Внимание новый вирус SPORA

согласен, пробовали, но файлы на ХР, а там теневой копии нет

Такая же хрень приходила. Касперский ни сном ни духом. Открывать не стал.

Нет. Притаскивали бухи такую срань, типа письмо с налоговой. И даже адрес ну очень похожий..В общем - открыли. То что пожевало на сетевой шаре, то восстановили, но и были доки на их же компе. Да нельзя, да плохо, но вот есть такое..
В общем, отправлял образцы файлов и тело шифровальщика в лабораторию Касперского. Через две недели прислали расшифровщик - сработало, хотя часть файлов все равно битая оказалась. Но хоть так.

Но на это нужна легальная лицензия.

BSD/Linux + Exim на сервере в качестве MTA (Mail transfer agent) с проверкой сообщения на вложения и блокировкой всех типов вложений кроме, разрешенных,
и какой-нибудь The Bat! на локальной Win-машине в качестве MUA (mail user agent), чтобы скрипты не понимал и не исполнял, в отличие от аутглюков.
Пока был свой интернет в конторе (сейчас от вышестоящей организации через домен и прочую эксчанжу) так и работало. Летом петюню кушали все дружно.

Никак, данные считать уничтоженными. Если есть лицензия доктор веб или каспера, можно в их техподдержку обратиться, но в любом случае шансы на успешное восстановление равны примерно нулю

От шифровальщиков - только бэкапы на отдельный носитель и здравый смысл.

И заблокировать на почтовом сервере все типы файлов кроме разрешенных, а в качестве клиента не аутлук.

Это сообщение отредактировал vaisman - 13.09.2017 - 10:21

Никак ты не вернёшь эти файлы, даже если заплатишь ту сумму которую требуют.
В основном это кидалово.

Кстати, по поводу бекапов. Есть такая замечательная програмулина syncthing
это типа дропбокса, только все на своих компах/серверах
и у нее есть возможность хранить старые версии файлов. например - 30 дней. при этом она неплохо заменяет сетевые шары, но при этом работа идет в локальных папках. в общем, у кого в сети до 20 компов и нет денег на хорошего админа - рекомендую посмотреть в эту сторону. не реклама, т.к. програмулина абсолютно бесплатна.

У нас на одном из удаленных объектов гении притащили шифровальщика на телефоне "что-то у меня документ не открывается". Ну и открыли, мать их, потом звонят "у нас тут на нашем сетевом диске файлы непоймивочто превращаются". Поздравил, приказал рубить питание, искать какой комп зашифровался, данные из бэкапов поднимать.

Соответственно, тупая пизда. Добавить больше нечего.

Ты это, есть ещё один новый вирус, называется винчих. Тот падла вообще, биос трёт.

gluk35
[quote]называется винчих. Тот падла вообще, биос трёт.[/quot]
Ага очень новый
А правильно он звался чернобыль

ну чернобыль это другое название. А правильно таки чих

но ведь он новый. как и этот шифровальщик.

6к компов в сети... поди и программисты есть?
Если серьёзно: ручками надо было ещё года два назад вставить в групповые политики безопасности (и наследуемые от них локальные) новые исполнялки для всех видов скриптов, особенно js, hta. Чтобы не было в винде ассоциаций на исполнение сей гадости.
Второе - RSA не сказать, чтобы сильно криптостойкий алгоритм и используется он в основном не для шифрования файлов, а для шифрования потоков быстро устаревающей информации. Той, которую нет смысла расшифровывать "злоумышленнику-подглядывальщику", ибо пока он справится с задачей, актуальность уже уйдёт. Для шифрования в RSA используются пары больших простых чисел, которых не так уж много. Отсылай несколько зашифрованных файлов с оригиналами в касперычевскую лабу, они могут и помочь. А могут и не захотеть.
В-третьих, что уже чуть ближе к задачам программистов: нарисуй себе собственную защиту, резидентно валяющуюся в памяти и проверяющую структуру записываемого файла на соответствие его расширению. Поясню: любой файл типа EXE начинается с байтов MZђ , любой docx - c PK  и так далее. Кроме того, внутри файлов многих типов имеются другие обязательные структурные элементы, которые шифровальщиками на данном этапе развития не сохраняются. Грубо говоря: увидел несоответствие расширения файла его содержимому при попытке записи на диск (да-да, перехват потока, все дела) - шлёшь весь поток нахер, ибо сие есть шифровальня.

"сотрудницу" определили в сексуальное рабство года на три?

Нет, бро, он правильно назывался Virus.Win9x.CIH, а "чернобылем" его прозвали потому, что основная эпидемия пришлась в аккурат на 26 апреля. Помню на старых материнках даже bios выпаивали и бегали по городу в поисках программатора, а у одногруппника на ходу микросхему перешивали, ниткой поддевали чтобы после перепрошивки вынуть из живой материнки.

lol

"любой docx - c PK"

с этого начинается зип-архив, коим твой досх и является. а что делать, если изменили формат файлов, придумали новые и тэдэ и тэпэ бугого?

остальное примерно в таком же стиле изложено. и очень надеюсь, что ты не имеешь отношения к программированию, не надо.

Это не деньги, хотя и используется как средство расчётов. Деньги - это отражение произведённого товара.

GLKaban
и таки да, Alice9tails, RSA используется в шифраторах только для шифрования самого ключа, остальное происходит через симметричное шифрование

Это сообщение отредактировал simulatoris - 13.09.2017 - 10:57

Покарать сотрудницу анально...

а админа проще расстрелять, чем объяснить ему про политики и права пользователей.

daemani

У меня была материнка с ВВ программированием биоса. И она выжила, а вот данные на харде нет.

у него насколько помню дата на 26 апреля стояла для активации

реагируют антивирусы на скрипты, просто базы не обновились еще до этой сигнатуры.
как правило письма с гавном рассылаются ночью, по свежаку, с утра люди тыкают, а новые базы часам к 9ти только выкатываются.

никак - ключи меняются как "перчатки" - как только антиврусники "ломают" актуальную версию - появляестя новый шивровальщик с другим ключом. Взломать лично - нужны миллиарды лет.
Выход один - формат и установка чистой системы.
И да - этим шифровальщикам триста лет в обед!!!
А сотрудницу, запустившую левый файл оштрафовать на очень приличную сумму - думаю на те самые 520 баксов :)

И да - от "скриптов" вот вам в помощь: https://ru.malwarebytes.com/
ну или старый добрый АВЗ: http://www.z-oleg.com/secur/avz/