С тегами:

шифровальщик

Любые посты за всё время, сначала свежие, с любым рейтингом
Найти посты
сбросить
загрузка...
45
7 простых правил как избежать взлома сервера и шифровальщиков
56 Комментариев в Лига Сисадминов  

Привет всем!


На волне "Как нас взломали и защифровали" и других постов по ИТ-безопасности хочу просто поделиться своими простыми правилами, которые доступны всем и помогут уменьшить вероятность подобных граблей.


1. Учётка Админа только одна, и только я знаю пароль, копия с паролем в запечатанном конверте хранится у босса в сейфе (на случай, если я умру :-)).

2. Учётки пользователей блокируются при вводе пяти раз неверных паролей и меняются каждый месяц.

3. Порт роутера, через который подключен сервер к Интернету, поменял на хитрый 4-х значный.

4. RDP-порт сервера поменял на хитрый 4-х значный.

5. Правило проброса (например, на Зикселях имеется простой интерфейс) RDP-порта на роутере работает по расписанию, т. е. по необходимости когда пользователям надо удалённо работать, например, в рабочее время они все на работе, а вечером с 19-00 до 22-00 могут поработать удаленно.

6. Самое ценное, это конечно, базы 1с, бекапы, которых делаются не только на другой комп в локальной сети, но и на флешку, у которой есть ответственное лицо: каждый день после архивации меняет с флешкой местами, которая лежит в не сгораемом сейфе в Организации.

7. Еще совсем недавно настроил Гугл.Диск, архивный бекап шифруется (например, PGP) и сливается на него.


P/S. За истину не претендую.


Всем добра, смышленых юзеров, адекватного начальства и отличного пинга!

181
Новый вымогатель требует необычный выкуп за расшифровку файлов.
8 Комментариев в Информационная безопасность  
Новый вымогатель требует необычный выкуп за расшифровку файлов. шифровальщик, Ключи, Шутка

RensenWare восстанавливает данные только при условии набора 200 млн очков в игре TH12.

Как правило, авторы криптовымогателей разрабатывают свои программы с одной целью - получить финансовую выгоду, однако порой эксперты в области безопасности сталкиваются с довольно необычными представителями подобного ПО.


Речь идет о вымогателе RensenWare, который шифрует файлы на компьютере жертвы при помощи алгоритма AES-256 и добавляет к ним расширение .RENSENWARE. Как сообщает издание BleepingComputer, восстановление данных возможно только в том случае, если пользователь наберет 0,2 млрд очков в игре TH12 - Undefined Fantastic Object. Жертва не сможет получить ключ дешифрования, если не заработает требуемое количество баллов, а при попытке закрыть программу ключ будет удален.


RensenWare шифрует файлы с расширениями .jpg, .txt, .png, .pdf, .hwp, .psd, .cs, .c, .cpp, .vb, .bas, .frm, .mp3, .wav, .flac, .gif, .doc, .xls, .xlsx, .docx, .ppt, .pptx, .js, .avi, .mp4, .mkv, .zip, .rar, .alz, .egg, .7z и .raw. Вредонос отслеживает текущей счет и уровень в игре, при достижении результата в 200 млн очков он сохраняет ключ дешифрования на рабочем столе и инициирует процесс расшифрования.


Как признался создатель RensenWare, программа была написана просто ради шутки. Разработчик уже принес свои извинения и удалил исходный код ПО с GitHub. Он также опубликовал инструмент для восстановления зашифрованных файлов.

P.S. закинул бы кто Габену, шифровальщик где надо набрать тысячу очков в HL3.

2558
Winassociate - топорная рекомендация от шифровальщиков
172 Комментария в Информационная безопасность  
Winassociate - топорная рекомендация от шифровальщиков вирус, шифровальщик, cmd, программа, расширение, assoc, информационная безопасность, IT, длиннопост

Хочу довести информацию, что данный топорный метод #comment_82295458 имеет место быть.

Winassociate - топорная рекомендация от шифровальщиков вирус, шифровальщик, cmd, программа, расширение, assoc, информационная безопасность, IT, длиннопост

После этого все исполняемые файлы с которыми часто запускаются шифровальщики будут ассоциироваться с текстовым файлов и открываться в блокноте.

