Полезные вопросы

"скорее всего не опысных вируса"
Последний раз когда у меня знакомые получили по почте "файлик с расширением scr " и кликнули его, у них он зашифровал все документы до которых смог дотянутся и потребовал деньги за расшифровку.
Хотя конечно прям так подробно я его не изучал.

From:

Да, пипец просто. Пришёл я домой, а там уже файлики текстовые везде, повествующие о том, что все важные файлы зашифрованы и блаблабла. Вирус называется breaking_bad
Он на моих глазах начал шифровать фотки и книги. Благо я их в субботу скопировал на другой винч, до которого вирус не добрался.
Вечером появились данные антивирусов об этом файле, что таки-да, это вирус.
Видимо, я легко отделался.
Что интересно, я же и на работе его запустил, на винде XP, понадеявшись на антивирус. Но такого эффекта не было. Файлы целы, никаких предупредительных текстиков, ничего такого. Сейчас обрабатываю антивирусом на всякий случай.

Вообще, советую поступать так:
на комп зайти или с другой операционки или в безопасном режиме с поддержкой сетевых драйверов. Запустить обновлённый антивирусник (у меня 360) и всё проверить именно так.
А иначе можно все фотки и книги потерять.
Мне нереально повезло, я считаю.

From:

У доктора Веба и у Касперского на сайтах есть расшифровщики но 100% гарантию расшифровки не дают.

From:

и при этом вся та куча проверявших антивирусв сказала что всё хорошо?
мда... молодцы.

From:

mae5tro.livejournal.com

Запустил дома (случайно?), потом запустил на работе (уже намеренно!) - ваша настойчивость достойна похвалы вирусописак )))))))

From:

Дома жона запустила, а я запустил наработи. Антивирусник на него не прореагировал, да и мне что-то в голову пришло, будто scr - это чисто графический файл.

From:

spelller.livejournal.com

.scr - это вообще-то файл скринсейвера в винде. Т.е. по сути - обычный экзешник, рисующий на экране нечто. А что он делает помимо рисования на экране - это уже другой вопрос.

From:

Да. Просто что-то в голове переклинило как раз в тот момент.
Фактически это запакованный файл.

From:

Меня вот аж заинтересовало, какая почта позволяет пересылать вложением запускаемые файлы?

From:

Любая электронная почта.
Вам надо задаться вопросом какой почтовый антивирусник их пропускает.
И кстати они идут не сразу исполняемые, а чаще всего запакованные.

From:

запакуй экзешник и отправь его по гмылу. Без шансов.

From:

Gmail умеет да, но не все доверяют корпоративную почту бесплатным почтовым серверам.

From:

webeaver.livejournal.com

у них и платный есть, так то

From:

spelller.livejournal.com

В корпоративной почте (если, конечно, у корпорации есть понимание того, что информейшен секьюрити - не пенис канина) обычно с этим делом еще жестче.

From:

trojanrabbit.livejournal.com

они хитрые. оформление файла в письме изображает вложение, а файл лежит не в письме, а на некотором сайте.

From:

тогда это тем более не вирус.
Скачать, запустить, согласиться с запуском, дать админские права процессу запуска....

From:

trojanrabbit.livejournal.com

ну классика же social engineering. Прислать грозное письмо, сказать что во вложении нечто важное и положить под видом вложения scr/pdf/pif/vbs/etc в архиве rar, или вообще положить ссылку на scr, выглядящую в вебморде почты как вложение word/excel/whatever. попадаются в такое даже вполне грамотные люди.

From:

Win8/10 не позволит такое запустить.

From:

langenberg.livejournal.com

Поставить максимально продвинутый сторонний (не виндовский) таск-менеджер, который показывает, что делает процесс, когда он запустился, в какие библиотеки он лазит, и какие записи в регистре забабахал.

Хотя в принципе и старина anvir это покажет.

From:

А там не ясно вообще какой процесс это был. Сначала вирус вообще ничего не делал.

(deleted comment)

From:

dendrr.livejournal.com

Проще взять за привычку открывать все файлы в виртуалбоксе. Если попрет что-то не то, в конце концов, можно систему полностью удалить.

From:

Виртуалбокс может быть не все ситуации отработает. Если "вирус" будет там чё-то мало заметное (пока) делать, например, в сети.

ТС: верхний коммент свой удалил, потому что почитал пост внимательней и понял, что ваш случай в мой рецепт не вписывается.

From:

karpion.livejournal.com

Ну, он сможет что-то делать лишь пока Виртуалбокс не закроешь.

From:

Я имею в виду то, что вы можете запустить вирус в боксе, понаблюдать некоторое время, но он при этом может себя не обнаружить. И тогда вы, сочтя его безвредным, запустите на основной машине...
Ведь не все вирусы делают что-то явное.
Но я при этом не отрицаю, что ВБ - самый безопасный способ исследования. Просто мне вспомнилось, что однажды так и не смог запустить мобильный и-нет с виртуалбокса - модем инсталлировался, а соединение не получалось. Разбираться тогда с этим не стал... А ведь много вирусов не активны, пока нет сети.

