Поиск

Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация. Файлы с файлами прилагаю OLD.7z

Ранее писал, поймали шифратор. Получили от злоумышленников дешифратор, делюсь с вами, может кому то поможет не платить деньги как мы. [ID-E5DAFA5D].zip

Есть приватный ключ, подскажите как и чем расшифровать? Сообщение от модератора Mark D. Pearlstone Перемещено из темы.

Добрый день. Поймали вирус шифровальщик. Тут есть умельцы помочь с этой проблемой?

Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов. hopeandhonest@smime.ninja.zip

26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05 по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows. !want_to_cry.txt

Добрый день! Аналогичная ситуация сервер подвергся взлому, база данных заархивирована с шифрованием. Антивирус снесли, хоть он был под паролем. Подскажите есть способ как то исправить ситуацию, расшифровать базу данных? Do you really want to restore your files? Write to email: a38261062@gmail.com Сообщение от модератора Mark D. Pearlstone перемещено из темы.

Добрый день! Вот такое поймали, зашифрованы все файлы на сетевой шаре. Есть способы для расшифровки? Все ваши файлы были зашифрованы! Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК. Если вы хотите их восстановить Установите программу для общения https://tox.chat/clients.html https://github.com/uTox/uTox/releases/ https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe и добавьте нас 2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC ВНИМАНИЕ! !!!Не трогайте зашифрованные файлы.!!! !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!! 1.zip

Поймали Trojan.Encoder.31074 (Lockbit 3). Просим помощи в расшифровке Файл вируса в архиве имеется. Убиты все сервера компании. Mimo.rar

Добрый вечер. С нами случилась ситуация 1в1 с вышеописанной. NAS Zyxel 326 со всеми патчами, отключены все выходы во внешнюю сеть, работал только как локальное хранилище, всё равно атаковали через уязвимость самого NAS -создали облачного пользователя, которого даже удалить не могу. Подскажите, какой вариант с починкой файлов? Заранее спасибо. Сообщение от модератора Mark D. Pearlstone Перемещено из темы.

Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. Сообщение от модератора Mark D. Pearlstone Перемещено из темы.

Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте. FRST.txt Addition.txt

Добрый день, посмотрите, есть ли надежда на восстановление файлов. Addition.txt CONTACT_US.txt FRST.txt АКТ на списание ГСМ.DOCX

Добрый вечер! Очередная эпидемия шифровальщика Bomber напомнила мне курьёзный случай, который произошёл в моей практике совсем недавно. Месяца три тому назад обратился ко мне наш местный предприниматель по поводу заражения своего компьютера на работе вирусом-шифровальщиком под кодовым именем Novikov.Vavila. Антивируса на компьютере вообще никакого, установлена Windows 7. Поставил ему пробную версию KAV, объяснил, что будет работать ровно месяц. Предприниматель клятвенно заверил, что купит лицензию. Пару недель тому назад он звонит мне по поводу того, что на флешке не открываются файлы. Мол ходили в местный налоговый комитет и подцепили какой-то вирус. Снова отправился к предпринимателю в его офис и что же я вижу? Лицензия на KAV у него благополучно истекла, значок антивируса неактивный. Спрашиваю про покупку лицензии, в ответ слышу, что мол «не купили, у нас и на компьютере нет ничего ценного» В некотором шоке поставил им KFA. Если предприниматель, у которого денег просто куры не клюют, зажал средства на покупку лицензии на антивирус, то чего удивляться такому наплыву посетителей на нашем форуме при первой же мало-мальски серьёзной эпидемии какого-то нового шифровальщика? Пользователи относятся к безопасности своих компьютеров и к своим данным абсолютно безответственно! Наверное пора брать какие-то взносы с таких посетителей на развитие форума, ведь только за сегодня зарегистрировались для получения помощи почти 50 человек )) А каково хелперам отвечать на все их бесконечные просьбы и мольбы?

