Давайте запустим вирус, который зашифрует все файлы, но вам не придется платить за их расшифровку биткоинами, а всего лишь... поиграть в простенькую игру и набрать 200 миллионов очков.
Пару лет назад поймала наша секретарь шифровальщика с почты. Ну поймала и поймала, ну смотрела как файлики исчезают, а на их месте появляются другие... весело. Только вот работать не с чем, нужных документов в этом бардаке не найти.
Что ж, бэкап моё всё. Компа зачистил, восстановил доки. Секретаря и всех остальных за одно закошмарил этим случаем, пообещал торжественно остановить службу резервного копирования(лукавил конечно, я без бэкапа никуда) и пригрозил, что доки они восстанавливать по памяти будут.
Прошло два года спокойствия, периодически напоминал всем про тот случай, чтобы были внимательны и не открывали подозрительные файлы из вложений, а все подозрительные письма пересылали мне для контроля. Усилил всё инструкциями с картинками, где на примерах показывал как выглядят подозрительные письма.
Всё вроде хорошо, вирусов запущенных нет, на почту периодически валятся подозрительные письма, к слову и с вирями тоже. Молодцы! Значит работа была проведена не зря, сознательность в коллективе повысилась.
И тут звонит мне секретарь, говорит, я тебе переслала письмо, что-то не могу распечатать документ, блокируется он чем-то. Открываю почтового клиента, а там...
Т.к. опыт прошлых лет не прошел даром, экзешник не отработал и был остановлен UACок на стадии запуска. Почему не антивирусом?. Да потому, что его там нет. Тому есть причины.
Для тех кто не нашел логики в мною подчёркнутом и выделенном в двух словах, что на скриншоте. Жанна Денисова с почты Сергея Повлюкова, а ответ хотела бы получить на почту Натальи Терешковой, зарегистрированную на Яндексе. В тексте письма нет ни слова об организации, которую представляет Жанна. Ну и вишенкой на торте, классика, упакованный в архив исполняемый файл(программа). Все перечисленное конечно не говорит о том, что это вирус, но однозначно, такое письмо должно вызвать у вас подозрения.
В заключении, призываю всёх быть внимательными и не повторяйте ошибок нашего секретаря. И помните, самый хороший антивирус это мозг).
Что-то понесло меня сегодня вспоминать истории бережливых клиентов.
У нас пол-страны бережливые до ужаса, работаю я долго так что примеров дофига.
Маленькая аутсорсинговая бухгалтерия. 3-4 человека. Никогда не нравились( К бухам у старого сисадмина рассовая неприязнь.
Сидят получают от клиентов базы 1с. Делают кому первичку кому отчёты все такое. Клиентов несколько десятков а то и больше сотни было. Обслуживание несложное но почти безденежное. Основная претензия бухов как обычно медленная 1с. Ну ещё бы на сервер денег жаль и все базы раскиданы куда бухи положат. Файловые иногда расшаренные.
Разговоры о бекапах пресекались - "нам это не нужно, не страшно, дорого" в какой то момент "дорого" оказалось продление антивируса и моя техподдержка. Ну и ок. Деньги там были смешные и скорее отнимали тратой времени. Обслуживал "по знакомству" и то потому что были клиенты которые через этого сорсера отчёт сдавали регулярно.
Все кто сталкивался с отечественными бухгалтерами наверное замечали странную привычку бухов - отчёт сдается не в начале периода подачи отчета а чуть ли не в последний день. Не все конечно, но это повальная традиция.
И вот за 2 дня до сдачи кажется годового отчета я узнаю от знакомых кто там обслуживался очень печальную для них новость. Бухгалтер открыла письмо! Конечно то самое из разряда "я срочная важная бумажка от неизвестного вам адресата с вложением которое срочно надо открыть"
Дальнейшее сами понимаете, а конторка через месяц другой прекратила существование заваленная исками.
Да, орфография с пунктуацией на меня давно в обиде и мне как-то пофиг.
Доброго дня товарищи. Вот и попал в такую ситуацию...
Может кто сталкивался с шифровальщиком harma? Подскажите пожалуйста, стоит что-то предпринимать или всё?
Поднимите пожалуйста, коммент для минусов скину.
Больницы DCH в Алабаме решили выплатить выкуп за программу-вымогатель Ryuk для того, чтобы получить расшифровщик и вернуть свои компьютерные системы в рабочее состояние.
