Лига кулхацкеров нужна ваша помощь!
Предисловие:
Не пользуюсь антивирусом, так как за последние два года они жрали оперативку и не находили ничего опасного, а баннеры и амиго они пропускали, поэтому начал мониторить всё сам.
Что случилось:
В организацию пришло сообщение от неизвестного лица с текстом вроде "Просили распечатку, вот прислали" но там был архив в котором странный .src файл.
Не долго думая я его запускаю и ничего не происходит, но через 15 секунд неизвестная прога просит разрешения на вход в сеть, после чего благополучно была отправлена лесом и забыта.
Выключив бук и запустив его дома я обнаружил что ОС "Окно-7" зависла на "Добро пожаловать" и не проходит минут 15. Отрубив питание и зайдя в безопасном режиме пришёл к выводу что словил "грустняшку" которая вынесла немножко ядро, покопавшись в автозапуске нашёл не известную до селе совтину копия которой была бережно сделана и удалён оригинал.
Этого было мало и пришлось делать "Восстановление системы" благо недавно дровишки менял и была отметка месячной давности. Вроде всё заработало, но осадок остался.
Суть:
Знающие люди по глядите что это за зверь и с чем его едят, а то может зря на добрых людей наговариваю и у меня просто ось слетела.
Вот ссылочка https://yadi.sk/d/oaACmsljuTF9c
П.с. файл в автозапуске был скрытым поэтому в обычном режиме он исчез, но если нужно и его выколупаю и скину.
Вирусня
разговариваю с клиентом, у него иннет не работает. смотрю - вирусня.. говорю что вирус у вас..
клиент говорит, что неможетбыть!
говорю ну сейчас ваш комп в германию ломится.
клиент говорит не качал я немецкую..
неудержался. заржал..
Вирус Better Call Saul. Предупрежден - значит вооружен.
Состою в касте "тыжпрограммистов" и поэтому столкнуться мне пришлось бы с этим вирусом стопроцентно. Когда ко мне обратился первый человек с подобной проблемой, я сразу пошел гуглить.
Проблема оказалась очень сложной (это уже не уровень порнобаннеров), вирус, как видите, шифрует файлы и злоумышленник пытается за дешифровку вымогать деньги. Причем подобные вирусы имеют разные названия, например Breaking Bad, Vault, Los Pollos и т.д.
Зачем всё это? Мошенник вымогает 14-15 тысяч рублей, для расшифровки данных. Тип подобного вируса витает по сети уже давно, но за последнюю неделю людей, которые подцепили подобный вирус, стало в разы больше. Как же с ним бороться, скажете Вы, если не получилось от этого защититься? Ответ простой - никак.
Но шанс побороться за свои файлы, не играя под дудку мошенника, конечно, остается. Какие пути решения, если вы поймали всё-таки этот вирус?
Решений несколько:
1) Отослать свои зашифрованные файлы в Лабораторию Касперского и/или Доктор Веб. Некоторым пользователям получилось достать свои данные без подключения мошенника, компании высылали им дешифраторы.
2) Отослать логи на форум virustotal. Тоже не гарантирует результата, но надежда всё равно есть.
3) Иметь в своих друзьях "тыжпрограммиста", который все проблемы возьмет на себя.
Но как же защититься от всего этого?
1) Установить виртуальную машину, где проверять всё подозрительное. Который 100% не поможет, если в вирусе стоит детектор виртуальной машины.
2) Использовать не только антивирус, который 100% никогда не поможет, но и Firewall. Который 100% не поможет тоже.
3) Иметь максимальную подозрительность и мнительность.
4) Бэкапить файлы на облака или системы, которые не имеют прямого доступа к вашему компьютеру.
5) Иметь друга "тыжпрограммиста", которого будете доставать по каждой мелочи.
Инструкция для "тыжпрограммистов":
"Никогда! Не говорите! Что вы знаете, как работать с компьютерами! Это гиблое дело, особенно с такими проблемами."
Ну и если решили всё-таки заплатить мошенникам (что очень нежелательно, так как у многих просто нет дешифровщика) - не оскорбляйте их. А то будете платить по двойному тарифу.
Всем удачи! Не попадайтесь!
Письмо счастья (вирус)
Внимание ! Очередное письмо с вирусом!
Пришло мне сегодня письмо от якобы ООО Media Group с заголовком "Счет-фактура февраль 2016".
текст письма:
"В понедельник не смогли до Вас дозвониться.
На днях по почте Вам придут оригиналы первичных док-ов (в том числе - сч.-фактуры за наши услуги) в соответствии с нашим контрактом.
Учтите, что у нашей фирмы поменялись банковские реквизиты, так что переводите средства по счетам с новыми данными - подробности в приложении.
Оригиналы в ближайшие дни перевыставим."
и файлик:
"Оплата за выполненные работы - подписано главным бухгалтером.dоcх .html"
Поскольку файлик ".html", а многие банк-клиенты действительно формируют такие файлы, при экспорте , например, платёжек - можно реально нарваться на автомате! Что я и сделал 8))
В итоге мне то повезло, этот html качнул файл "Счет-фактура от 28.02.2016. Реестр первичной документации. Составлено в 1С Бухгалтерия.docx_.js", и запустил его. Но браузер спросил выполнить ли js и тут я был спасён. а у кого-то и не спросит. Будьте внимательнее товарищи!
Далее для лиги программистов:
Внутренности .html минималистичны:
"<meta http-equiv="refresh" content="0; url=ХТТП://www.masterwelding.ru/?d&2&download_6f8e972" />" (изменил чтоб не кликабельно было)
а вот .js намного интереснее, и я честно со своими скудными знаниями не понял что же он должен был выкрасть:
Дабы не распространять вредоносный код, я его тут не выкладываю, но может найдется тот, кому это интересно, и который готов в нем разобраться и ответить на вопрос, что же он делает? Могу и файлик выслать, но вы и сами знаете как его достать ;)
З.Ы. Не топите плиз, коммент для минусов внутри, весенний котик для дочитавших:
Нужна помощь лиги программистов!
Друзья! думаю многие из вас сталкивались с богомерзким и вредоносным ПО от mail.ru, на днях и меня угораздило. После удаления всех этих программ и чистки браузеров с помощью Ccleaner, сканирования антивирусом, все программы удалены но комп начал тормозить.
В хроме иногда открывается новое окно с мэйл поиском, подозреваю, что не все удалил с компа. Подскажите что делать и как с этим бороться, куда можно пожаловаться?
Как защитить флэшку!?
Чаще всего файлы просто скрыты. Сегодня я вам расскажу как предотвратить данную проблему, то бишь сделать так что бы такое не было.
Когда вставите флэйшку в зараженный ПК во флэшке появляется файл autorun.inf чаще всего скрытый. Вот он и скрывает все файлы на флэшке. Именно этот файл запускается автоматический когда вставляете флэшку в ПК.
Форматируем флэшку.
Создаем блокнот и переименовываем его на
имя файла autorun
после точки обычно стоит расширение файла, ставим inf
и получается у нас autorun.inf
Поскольку он у нас есть, он к нам не попадет никак. И никакого антивируса не надо.