Если потребуется вернуть стандартные значения прописываем в командной строке:

Показать полностью 5
56
Ахтунг! Вирус-шифровальщик! почта от Ростелеком (rt.ru)
79 Комментариев в Информационная безопасность  

Добрый день.

Информации в принципе никакой полезной сообщить не могу.

Пришло письмо якобы акт сверки от Ростелекома (домен rt.ru)

Внутри файл расширение .wsf

и Двум сотрудницам хватило ума его попытаться открыть.

Сейчас на их компах полностью переустанавливать ОС, а все рабочие документы и файлы, скорее всего не удастся восстановить.

Аваст ничего не заподозрил. Сканы от касперского и др.вэба безрезультатны.

Будьте бдительны. Предупредите персонал своего офиса.

2563
Ваш компьютер атакован опаснейшим вирусом
829 Комментариев  

По роду своей деятельности очень часто общаюсь с бухгалтерами различных фирм. Последний год участились такие случаи: бухгалтер получает письмо с вложением (то ли pdf, то ли doc), а там типа письмо из налоговой. Гербовая печать, бланк - все как полагается. Только лишь бухгалтер откроет это письмо, как во всей локальной сети происходит шифрование баз данных "1С". Причем шифрованию подвергаются и архивы в том числе. Единственное, что остается - это открытые в момент шифрования базы. И то есть предположение, что как только ее закроешь - она так же станет неработоспособной. На компьютере оставляется файл с указанием сколько и куда нужно заплатить. Обычно это Qiwi или биткоин.

Ваш компьютер атакован опаснейшим вирусом не мое, шифровальщик, вирус, длиннопост

Поначалу вроде бы шифровалось абсолютно все, до чего мог дотянуться вирус, но последнее время заметил, что атаке подвергаются только базы "1С". Если не делался архив в облако или на внешние накопители - дело труба. Никто из моих знакомых не спас информацию.


И вот сейчас читаю такую статистику ...

Ваш компьютер атакован опаснейшим вирусом не мое, шифровальщик, вирус, длиннопост
Показать полностью 1
188
И снова шифровальщик vault
146 Комментариев в Информационная безопасность  

Второй раз по работе сталкиваюсь с шифровальщиком, первый был еще в 2011 году, не столько шифровальщик, сколько портил заголовок файла, можно было починить вручную. А теперь да, как об стенку головой. RSA-1024. В связи с этим возникает 2 вопроса, на который я не могу найти ответ:

1) можно ли включать и выключать java-машину в винде по своему желанию? Я представляю это как кнопку в панели задач "java on" и "java off". Хоть какие-то костыли. Оба вложения были java скриптами. Ведь если снести полностью яву в системе, то скрипт не запустится. Но нельзя, не будут работать кнопки на сайтах и т.д. Поэтому нужен тупой рубильник. В идеале привязка java off к открытию вложения в почтовом клиенте ("вы хотите открыть вложение?"-"да"- "может быть java off"?)


2) можно ли сделать файл-ловушку для щифровальщиков, например файл *.doc (*.xls, *.jpg)размером 1 Гб (5Гб, 10 Гб) со структурой, максимально трудной для шифрования (не просто из нулей или повторяющихся фрагментов, нужен генератор)? Поместив такой файл в корень диска С (или откуда он там начинает шифровать?)можно хотя бы замедлить процесс шифрования и получить дополнительный шанс прервать его, не удалится закрытый ключ. Ну а если повесить на открытие такого файл простой обработчик с окном предупреждения, то вообще красота. (Раньше когда солнце было ярче, водка слаще была такая шутка - рассылали знакомым архивированный файл (сколько-то Гб) из нулей, он сжимался до нескольких килобайт. Антивирус, который проверял почту (только пошли тогда) должен был его распаковать во временную папку перед проверкой - у многих банально не хватало места на винте или Celeron 450 впадал в ступор на пару часов).


