Дешифровщик .jaff, .wlu и .sVn (вирус Jaff)⁠⁠

А если вирус зашифрует файлы в папке, которая синхронизированы с облаком, то и в облаке будут шифры только

к необычным юзерам они не попадают, поскольку в 999 случаев из 1000 это просто топорная работа долбаеба для долбаебов написанные под копирку с уже известного и намутившего хайпа локера

Быдло добралось до крипты. Почему 4к грина? За каким хуем такой прайс ломить если шифрует систему обычного юзера. Что-за скотская жадность? Залочить и ждать 4к? Типа хоть 1 или 2 заплатят?Да хуй там плавал. 100 долларов может быть по глупости кто-то скинет, но не 4 касаря.

Вопрос: Как поймать такой вирус?

Не нашел у себя такой процесс. Что делать?

Да ты чё, а wannacry и ещё куча ?

ни один антивирус, ни одна лаборатория, никто из ит контор не берется расшифровывать файлы, т.к. это почти невозможно. а тут бесплатная утилита взяла и расшифровала? как то на хуйню похоже

Да они могут быть и не при делах, например письмо открыла секретарша Леночка и заразила всю контору!)
Ну шеф конечно секретаршу накажет, но бухи-то не виноваты?

В смысле?

В том что вы привели эту ссылку проблем нет.

А то, что подобное отслеживание транзакций практически бесполезно - ну, собственно как-то так.

мне года 3 назад шифрануло дохуя чего в .gbungig, гугл такого до сих пор не слышал, находит мой же вопрос на пикабу двухлетней давности, победитель по жизни

Он к тому откуда у бухгалтерши с кирпичного завода биткоины, битки есть минимум со знанием вышесреднего, они что дураки платить, а обычный юзер вообще не в курсах, что это за хрень.

уровень аргументации  - иисус.

Утверждение: "биткоин тяжело отследить"

Опровержение:"Биткоин такая же валюта как и любая другая, отследить транзакции с ним не сложнее чем транзакции с долларом"

Если шаришь - напиши пожалуйста подробнее, интересно жи

Как то у меня видяха начала грузиться в простое как под нагрузкой, не мог понять что происходить, думал капец видяхе, оказалось в диспетчере нечто похожее висело и грузило комп, удалил все прошло, вот суки комары биткоинтные

Ну, и конечно, начальство, зажмотившее бабло на IT, даст им небольшую премию за этот героизм.

Очень маловероятно )

Я отделял шифрованные файлы от нетронутых с помощью встроенной, начиная то ли с висты, то ли с семерки, системной утилиты, логического развития copy и xcopy.

Для более ранних версий нужно установить Windows Resource Kit

Такая команда перемещает файлы по маске с сохранением относительных путей в папке назначения (чтобы было наглядно видно дерево пораженных каталогов)

robocopy *.{сюда расширение зашифрованых файлов, без фигурных скобок, конечно} {папка назначения, тоже без фигурных скобок} /s /move

Например:
robocopy *.wcry "d:\backup" /s /move

З.Ы. Может понадобиться перед маской вписать путь нужной папки-источника или сменить активную папку помощью cd или ПКМ в нужном каталоге с зажатым шифтом и выбрать открыть командную строку, как-то так.

Пикабу иногда шокирует непониманием). (я плюсанул).

Введите текст ниже в блокнот, сохраните, измените расширение блокнота .txt на .bat и запустите его. в большинстве случаев от отмороженных юзеров помогает

assoc .js=txtfile

assoc .CMD=txtfile

assoc .vbs=txtfile

assoc .com=txtfile

assoc .hta=txtfile

assoc .bas=txtfile

assoc .pif=txtfile

assoc .GADGET=txtfile

assoc .VBE=txtfile

assoc .VB=txtfile

assoc .jse=txtfile

assoc .SCR=txtfile

assoc .wsf=txtfile

assoc .wsc=txtfile

assoc .wsh=txtfile

assoc .bat=txtfile

А для .enigma есть лекарство?

Противоречишь сам себе?

Нет, это ты пытаешься меня поймать на противоречии. Я утверждал, что не было необходимости НИЧЕГО открывать. Вообще. Передача через локалку делала вообще все компьютеры без соответствующего патча уязвимым, и да, там ТОЖЕ ничего не надо было открывать "носителю". Тем более, если есть локалка с подсетью со "смотрящими" в сеть компьютерами.

https://geektimes.ru/post/289115/#comment_10060165

https://geektimes.ru/post/289115/#comment_10060131

А комменты от самого автора статьи, статью в вики или анализ вируса от каспера/Pentestit почитать не хочешь? Автор специально поднял вообще чистую систему ради интереса во время волны, и получил вирус без локалок и писем. Где ты про письмо хоть что-то увидел?

Ну спор ни о чем же. Все уже разобрано достаточно авторитетными компаниями по полочкам.

Какую матчасть?

https://geektimes.ru/post/289115/

Что самое интересное, стоило мне только установить Windows и настроить статический IP-адрес на ней, как сразу же в течении нескольких минут она была заражена.

https://habrahabr.ru/company/pentestit/blog/328606/

Динамический анализ показал, что объекты закрепляются в ОС либо напрямую, либо через извлеченный исполняемый файл “tasksche.exe”

Это блджад эксплоит уязвимости SMB Server, простукивали порты по диапозону IP адресов. Находится открытый порт 445 - GGWP. Другое дело, что если компьютеры сидят за NAT и/или не имеют "белого" IP, то нужен компьютер "носитель" в локалке. Да, подавляющее большинство компьютеров отсеивается, но это отнюдь не 100%. И разработчики этого зловреда просили более реальную сумму, несмотря на уровень возможности вирусни (там и сам вирус очень непрост).

Я просто поясняю, что эти транзакции перевод от анонима к анониму.

Википедия, блог аваст и forbes.ru пишет о двух путях компрометации:
через почту (таким образом можно заразить сети за NAT),
и путем прямой эксплуатации уязвимости smb самим зловредом методом "случайного" перебора хостов Интернета. Так заражаются пк с выделенным IP.

И что именно вы отследили, что с адреса с id "3423k34jkrl234njklf2342" на адрес с id "897asd8f9a7sd89f0a7s" перевели 2.14BTC? А дальше что? Информации по этим адресам нет, пока деньги не попытаются вывести, и не факт что удастся отследить место вывода денег, ведь формально происходит всё тот же перевод между адресами, а что при этом реальные деньги поменяли владельца нигде не записано.

Понятно, что что-то подобное можно попробовать организовать и в классических платёжных системах, но удачно это сделать под силу не только лишь всем, и уж точно не Васе Пупкину, который перекомпилировал публично доступный шифровальщик и уже мысленно пересчитывает деньги.

вапще-то ваннакрай это червь-самоход.
Про почтовые рассылки впервые слышу.

Тем не менее, та атака WannaCry 300-600 баксов вымогала, никак не 4к. А та хрень заразила отнюдь не обычных юзверов. И заражались отнюдь не через открытие файлов по незнание, а вообще без ведома.

Вообще несравнимый уровень.

А в чем печаль то?

Чтобы везде поудалять теперь эти зашифрованные *.sVn?

Так это же совсем не проблема.

Можно или простой .бат файл написать, который пройдется по папкам и все эти файлы поудаляет, или можно еще проще - есть программа Everything (voidtools.com).

Она позволяет очень быстро искать на разделах NTFS.

Запускаем ее, вводим в поиск *.svn или что там у нас.. и Shift-Del... Все.

Это действительно, крутейший инструмент.

так хранение же разрешено в России. Не?