1 октября 2019 года система здравоохранения DCH Health System, которая включает в себя региональный медицинский центр DCH, медицинский центр Northport и медицинский центр Fayette в Tuscaloosa, Northport и Fayette в Западной Алабаме, подверглась нападению вируса-криповымогателя под названием Ryuk. Нападение парализовало работу их компьютерных систем и заставило больницы прекратить прием новых пациентов, не находящихся в экстренном состоянии.
На выходных DCH выпустила заявление об инциденте, в котором было сказано, что некоторые системы восстанавливаются из резервных копий, но больницы всё-таки платят выкуп и покупают ключ расшифровки Ryuk для восстановления доступа к другим зашифрованным системам.
«В сотрудничестве с правоохранительными органами и независимыми экспертами в области IT-безопасности мы начали методический процесс восстановления системы. Мы использовали наши собственные файлы резервных копий DCH для восстановления определенных компонентов системы и получили ключ расшифровки от злоумышленника для восстановления доступа к заблокированным системам», — сообщили в руководстве системы.
В DCH Health System не указали, сколько руководство здравоохранительных учреждение заплатило за расшифровщик, но подтвердили, что специалисты уже успешно расшифровали несколько зашифрованных серверов.
«Мы успешно завершили тестовую расшифровку нескольких серверов и сейчас мы выполняем последовательный план по дешифровке, тестированию и переводу систем в оперативный режим по отдельности. Это будет поэтапное продвижение, которое будет отдавать приоритет основным операционным системам и основным функциям для обеспечения неотложной помощи. В сети DCH тысячи компьютерных устройств, поэтому этот процесс займет время».
В настоящее время неизвестно, когда системы здравоохранительных учреждений будут полностью готовы к работе. Правда, у жертв вируса Ryuk есть небольшой шанс получить бесплатное дешифрование. Охранная фирма Emsisoft в США рекомендует пострадавшим жертвам связаться с ними, прежде чем платить выкуп, поскольку существует небольшая вероятность того, что они смогут помочь пользователям расшифровать свои файлы с помощью бесплатных инструментов.
В то же время по крайней мере семь больниц в Австралии также испытали на себе последствия атаки вымогателей, которая произошла в понедельник. Больницы в Гиппсленде и на юго-западе Виктории заявили, что были вынуждены перенести некоторые услуги, назначенные пациентам, из-за на «инцидента с кибер-атакой».
«Инцидент в киберпространстве, который был обнаружен в понедельник из-за проникновения вымогателей, заблокировал доступ к нескольким системам, включая управление финансами», — сказали представители больницы. — Больницы изолировали и отключили ряд систем, чтобы локализовать распространение вируса».
В управлении больницы сказали, что они работают с полицией и австралийским Центром кибербезопасности, чтобы избавиться от последствия инцидента. Согласно новостным сообщениям руководства больниц, компьютерные системы учреждений здравоохранения оставались заблокированными в семи больницах во вторник более 24 часов после нападения. В руководстве учреждений сообщили, что понадобятся недели, чтобы обезопасить и восстановить поврежденные сети. В том же время, по словам представителей руководства больниц, нет никаких признаков того, что были затронуты личные данные пациентов.
Не было никаких непосредственных признаков того, что нападения в Алабаме и Австралии были связаны. По сообщениям, одним из самых запоминающихся случаев, когда больницы подвергались атакам вымогателей, стала вспышка вируса WannaCry в мае 2017 года и, в меньшей степени, атака NotPetya, которая последовала через два месяца.
Trojan.Winlock, или Винлокер, — семейство вредоносных программ блокирующих или затрудняющих работу с операционной системой и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера.Впервые появились в конце 2007 года. Широкое распространение трояны и вирусы-вымогатели получили зимой 2009—2010 годов. Второй всплеск активности такого вредоносного ПО пришёлся на май 2010 года. В 2013 году, Winlocker получил новую вспышку популярности. Преимущественно в России у многих пользователей Интернета появлялся этот «баннер». В нынешние время «Trojan.Winlocker» почти прекратил активность.
Описание
На момент 2007—2008 года сотрудниками различных антивирусных компаний зафиксировано несколько тысяч различных видов подобных троянов. Наиболее ранние типы требовали за разблокировку не более 10 рублей, а если пользователь оставлял включённым компьютер на некоторое время, то они самоуничтожались (к примеру, Trojan.Winlock 19 сам удалялся без следа через 2 часа). Однако позднее появились более опасные разновидности, которые не удалялись сами по себе и требовали за разблокировку уже от 300 до 1000 рублей.