Я понимаю, что надо работать со включенным UAC и восстановлением дисков, не в коем случае не под админом, максимально ограничивать права через групповые политики. Все равно это не дает 100% гарантии, также как антивирусы, при этом нормальной работой это назвать нельзя. Уж лучше тогда действительно Linux. Постоянно бэкапить? На флешку нельзя, надо все равно вынимать, сетевые диски и облака (приаттаченные)шифруются точно также как локальные. ФТП? Не у каждого есть и не каждый может с ним работать.


Почему же не сделать защиту именно в тех точках, в которые бъет шифровальшик, максимально облегчив задачу себе и пользователям?


В свое время, когда была эпидемия вирусов на флешках, я был приятно удивлен утилитой USB Vaccine, которая просто закидывала на съемный носитель неправильный файл autorun.inf, который нельзя было стереть, и таким образом блокировала работу autorun вирусов. По-моему очень красиво и в духе стратегии достижения цели малой кровью.


P.S. Видел на профильных форумах объявления о продаже систем рассылки этих шифровальщиков, ведь ничего в голове не нужно для этого - 1500 долл и в автоматическом режиме все работает, дают абузоустойчивый сервак со всеми приблудами, автоматом скачиваются последние версии почтовых баз, троянов, тебе только на биткоин кошелек капает бабло.  Правда сейчас как я понял стали письма читать - раньше рассылали по шаблону "управление судебных приставов" - "за вами долг, ознакомьтесь во вложении", обратный адрес - sud12345@mail/ru. А сейчас видимо читают ломаные ящики и руками рассылают с них контекстно каждому абоненту из адресной книги что кому интересно. Мы например получили шифровальщик в письме от знакомого контрагента чуть ли не в ответ на наш запрос какой-то хрени типа акта сверки. Грех было не открыть. Платить пока не собираемся. Что-то было сохранено, правда старые версии. Как не странно из корзины вытащили много, ее почему-то не тронуло.

P.P.S. Напоследок пожелание для тех, кто этим занимается

И снова шифровальщик vault вирус, шифровальщик, vault, баттхёрт
Показать полностью 1
261
ВНИМАНИЕ! Взломано шифрование вымогателя TeleCrypt.
47 Комментариев в Информационная безопасность  
ВНИМАНИЕ! Взломано шифрование вымогателя TeleCrypt. TeleCrypt, Шифровальщик, Помощь, восстановление данных

В нaчале ноября 2016 года специалисты «Лаборатории Касперского» обнаружили шифровальщика TeleCrypt, который привлек их внимание тем, что использует для связи с управляющим сервером протокол мессенджера Telegram.



Напомню, что вредонос написан на Delphi и имеет размер более 3Мб. После запуска малварь генерирует ключ для шифрования файлов и идентификатор заражeния infection_id. Затем троян связывается со своими операторами через публично доступного Telegram Bot API. По сути, троян выполняет функции бота Telegram и посредством публичного API отправляет сообщения своим создателям. Злоумышленники заранее получили от серверов Telegram уникальный токен, который однозначно идентифицирует вновь созданного бота, и поместили его в тело троянца, чтобы тот мог использовать API Telegram.



Но долго шифровальщик не продержался. Специалист Malwarebytes Нейтан Скотт (Nathan Scott) пишет, что TeleCrypt, как оказалось, использует очень слабое шифрование, благодаря чему его уже удалось взломать.



Исследователь представил детальный анализ малвари в блoге компании, а также опубликовал бесплатный инструмент для расшифровки файлов. Для работы утилиты нужно сначала определить использованный ключ шифрования, для чего понадобится любой зашифрованный файл и его нормальная, незашифрованная версия. Найти такую можно, к примеру, в почте, сервисах файловой синхронизации или в старых бекапах.


Инструмент: https://malwarebytes.app.box.com/s/kkxwgzbpwe7oh59xqfwcz97uk...

Источник: https://xakep.ru/2016/11/24/telecrypt-encryption-cracked/

Показать полностью
281
Шифровальщик Locky распространяется через SVG-картинки в Facebook.
38 Комментариев в Информационная безопасность  
Шифровальщик Locky распространяется через SVG-картинки в Facebook. Facebook, Locky, SVG, Вымогательский софт, Шифровальщик, длиннопост

Почтовый спaм, эксплоит киты и вредоносная реклама – это хорошо, однако операторы шифровальщика Locky не упускают возможность испробовать что-нибудь новое. Так, недавно исследователи Барт Блейз (Bart Blaze) и Питер Круз (Peter Kruse) обнаружили в социальной сети Facebook новую спам-кампанию. Злоумышленники распространяют загрузчик малвари Nemucod, который, в конечнoм счете, загружает на машину жертвы вымогателя Locky. И происходит все это посредством SVG-изображений.

Шифровальщик Locky распространяется через SVG-картинки в Facebook. Facebook, Locky, SVG, Вымогательский софт, Шифровальщик, длиннопост
Показать полностью 3
1309
Всем кто пострадал от шифровальщика CrySiS.
129 Комментариев в Информационная безопасность  
Исслeдователь и основатель сайта BleepingComputer Лоренс Абрамс (Lawrence Abrams), сообщил, что 14 ноября 2016 года пользователь под ником crss7777 опубликовал на форумах ресурса ссылку на Pastebin. По ссылке были обнаружены мастер-ключи для расшифровки данных, пострадавших в результате работы вымогателя CrySiS, а также подробная инструкция по их применению.


Ссылка на мастер-ключи: http://www.bleepingcomputer.com/forums/t/607680/crysis-exten...



Более подробно:https://xakep.ru/2016/11/15/crysis-master-keys/

42
Опенсорсный шифровальщик Heimdall на PHP.
6 Комментариев в Информационная безопасность  

Еще в кoнце октября 2016 года бразильский разработчик Ленон Лейте (Lenon Leite) опубликовал на GitHub proof-of-concept код шифровальщика Heimdall, но его репозиторий далеко не сразу привлек внимание экспертов. Вредонoс, тем не менее, был обнародован в полностью рабочем состоянии и создан для атак на вeб-серверы, с целью последующего шифрования данных.

Возможности:

И хотя исходники были удaлены, а сам Лейте выражал сомнение в том, что много людей видели его проект, Heimdall наверняка был кeм-нибудь скопирован, сохранен и еще неоднократно «всплывет» в сети.


Более подробно: https://xakep.ru/2016/11/11/heimdall-ransomware/

118
Глава компании SEC Consult взломал мошенников, прислав им вредоносный PDF
15 Комментариев в Информационная безопасность  

В начале августа 2016 года французский исследователь Иван Квиатковски проучил мошенников, выдававших себя за специалистов технической поддержки. Дело в том, что скаммеры атаковали родителей специалиста, с чем он мириться не пожелал и хитростью вынудил мошенника установить шифровальщика Locky на свой компьютер. О похожем поступке недавно рассказал и глава сингапурского подразделения компании SEC Consult, Флориан Лукавски (Florian Lukavsky). Он сумел скомпрометировать мошенников более крупного калибра и передал все собранные о них данные в руки правоохранительных органов.


О содеянном Лукавски рассказал журналистам издания The Register на конференции Hack in the Box, прошедшей в Сигнапуре, в августе 2016 года. Эксперту удалось разоблачить так называемых скаммеров-китобоев (или whaling-скаммеров). Основной бизнес таких парней заключается в организации хитроумных афер с применением социальной инженерии. Мошенники рассылают сотрудникам крупных, прибыльных предприятий письма, которые замаскированы под послания от начальства или от руководителей фирм-партнеров. В письмах поддельный босс просит сотрудников срочно перевести деньги на какой-либо банковский счет, который на самом деле принадлежит злоумышленникам.

Глава компании SEC Consult взломал мошенников, прислав им вредоносный PDF взлом, мошенники, вирус, аккаунт, данные, шифровальщик, windows 10, длиннопост

Данная схема работает очень эффективно. Так, по данным ФБР, за семь месяцев было зафиксировано более 14 000 случаев whaling-мошенничества, а компании суммарно лишились более чем 2,2 млрд долларов. Среди пострадавших, были такие всемирно известные компании, как Mattel, потерявшая 3 млн долларов, Ubiquiti, лишившаяся 46,7 млн долларов, и бельгийский банк Crelan, чьи потери составили 78 млн долларов. При этом вернуть средства удается очень редко. К примеру, компания Ubiquiti сумела вернуть лишь 9 млн долларов из похищенных 46,7 млн.