From:

dendrr.livejournal.com

Для начала, стандартно, прогнать cureit.

Ну и да - почитать вдумчиво таскменеджер и все сомнительные имена процессов поспрашивать у гугла. Автозагрузку проверить тоже не помешает. Если ничего не нашлось - радуйтесь.

Скорее всего, чем вам могут насолить - это вставить какую-то дрянь в стартовую страницу браузера. Это будет неприятно, но практически безвредно. Плохо то, что именно этот вариант вычищается сложнее других... Надо будет поискать наиболее удобный для вас мануал (их десятки)

From:

похоже, это очень свежая пакость - на тот момент все эти утилиты были ещё бессильны, судя по отчёту вирустотал. А спустя четыре часа есет, доктор веб и касперский уже пишут, что вирус.

From:

Аха-ха, ЕСЕТ, Касперский и Доктор Веб поздновато, но прочухались, а вот майкрософт, битдефендер, мак афи и даже великий Семантик - спят...

From:

На самом деле вирус-то старый, но в какой-то новой оболочке.

From:

rijfox.livejournal.com

Я бы посоветовала написать в саппорт доктора веба, они обычно помогают с таким справится

From:

grizli-bear.livejournal.com

Расшифровать файлы вряд ли удастся. Был у нас похожий полгода назад, расшифровать так и не удалось, какие то люди предлагали за деньги, но мы не стали связываться. Бэкап рулит!!

From:

grizli-bear.livejournal.com

попробуйте это https://support.drweb.ru/new/free_unlocker/for_decode/?lng=ru

From:

Ну теоретически у меня есть те же самые файлы, но спасённые. Может как-то можно с их помощью найти ключ.

From:

agordian.livejournal.com

Нельзя. Для расшифровки используется другой ключ.

From:

f2065.livejournal.com

Не бывает универсальных средств которые бы могли показать любому чайнику что делает та или иная программа.
Есть только один способ понять что делает программа (в том числе и вирус) - это декомпилировать её например при помощи IDA, и изучать полученные тексты (чтобы их понять - надо хорошо разбираться в программировании под винду и в ассемблере).

А вирустотал это вообще мало что значит. Есть вирусы на которые у него реакции полный ноль, а есть заведомо не вирусы на которые у него половина тестов реагирует. Просто потому что программ и полезных и вредных в мире написаны миллиарды, и где-нибудь всегда попадутся схожие сигнатуры.

From:

Ну да, я такое проделывал с некоторыми играми в своё время. Но было это так давно, что уже и не помню. Помнится, использовал OllyDBG. Очень затягивало )

From:

anandamayi.livejournal.com

У меня в октябре на работе, на сервере за выходные зашифровалось почти 240 гигов информации, включая базы 1С. Петухи-кулхацкеры просили 1 биткойн за ключ-дешифровщик.

Спасло и позволило восстановить 100% информации:

- ежедневное автоматическое копирование всех файлов (как ни странно, восстановились только около 80% файлов, зато важнейших);
- теневые копии дисков (предыдущие версии");
- облачное хранилище.

Антивирус и firewall молчали, до сих пор дешифратор не выпущен. При чем с помощью вируса был сначала получен удаленный доступ к серверу через RDP, создан новый юзверь с правами администратора и прочие нехорошести. А уже затем пошло шифрование.

From:

Поставленный мной только что 360 секьюрити утверждает, что он предотвращает шифрование.

From:

anandamayi.livejournal.com

Фантазии разработчиков. Ради этого стоит провести эксперимент в виртуальной среде и запустить какой-нибудь новый, сегодняшний шифровальщик при этом работающем антивирусе.

From:

f2065.livejournal.com

Ну в теории - может и не фантазии. Не вижу принципиальных проблем детектировать факт массового чтения и удаления(перезаписи) файлов, особенно по разным папкам.

From:

anandamayi.livejournal.com

Потому что алгоритм телодвижений и маскировки вируса-шифровальщика и его активности почти каждый раз разный. Например, vault, как самый распространенный, в разных модификациях даже удаляет точки восстановления на винде и шарашит реестр, не то что доступ к перезаписи файлов получает...

Если уж монстры антивирусной борьбы не справляются и не справятся с этим вирусом никогда, то не думаю, что 360 - чудо. Хотя хотелось бы, чтоб что-то толковое было.

From:

Они не справляются с расшифровкой. С активностью-то они не могут не справиться, иначе нафига тогда они нужны.

From:

ryb.livejournal.com

))
Отличненько, только что клиенты привезли комп с похожими симптомами.
Письмо было от Ростелекома.
Завтра буду разбираться чтослучилоськакжетак.

В прошлый раз в середине лета в другой конторе, было письмо от Арбитражного суда.
Ничего почти не спаслось.

From:

Вроде бы можно использовать прогу r-studio
Она как бы восстанавливает предыдущую версию файлов. Кое-какие файлики удастся восстановить.

From:

ryb.livejournal.com

Ага. В курсе. С неё и начну.
Отпишу потом чего вышло.
И что за зверь был.

From: