собрал всех в актовый зал, и страшилки рассказал, с описанием кар адовых.

Это сообщение отредактировал ska44reg - 26 фев. 2017 г. в 00:32

Цитата (dwag @ 26.02.2017 - 00:07)

Цитата (эсмар @ 26.02.2017 - 00:00) Присылали бляди недавно похожую хуергу, открывать не стал, пожелал вечер в хату и обозвал их петухами, больше не Присылали Да им похуй, что ты им написал Там рассылка автоматом происходит на тысячи адресов и обратной связи в самом письме не имеет. Ящик для связи они указывают на рабочем столе или в readme когда уже ещё похерено.

Ох ну слава богу, а то уж подумал, что обиделись

Цитата (dwag @ 26.02.2017 - 00:01)

Цитата (zoleg @ 25.02.2017 - 23:54) помогает ежедневный бэкап. Но многие игнорируют данный способ. Причем, можно использовать встроенные механизмы винды - да... не лучшая хрень, но когда все зашифровано - станет панацеей. Бэкап лучше создавать на внешний носитель и извлекать по окончании создания. У нас всю инфу вместе с бэкапами закодировали, пришлось 50к отвалить.

Нормально настроенный сервер бэкапов в сети даже шарами не светит. В облако, в том числе частное (правильно настроенное) зверек никак не попадет. Да вариантов надежного и безопасного бэкапа - масса. Ну а кто ебашит архивы на сетевую шару - ессно потом плакать будет. Как говорится ССЗБ.

Цитата (ALiEN175 @ 26.02.2017 - 00:20)

Админу по шапке! У нас шеф не поскупился на почтовый сервер. Все вложения bat, exe и прочее - сразу идут на хуй. Вся ответственность и последствия кликов по ссылкам четко прописаны в договоре трудоустройства.

Эта хрень не только через вложения попадает. Часто в письме ссылка на закачку, типа, Вам поступило важное уведомление от налоговой, МЧС, полиции и т.д. Для ознакомления перейдите по ссылке и т.д.

Цитата (viktori7 @ 26.02.2017 - 00:21)

Я считаю, первое средство от этих мошенников-это полное закрытие полупрозрачных платёжных систем. Все мошенники пользуются платёжными средствами, где нет контроля. Пай-пэл, яндекс-деньги, да много, где нет контроля за собственником счёта. И некому предъявить финансовые претензии. Когда это прикроют, то все эти мошенники исчезнут, поскольку не будет неконтролируемых финансовых потоков. Сразу будет ясно куда идут деньги.

Ага. Валяй, попробуй биткоин закрой. С платежниками бороться - это быстрее тебя плавать научат с тазиком цемента на ногах

шагнули вирусняки, однако, вперёд. когда-то можно было через edit "выдирать" говно вручную, а сейчас новые методы. но всё новое, как мы знаем - это давно забытое старое. не думаю, что алгоритм сложнее того же архиватора. просто выполнен нетривиально. меж тем, будущее настаёт, как мы видим. охулиард денег за базу банных. когда на перфокартах программили, такой хуйни не было )

Цитата (prosvet @ 26.02.2017 - 00:25)

Надо почту в Линуксе открывать или в виртуалке или на выделенном компе без важных данных и подключения к внутренней сети. Расширения js, vbs, scr, com, bat, cmd,... запретить или назначить им запуск самописной программы с окном вызова Админа.

Ну ты и выдал. Тут на Линукс ругаются, как на некошерную ось, а об виртуалке или на выделенном компе без важных данных и подключения к внутренней сети.
Расширения js, vbs, scr, com, bat, cmd,... запретить или назначить им запуск самописной программы с окном вызова Админа. Это сильнейшее колдунство, непосильное 99% пользователей компутеров. Об чём ты говоришь? Лохи должны платить! К сожалению только мы это понимаем.

Цитата (dwag @ 26.02.2017 - 00:31)

Цитата (ALiEN175 @ 26.02.2017 - 00:20) Админу по шапке! У нас шеф не поскупился на почтовый сервер. Все вложения bat, exe и прочее - сразу идут на хуй. Вся ответственность и последствия кликов по ссылкам четко прописаны в договоре трудоустройства. Эта хрень не только через вложения попадает. Часто в письме ссылка на закачку, типа, Вам поступило важное уведомление от налоговой, МЧС, полиции и т.д. Для ознакомления перейдите по ссылке и т.д.

На всех машинах, которые так или иначе учавствуют в обмене финансовой и иной конфедициальной информацией очень помогает принцип - запрещено все, что явно не разрешено. Это как бы азы, в общем-то.

Один раз поймал такую заразу, данные достал через Shadow Copy

Цитата (zoleg @ 26.02.2017 - 00:03)

Цитата (BubaChkhadze @ 26.02.2017 - 00:00) жуткая вещь эти шифровальщики, видел случай такой, ничего не смог сделать. Перерыл весь интернет, самое интересное нашел у касперского, но ничего не помогло. Подумали ... и переустановили систему, благо базы были небольшие и ущерба сильно не повлекли. А для больших компаний это серьезная опасность. не открывайте неведомые файлы, даже от microsoft, даже так подписывают проблема в персонале IT отдела, нужно бэкапится чаще и ничего страшного не произойдет. Потеря суток ничего не решит, восстановить не сложно, а если не делать ничего то всю инфу восстанавливать гораздо сложнее. вывод : не жалейте денег на системы резервного копирования, админы, заставляйте , убеждайте о полезности данного метода и вложений. Не нужно стесняться, потом сами же будет хуевей.

проблема не в админах, а пользователях-кретинах, которым удобно пользоваться сетевыми дисками, на которые в первую очередь лезут такие вот шифровальщики. пользователь-кретин будет настаивать на подключении сетевого диска, особенно если есть какое-никакое положение в конторе, а потом получит зашифрованные базы\файлы и будет тыкать пальцем на IT-службу. понятно, что бекапы это и первично и вторично, но прислушаться к IT и не идти на поводу у своих тупых хотелок - избежать совместных проблем бесценно, я считаю.

у одних товарищей мадам запустила такое из почты не глядя - "я в понедельник утром ещё и письма читать должна?"
ещё мне нравится когда такие письма друг другу несколько раз пересылают - "у меня не открылось, давай у тебя посмотрим!"

Цитата (superparadox @ 26.02.2017 - 00:18)

И что ты - такой умноофигенныый на непрофильном сайте тусуешь? Мышцами ума играешь? Помочь может народу можешь? А если не можешь, то пиздуй нахуй со своими многоумными комментами. Пивка бахни и отвали, эксперт хуев.

Я смотрю, Вы очень любезны с дамами, сударь. Обосрать, послать подальше, покичиться принадлежностью к касте привилегированных администраторов-непрофессионалов - бедных терпил, которым ума не хватило доступ разграничить, да минусов понаставить - это Ваш удел?
Хотите дельный совет по поводу шифровальщиков? Не допускайте их в сеть. Резидентная прога с анализом содержимого файлов, к которым происходит обращение (на диске) на предмет поиска js кода - вот, что нужно для таких случаев. Сценарии js (а нынешняя эпидемия именно с ними связана) используют собственные средства операционной системы для выполнения шифрования как такового. А для этого им необходимо проинициализировать вполне конкретные обращения к API, т.е. задействовать очень даже узнаваемые команды.
Давайте так: откройте самым обычным блокнотом любое виндовое приложение, обратите внимание на первые два байта: MZ. В любых исполняемых файлах windows (*.exe) первые два байта будут такими. С кодом java/js всё аналогично. Даже в исполняемом байтовом потоке (скомпилированный java-код) есть характерные последовательности.
Касательно помочь бедным жертвам шифровальщиков. Это бесплатно написать расшифровщик? Может, переночевать ещё пустить за просто так? Сами попались, я тут не при делах. Совет дать могу, но не более.

Полезная копипаста:
Самое простое, в случае с .js - это даже не настраивать групповые политики ограничения запуска программ и т.п., \а просто сделать на всех ПК в организации тем или иным образом ассоциацию js файлов и других скриптов с блокнотом.
Пользователь открывает .js ... и видит его содержимое в блокноте. Всё, вреда ноль.
Во-вторых настроить групповые политики ограниченного использования программ ...
Как дополнительная мера - практически все пользуются WinRar (редко у кого установлен 7-zip по-умолчанию или какой-либо другой архиватор), но мало кто задумывался что все придумали до нас. Если в настройках того же WinRar на всех ПК в компании установить такую опцию как на картинке внизу,
То запустить исполняемый файл непосредственно из архива, как и делает большинство, не удастся.
Совокупность всех описанных методов в сочетании с ограничением прав пользователей и наличием антивирусного ПО снизят возможные риски к минимуму.
Если же вы сами системный администратор, но, к примеру, в подшефной вам фирме используется сеть без доменов и все пользователи имеют права локального администратора (тут не будем говорить о том что правильно, а что нет), да еще и ПК больше 10 - никто не мешает вам написать bat'ник автоматизирующий весь этот процесс и запустить на всех машинах.

Ну например, настраиваем тот же WinRar:

reg add HKEY_CURRENT_USER\Software\WinRAR\Extraction /v UseExclNames /t REG_DWORD /d 1 /f
reg add HKEY_CURRENT_USER\Software\WinRAR\Extraction /v ExclNames /t REG_SZ /d "*.exe *.com *.pif *.scr *.bat *.cmd *.lnk *.js *.vbs" /f

При этом никто не мешает предусмотреть все варианты, т.е. с 32-х и с 64-битными системами, с Windows XP и Windows 7 и старше и т.п. Потратив час на такой bat'ник, впоследствии можно избавить себя от многих проблем.

Это сообщение отредактировал prosvet - 26 фев. 2017 г. в 00:47

Цитата (prosvet @ 26.02.2017 - 00:25)

Надо почту в Линуксе открывать или в виртуалке или на выделенном компе без важных данных и подключения к внутренней сети.

Это как?
Не, когда три письма в день, то еще могу поверить, а так...У меня на прошлой работе на почтовом гейте спама было примерно 1,2-1,5 млн писем. В месяц. Рабочих, которые реально сваливаются на рабочий экчендж конечно меньше, в среднем меньше десятки тысяч.
На нынешней все конечно скромнее, но и там порядок рабочей корреспонденции немал.
И вы предлагаете все это просматривать на каком то терминале непонятном? Это как бы важнейшая часть документооборота, изолировать которую очень трудно.

Цитата (Alice9tails @ 26.02.2017 - 00:02)

Цитата (dedpixai @ 25.02.2017 - 23:47) Где то читал что парни вродь разобрались как с этой бедой бороться, получалось у них вроде как Хреново, когда теорию информации не преподают. Всё, что шифруется, может быть расшифровано. Итак, имеем некий входной файл, некий алгоритм и выходной файл. Берём декомпилятор алгоритма, выцепляем порядок перестановок байт и их обработку ключом. Далее - исходный файл и шифрованный файл. На руках три из четырёх неизвестных. Обратная перестановка, обработка, получаем четвёртое неизвестное - ключ шифрования. А дальше дело техники.

Не каждый админ такое провернет)

По-наберут по объявлениям... ни нырять, ни плавать. А туда же... админы все.

Это сообщение отредактировал JIR - 26 фев. 2017 г. в 00:51