Лукавски применил к мошенникам их же методы. Эксперт сумел скомпрометировать Microsoft-аккаунты злоумышленников.

Показать полностью 1
294
Предоставлен инструмент, способный предотвратить атаки шифровальщиков
44 Комментария в Информационная безопасность  

На конференции IEEE ICDCS, прошедшей в Японии, сводная команда исследователей из университетов Флориды и Вилланова представила проект CryptoDrop. В будущем это решение, возможно, станет простым способом борьбы с вымогательским ПО, которое на сегодняшний день превратилось в настоящую эпидемию.

Предоставлен инструмент, способный предотвратить атаки шифровальщиков защита, шифровальщик, инструмент, вымогательство, вредоносная активность, длиннопост, файл

Приложение CryptoDrop пока работает только на компьютерах под управлением Windows и приглядывает за файловой системой, замечая признаки активности различных вымогательских программ. Предотвратить работу шифровальщика, пока тот еще не принялся за дело, в большинстве случаев невозможно, но вредоноса можно вовремя остановить. Исследователи пишут, что им удалось сократить потерю данных до 0,2%, то есть CryptoDrop замечает, что происходит нечто подозрительное, и блокирует малварь раньше, чем та успевает нанести файловой системе сколь-нибудь значительный урон. Для этого CryptoDrop ищет следующие признаки вредоносной активности:

-Неожиданное и массовое изменение типов файлов.

-Непохожесть: зашифрованные файлы совершенно непохожи на оригиналы, представленные в открытом виде. В конце концов, в этом вся суть шифрования.

-Энтропия: работа шифровальщика неизменно ведет к увеличению энтропии.

-Вторичные признаки: помимо перечисленных пунктов, исследователи выработали ряд не менее полезных вторичных индикаторов. К ним относятся удаление большого количества файлов разом, «эффект воронки», затрагивающий типы файлов (файлы, обработанные малварью получают одинаковое расширение) и так далее.

Показать полностью 2
317
Пятничного взлома пост
114 Комментариев  

Ни для кого не секрет, что по сети гуляет масса шифровальщиков, которые могут в считанные минуты превратить данные на компьютере в тыкву. Учитывая, что занимаюсь я в том числе и приходящим админством, для меня людские слёзы о потере данных не были чем-то необычным. Но одно дело, когда данные теряет условная тётя Глаша из отдела кадров условной ООО "Автопилот", и совсем другое дело, когда беда касается тебя самого. Руки начинают трястись, а яйца покрываются инеем.


Ночью один из наших партнёров 1с занимался сочинением кода подключившись к нашему серверу по рдп. К 12 ночи я получил от него смс, что его выкинуло с сервера, а учётная запись для входа отключена. Стало понятно, что кто-то нам подкинул неприятностей.


Утром, добравшись до места и реанимировав учётку админа, глазам предстала картина маслом - все файлы, связанные с работой БД, были заботливо упакованы в архивы rar с паролем.


Что произошло? Злоумышленник получил доступ по протоколу RDP и целенаправленно натворил дел, потребовав за искупление нашей глупости и недальновидности денег. Стандартная история, которая происходила уже с кем-то из знакомых. Но в нашем случае на кону стояли БД объёмом 50 с мелким Гб и работа магазина.


Ежу понятно, что контроллер домена, сервер БД и подключение к нему через рдп без впн - страшный сон любого айтишника. Каждый уважающий себя "тру админ" может сказать в мой адрес что угодно, но так было сделано и это не моя заслуга.


Недолго подумав с руководством, было решено выходить на связь со злоумышленником и пытаться договориться. Нужно отдать должное, но на том конце нас ждали и были готовы принять наши доводы в криптовалюте. Забегая вперед скажу, что всё закончилось для нас благополучно и данные были восстановлены, а дыры на скорую руку залатаны. О степени глупости такого исхода судить не берусь, ибо отдать 19 тыщ и продолжить работать всяко выгоднее, чем разворачивать базы магазина с нуля.