Винлокеры ориентированы преимущественно на российских пользователей, хотя позже появились и зарубежные версии. Обычно необходимость выплаты денежной суммы объясняется использованием нелицензионного программного обеспечения или просмотром порнофильмов. Следует отметить, что в большинстве случаев заражение происходит именно с порносайтов. Достаточно часто причины блокировки компьютера или способы получения кода звучат абсурдно, например:
«Ваш компьютер заблокирован за просмотр порнографии. Для разблокировки компьютера необходимо пополнить баланс телефона в любом терминале оплаты. После оплаты код разблокировки должен появиться на чеке оплаты».
Нередки орфографические ошибки. Более того, практически на всех баннерах написано предупреждение о том, что попытка обмануть «систему оплаты» приведёт к нарушению работы компьютера или уничтожению данных. В некоторые из них даже встроен таймер обратного отсчёта, по истечении времени которого вирус обещает уничтожить все данные пользователя. Чаще всего это простая угроза, убеждающая пользователя отдать злоумышленнику деньги. Пути распространения Trojan.Winlock и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров или через установку вредоносной программы под видом совершенно обычной.
Вид «интерфейса» троянов очень красочен и разнообразен. Но в большинстве своём их объединяет либо схожесть со стандартными меню Windows. Есть разновидности, очень похожие на синий экран смерти или стандартное окно приветствия Windows. Также нередки случаи, когда они маскируются под антивирусную программу.
Место внедрения
Trojan.Winlock можно условно разделить на 4 типа, в зависимости от того, насколько они затрудняют работу для пользователя:
1. I тип — это баннеры или порноинформеры, появляющиеся только в окне браузера. Наиболее легко удаляемый тип. Обычно они выдают себя за дополнительные плагины или надстройки для браузера.
2. II тип — это баннеры, которые остаются на рабочем столе после закрытия браузера и при этом закрывают бо́льшую его часть. Но у пользователей обычно остаётся возможность открывать другие программы, в том числе Диспетчер задач и Редактор реестра.
3. III тип — это тип баннеров, который загружается после полной загрузки рабочего стола Windows. Они закрывают практически весь рабочий стол, блокируют запуск Диспетчера задач, Редактора реестра, а также загрузку в безопасном режиме. Некоторые разновидности полностью блокируют клавиатуру, предоставляя пользователю лишь цифровые клавиши из своего «интерфейса» и рабочую мышь для ввода кода.
4. IV тип — это тип баннеров, которые прописываются в загрузочный сектор диска (MBR) и блокируют компьютер еще до загрузки Windows. Это так называемый MBR.Lock. Выглядят они достаточно примитивно, так как выполняются в текстовом режиме при старте компьютера — обычно это красный текст на чёрном фоне.
Еще больше интересных статей t.me/odd_reporter
У нас с моим руководителем как-то раз зашла речь о вирусах и он показал мне своеобразный "музей":
В 2016ом году бухгалтер открыла письмо со спамом (наверное, худшее, что могло бы произойти с бухгалтером ыы) и заразила огромное количество файлов вирусом Petya. Это червь, который шифрует сперва файлы на жёстком диске, а затем данные, необходимые для загрузки системы. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткоинах за расшифровку и восстановление доступа к файлам (на самом деле расшифровать файлы невозможно и вирус нацелен не на денежный выкуп, а на нанесение массового ущерба).
По всей видимости в панике она "наследила" и в других папках, файлы которых так же следом зашифровались.
Теперь все эти мумии валяются в отдельной папке и не представляют никакой угрозы.
ЗЫ: подход с юморком - тип заражённых файлов "DA_VINCI_CODE" =D
Первый способ: если вы пользовались скайпом для игр то у вас найдется порядка ~100 контактов с которыми вы не общаетесь у меня 186 контактов повторяю НЕ НУЖНЫХ
создаёте чат и кидаете туда ссылку файл и т.д.
Второй использовать соц сети выкладывая посты с постоянным упоминание того или иного ресурсам тем самым надоедая человеку и порождая его любопытство и желание зайти(скачать) тот или иной ресурс
Третий (платный): но тут есть риск не окупится создавать рекламу в яндекс директе гугл адворс (по мои му так)
Ну и четвертый это самостоятельно звать людей (лично) и общаться с ними убеждая зайти или скачать прогу.
