?

Log in

No account? Create an account

Previous Entry | Next Entry

АХТУНГ!

Народ, будьте внимательны! Появился новый способ заработка мошенников - рассылка вируса, шифрующего все текстовые, фото и видеофайлы на компе. Иногда шифрование сопровождается заменой имени файла или его расширения на арбакадабру, иногда - нет. Маменька умудрилась поймать вируса, тупо заблокировавшего открытие файлов, добавившим им в свойства опцию .locked . К вирусу еще прилагался текстовый файл с ключом и куча txt-шек типа "прочти меня".
Вирус она подхватила не самым тривиальным образом - получив письмо с незнакомого, но вполне вменяемого адреса на мэйл ру с текстом "не можем до Вас дозвониться, можно пришлю документы почтой, гляньте". Это вполне обычное письмо, оно не вызвало никаких подозрений. Мама согласилась. Следующим письмом пришел текст с упоминанием названия конторы (очень незапоминающимся, но похожим на кучу других, типа "монтажмпецсбытснаб", упоминание какого-то начальника по имени-отчеству (клиентов у маменьки много, имя было похоже на одного из них) и зип-файл с пояснением "по требованию службы безопасности организации пересылка документов разрешена только в виде запароленных архивов. Пароль - 123".
Распаковка архива стоила маме компа.
После распаковки было еще одно письмо с просьбой выслать денег за восстановление информации и гуманный срок на обдумывание - 5 дней. Письмо мама сгоряча удалила.
В интернете народ пишет, что после оплаты никто никаких ключей для расшифровки так и не получил.
Опять-же, из интернета - кто-то подхватил вируса со "счетом за оказание услуг связи"...

Я вот, например, только вчера узнала о том, что есть такой вирус...

ЛЮДИ! Дублируйте данные, делайте резервные копии!

Comments

( 9 comments — Leave a comment )
zmeyman
Sep. 17th, 2016 05:58 pm (UTC)
Решили проблему? Диск расшифровали?

Он же локальный, значит можно ключ тупо отбрутфорсить...
Максимум через 8 000 000 всё равно найдётся верный.
zmeyman
Sep. 17th, 2016 06:24 pm (UTC)
Дозвонился до Мишани, он на работе, но кое куда послал... до понедельника.
)))

Итак, алгоритм действий, ибо проблема вроде известная:
1) Ищем форум Касперского, там выкладывались КЛЮЧИ к этой хне.
2) Нужен загрузочный диск с антивирем Каспера, дабы диагностировать эту хню.
3) Загружаемся с диска, диагностируем, вводим ключи и т.д. по инфе на форуме Касперского.

Пока так.
huholya
Sep. 17th, 2016 08:59 pm (UTC)
Добавлю от себя - резервные копии на отдельном диске
xyxol
Sep. 17th, 2016 09:09 pm (UTC)
Причем, выносном, да?
huholya
Sep. 18th, 2016 03:30 am (UTC)
И шнурок отцеплять после копирования
tikser
Oct. 1st, 2016 05:26 pm (UTC)
Zmeyman правильно пишет. Добавлю, как бывший сотрудник упомянутой ЛК, что:
а) таких вирусов было очень много лет 5-6 назад, потом все известные антивирусы укомплектовали средствами борьбы с этим злом, и оно стало портить пользовательские данные пореже. То есть антивирус должен быть установлен, и иметь _свежие_ базы.

б) не любой вирус, к сожалению, давал возможность расшифровать попорченные данные подбором пароля (брутфорсом). Некоторые из них использовали системные библиотеки криптостойкого шифрования, что означает необходимость либо добывать пароль (покупая у мошенников или скачивая на форумах у тех, кто его купил), либо обращаться к профессионалам по силовому решению подобных проблем. Есть подозрение, что с авторами некоторых таких вирусов случилось нечто подобное. Конечно, они не пойдут в полицию жаловаться на то, что с ними сделали, и интервью давать не будут, но резкое снижение количества вирусов-шифровальщиков наводит на размышления... :)

в) соблюдать гигиену интернет-контактов. :) Если адрес отправителя отличается от штатного хоть одной буквой, хоть подчерком - удалять письмо, не открывая. Если надо что-то прислать - пришлют с нормального адреса, безо всяких отговорок.
xyxol
Oct. 1st, 2016 05:55 pm (UTC)
Ценные замечания, но без "но" не обойдется:

- маменька живез за городом с мобильным интернетом через "модемы". Вышеупомянутый Касперский категорически отказывается с "модемами" сосуществовать. Из-за этого ей пришлось отказаться от использования лицензионного К. и перейти на менее капризные антивирусы.

- гигиена интернет-контактов - великая вещь, когда круг контактов известен и ограничен. А когда человеку постоянно пишут новые люди с новых адресов - это нереальная задача.

Все данные вытащить с винта не удалось, к сожалению. Ожили фотографии, некогда слитые из телефона (не все, увы), не зашифровались некоторые pdf-ы. Но в общем и целом - не по силам маме такая нервотрепка :(
tikser
Oct. 2nd, 2016 08:54 am (UTC)
Лиз, насчет п.1 позволь тебе не поверить. У нас была куча клиентов, у которых кроме модема в принципе ничего не было - например, на буровой в центре Сибири. И тем не менее, находилась возможность обновить базы (хоть и не по нескольку раз в день).
За день в мое время (сейчас, наверное, больше) в антивирусные базы ЛК добавляли до 10000 образцов вирусов, присланных со всего мира. Понятно, что не все их них доходят до нашей страны, но одного шифровальщика вполне хватит, чтобы попортить себе кровь.
Многие разработчики столкнулись с этой проблемой - трафик действительно расходуется при закачке баз, и некоторые решили выпускать обновления пореже. Это вполне нормальный ход, но, учитывая вышесказанное про образцы, это и определенный риск. Подвергаться ему или нет - выбор сугубо персональный. :)
Насчет гигиены неизвестных адресов - надо открывать ВСЕ вложения ТОЛЬКО после проверки их антивирусом. Во многие антивирусы встроен модуль проверки почты (если человек пользуется почтовой программой, а не веб-интерфейсом mail.ru), ну или на крайний случай сохранить вложение, не открывая, в отдельную папку и натравить на него антивирус. Да, секунд 20 это потребует. Зато потом не придется месяцами восстанавливать данные.

А каким образом лечили?
xyxol
Oct. 2nd, 2016 08:59 am (UTC)
К сожалению, я знаю все только со слов потерпевшей. Она утверждала, что Касперский с модемами не дружит. В чем выражается - не знаю, но явно не в том, что жалко было трафика на обновления.
Лечили путем отвоза к малознакомому специалисту.
( 9 comments — Leave a comment )