Тем не менее хочу обратиться ко всем потенциальным жертвам. Безотносительно вашей крутости, просвящённости и прочих админских регалий. Проверьте себя и своих клиентов на предмет уязвимости подобным атакам. Ниже я приведу рекомендации от самого автора злодеяний и немного дополню своими размышлениями.


Поставьте политику сложных паролей для входа юзеров по RDP или разрешите вход на терминалку только из локальной сети или только определенным маскам IP адресов + запрет юзерам на действия с файлами на дисках с БД (удаление) и бекапами.

В нашем случае был подобран пароль учётной записи, которая входила в группу Администраторы домена, но имела пароль неустойчивый к перебору - 123456.


уберите уязвимость, связанную с выполнением команды REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File ExecutionOptions\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

На пятикратное нажатие шифта нам заботливо навесили запуск cmd с правами администратора прямо в окне авторизации. Крайне неприятная вещь.


Помимо этого заботливыми руками злоумышленника были полностью удалены бекапы БД хранившиеся на отчуждённом носителе, но, к сожалению, в этой же локальной сети.


Всё это навело на многие размышления и вынудило играть по правилам взломщика. Очутись на его месте школьник или менее предприимчивый злодей, последствия могли быть гораздо более плачевными.


Ну и как устраняли последствия. Первым делом на маршрутизаторе перенаправили порт для подключения по рдп со стандартного, на случайный 5 значный. Удалили подозрительные учётные записи в AD. Сменили пароли пользователям, входящим в группу Администраторы домена. Исключили из этой группы всех недостойных. Ограничили доступ к сетевым шарам и разделам дисков со служебной информацией. Просканировали все диски сервера доктор вебом.


В целом охренев от такого "счастья", решили задуматься о более строгом разграничении прав, выделении сервера терминалов в DMZ, приобретении файервола, организации VPN подключений.


Надеюсь эти очевидные и простые правила, а так же этот смешной, но в то же время грустный, пример послужат для кого-то уроком и стимулом не оставлять подобные вещи без внимания.


Всем добра и поменьше дыр в безопасности.

Показать полностью
524
Новый шифровальщик-вымогатель SNSLocker и эпичный провал хакера.
56 Комментариев в Информационная безопасность  

АВТОР ШИФРОВАЛЬЩИКА SNSLOCKER ЗАБЫЛ УДАЛИТЬ ИЗ КОДА ИНФОРМАЦИЮ О СОБСТВЕННОМ СЕРВЕРЕ!

Новый шифровальщик-вымогатель SNSLocker и эпичный провал хакера. шифровальщик, SNSLocker, вирус, fail, информационная безопасность, длиннопост

Исследователи компании Trend Micro рассказали о забавном случае: автор нового вымогателя SNSLocker забыл стереть из кода шифровальщика учетные данные собственного управляющего сервера.



Криптовымогатели сегодня появляются как грибы после дождя. Изучая очередную новинку в данной области, исследователи Trend Micro заметили в коде вредоноса нечто странное. Исходники SNSLocker содержали слишком много информации о C&C-сервере, включая жестко закодированный пароль.

Показать полностью 3
885
Как я боролся с шифровальщиком
137 Комментариев  

Для тех, кто не знает:

По интернетам бродит такой тип вымогателя как "шифровальщик", распространяется преимущественно через спам по почте, да не абы как, а методично и целенаправленно, с умным текстом. В основном по фирмам, под видом интересных коммерческих предложений, предупреждениях о жалобе в суд, налоговой и все в этом духе.

Чаще всего на вид - это простой экселевский или вордовский файл с измененным расширением, или же архив, просто при попытке открытия вылетает сообщение по типу "файл поврежден/невозможно прочитать". После этого, эта дрянь начинает убер-быстро, или аккуратно и размеренно - шифровать ваши файлы (архивы, документы, фото, 1с базы и т.д.). В один прекрасный момент, все файлы попадающие под его сферу влияния - меняют расширения и перестают открываться, или же открываются, но там какая-то билиберда из символов, а сам вирус самовыпиливается из системы. По завершению в корне диска или на рабочем столе (а может и в каждой папке) создается текстовый файл с инструкциями (бывают и баннеры и картинки и многое другое), по типу:

йохохо! мы захватили ваш корабль, стоимость расшифровки "X"кило-рублей, за дешифратором обращайтесь на почту "@blabla"

Эта дрянь обычно не ловится антивирусами/фильтрами.. права админа не нужны. Единственное радует, что сеть не шифруют (по крайней мере не встречались такие виды).


Сталкивался с такой штукой у клиентов около 5 раз, 1 раз платили сторговавшись, другие 3 раза просто поплакали и успокоились, а вот про один случай расскажу подробней.


Позвонила одна небольшая семейная фирма (очень приятные люди, пожалуй мои самые любимые клиенты), всегда понимают проблему, не давят, не торопят, деньгами не обижают. Говорят, мол документы не открываются. Приехал, посмотрел, оно самое.. бэкапов нет, копий тоже. С помощью наводящих вопросов удалось узнать, что пришло на почту что-то там из суда, документ не открылся, сообщение удалили и забыли.


Компьютер реквизировал в офис нашей фирмы и стал потеть, ибо проигравшим из этой битвы я выходить не хотел.

Сделал полный бэкап. С помощью гугла был внимательно изучен конкретно этот подвид, его повадки, тип шифрования, другие пострадавшие.

Попытался воспользоваться известными дешифраторами созданными специально для такого дела, к сожалению успеха не принесло.

После чего отправлены сообщения с проблемой в dr.web, comodo, nod32, kaspersky, со всеми анализами системы и примерами файлов, между делом выполнял их инструкции, но все пожали плечами, мол извините.

Попытки восстановить предыдущие версии файлов успеха не принесли. Восстановление системы разумеется тоже.

Всякими рековерами пытался восстановить как удаленные файлы, глухо. Были еще какие-то попытки и бредовые идеи по типу подбора ключей шифрования (интересно, сколько бы лет на это потребовалось?), но все оказалось тщетно.

Пришлось идти на контакт с вымогателями. Аккуратно, вежливо, мы пообщались на тему того, какие они засранцы и мол без денег, наслаждайся тем, что имеешь. Договорились, что если они расшифруют в качестве доказательства пару файлов разных форматов, то так и быть, поговорим об оплате (платить насколько помню никто не собирался, сумма была приличной).


Вот тут то и произошел забавный инцидент, в момент прикрепления файлов, оказалось, что не все они имеют одинаковое расширение (чуть позже у клиента узнал, что было 2 письма на разную тематику..), выяснилось, что работало 2 разных шифровальщика, но второй почти ничего не успел себе загрести, кроме какого-то хлама. Не знаю, что меня дернуло, но посчитав это шансом,  отправил преимущественно хлам от второго. Ребята на том конце подумали и сообщили, что работали то и не они.. короче пришлось убедить их, что они были вторыми. Поговорили о бренности бытия, и попрощались. Я продумывал стратегию и потихоньку пытался настроить на домашнем сервере "по теории" подходящий дешифратор на метод перебора..

И тут пришло сообщение от тех ребят, им стало обидно, что ничем не могут помочь, мол извините нас за такой метод заработка, и держите наш дешифратор 0_о, авось пару файлов да спасете.

Знаете, расшифровалось все, кроме хлама от второго.

Потрачено на все про все было около 3 дней, мой начальник ржал и был доволен, спрашивал, каким богам я молился. Клиенты до этого очень расстроенные шансами на успех, были на 7-ом небе от счастья.


Если бы у меня ничего не получилось, то фирме скорее всего пришлось бы закрыться.

Вот как это назвать? Удача, магия, холодный расчет, я не знаю.. просто задумайтесь о шансе такого поворота событий.

Показать полностью
677
Издевательство над распостранителями шифровальщиков. В четвёртый раз с начала года
35 Комментариев  

У операторов ботнета Dridex, который в последнее время занимается распространением шифровальщика Locky, определенно выдался плохой месяц. Инфраструктуру ботнета опять взломал неизвестный gray hat доброжелатель, подменив вредоносный пейлоад на предупреждение о малвари.


Этот взлом стал для Dridex четвертым с начала года. Инфраструктура ботнета, ранее распространявшего одноименный банковский троян, а теперь занимающегося дистрибуцией вымогателя Locky, подвергается издевательским атакам раз за разом. Пару недель назад, в начале мая 2016 года, неизвестные хакеры полностью удалили исходные коды вымогателя с серверов, подменив их всего двумя словами: «Дурацкий Locky» (Stupid Locky).

Издевательство над распостранителями шифровальщиков. В четвёртый раз с начала года шифровальщик, взлом, fail, длиннопост

Еще чуть раньше, в апреле 2016 года, в панель управления одного из подконтрольных Dridex ботнетов сумели проникнуть специалисты компании Buguroo. По итогам исследователи опубликовали интересный отчет об устройстве бекэнда Dridex, а также сумели собрать много полезных данных.


В феврале 2016 года Dridex взломали еще раз, подменив загрузчик банковского трояна Dridex (тогда ботнет еще не переключился на распространение Locky) на оригинальную и самую свежую версию инсталлятора бесплатного антивируса Avira.

Показать полностью 2
866
Шифровальщик PETYA объединился с вымогателем MISCHA
221 Комментарий  

Разработчики вредоносного ПО, по всей видимости, решили, что два вымогателя лучше, чем один и оптимизировали механизм доставки своей малвари. Теперь шифровальщик Petya поставляется «в комплекте» с аналогичным зловредом Mischa, который вступает в игру, если Petya потерпел фиаско.

Шифровальщик PETYA объединился с вымогателем MISCHA длиннопост, вирус, Петр, михаил, вымогательство, шифровальщик, видео, хакер

Криповымогатель Petya известен с марта 2016 года. От общей массы шифровальщиков его отличает то, что Petya полностью лишает пользователя доступа к жесткому диску. Дело в том, что Petya проникает в Master Boot Record и препятствует загрузке ОС, а также шифрует Master File Table, или главную таблицу файлов.

В апреле 2016 года исследователь, известный под псевдонимом Лео Стоун (Leo Stone) предложил методику дешифровки файлов, пострадавших в ходе атак Petya. Судя по отзывам пострадавших, способ Стоуна действительно работал. Что, очевидно, и побудило автора малвари создать улучшенную версию.

Шифровальщик PETYA объединился с вымогателем MISCHA длиннопост, вирус, Петр, михаил, вымогательство, шифровальщик, видео, хакер
Показать полностью 1
3657
Учения.
137 Комментариев  

Идут командно-штабные учения. Работа кипит, пот течет. Мой хороший товарищ, главный шифровальщик флотской разведки (кто именно - не скажу, кому надо - его уже узнали), звонит в подчиненное подразделение.

- Алло! Капитан первого ранга Н. Готовьтесь принять торпеду, 10 групп, в адрес разведки Северного флота.

- Ладно.

От такой телефонной фамильярности утомленный учениями мой товарищ вошел в ярость.

- Что ладно!? С кем я говорю? Кто принял информацию?

На том конце провода молчание, потом не менее утомленный голос.

- Кравченко...

- Что Кравченко?! Кравченко принял! Должность и звание! У меня Кравченок столько, что солить можно! Звание и должность!!!

Опять молчание и четкий ответ.

- Принял информацию начальник Главного штаба Военно-морского флота России вице-адмирал Кравченко.

- Простите, товарищ вице-адмирал, номером ошибся...

1527
Распечатайте и раздайте в офисе
Сколько предупреждали, а все одно и то же... Коммент для минусов внутри
289 Комментариев  
Распечатайте и раздайте в офисе Сколько предупреждали, а все одно и то же...  Коммент для минусов внутри
704
Внимание сис админам пикабушникам
214 Комментариев  
Появился новый вирус шифровальщик шифрует в .neutrino
Просит писать для получения расшифровки на neutrino@protonmail.ru

Как произошло заражение пока не понятно, но я в процессе и скоро это узнаю. Сотрудница поймала пока я был на больничном. Скорее всего в каком то новом исполняемом файле и без архива (на архиваторе стоит жесткий режим блокировки левых расширений).

P.S. по мере поступления инфы буду писать в коменты. Предупрежден - значит вооружен!


Пожалуйста, войдите в аккаунт или зарегистрируйтесь