Намедни ездили забирать комплектующие к оргтехнике, у одного из поставщиков прямо на входе в их торговую точку подцепил себе на голову паучка. Да, да! Самого настоящего! Во, говорю — новость какая-то будет, возможно что жуткая. Собственно сама новость: http://tass.ru/mezhdunarodnaya-panorama/4248397 Пруф. Варламов нагнал жути ещё больше: http://varlamov.ru/2370148.html Срочно установил майское накопительное обновление безопасности на домашний компьютер, залез на свой рабочий комп и также поставил все последние обновки. Жути меньше не стало, с ужасом жду завтрашнего дня (хорошо хоть суббота и день нерабочий), а ещё большей жути может случиться в понедельник Вот уже и Wired сподобился на статью, история набирает обороты: http://www.wired.co.uk/article/wanna-decryptor-ransomware Больше всех пострадали медицинские учреждения Великобритании, думаю, что Коммерсант тут ничего не приукрасил. Это действительно ужасно и печально: https://www.kommersant.ru/doc/3296579 Лента похоже перепечатала выжимку новостей из блога Варламова, ничего нового: https://lenta.ru/news/2017/05/12/wannacry/ Наконец-то и телевидение подключилось )) http://www.vesti.ru/doc.html?id=2887397 Эдвард Сноуден допускает, что к созданию вируса причастны его бывшие коллеги: http://www.rbc.ru/politics/13/05/2017/59162eb09a79477ce4970991 На Лайфе даже организовали прямую трансляцию, что бывало лишь в случае террористических актов: https://life.ru/t/новости/1007301/khakierskiie_ataki_tiekstovaia_transliatsiia UPD: 13 мая Из семи компьютеров под Win 7 32 bit в организации, на которые сегодня утром ставил обновки, патч kb4012212 установился только на шесть, на одном не смог поставить ни в какую, пишет, что не подходит для этой операционной системы. Появилось уже 9 разных языковых версий статьи об этом сетевом черве-шифровальщике в Википедии, в том числе — на украинском, испанском и китайском языке. На русском как всегда ничего нет. UPD: 13 мая 15:00 по МСК Наконец-то переводом с английского написали статью в энциклопедии про этот вирус: https://ru.wikipedia.org/wiki/WannaCry Ещё одна прямая текстовая трансляция: https://tjournal.ru/44260-pryamaya-translyaciya-masshtabnaya-kiberataka Картинки с комнаты диспетчеров РЖД впечатляют. Очень странная фигня — несмотря на то, что на домашнем и рабочем компьютерах все обновления от M$ были установлены автоматически, патчи от данной уязвимости при отдельной установке поставились без всяких возражений. Но позвольте, господа из Майкрософта, если данный патч был уже ранее автоматически установлен в пакете накопительных обновлений безопасности системы, то разве устанавливаемый отдельно патч не должен был выругаться на мои действия и объявить, что его установка не требуется? UPD:14 мая СМИ пишут уже о 200 тыс. заразившихся шифровальщиком. Глава Европола предсказывает новую волну заражений утром в понедельник завтра, 15 мая: http://www.rbc.ru/rbcfreenews/59184d849a794780e849196a Рецепт который поможет вам сохранить от шифровальщика свои любимые фото (бесплатно): 1) Берёте архиватор WinRAR (или бесплатный 7zip) 2) Архивируете им папку с фотографиями какого-либо события (желательно не пытаться сразу архивировать всю папку с фотографиями, это может занять продолжительное время), лучше брать папку с каким-то отдельным событием, например ДР вашего родственника 3) После архивирования на архиве удаляете расширение файла, то есть если у вас файл назывался Мои фотки.rar то у вас в итоге просто должно быть наименование файла Мои фотки без расширения 4) Для большей надёжности присваиваете этому файлу атрибут «Системный». При очередном заражении вашей системы очередным очень крутым шифровальщиком радуетесь полученному эффекту: 1a) Удаляете антивирусом шифровальщик; 2a) Возвращаете назад расширение файла на .RAR (ибо вирус всё равно файлы без расширения не трогает) 3a) Радуетесь сохранённым изображениям ваших родственников, друзей и знакомых )) Конечно более замороченно ходить в магазин, покупать лицензию на антивирус, изучать его рекомендации по настройкам, шариться потом по форумам в поисках решения проблем, которые вам создал антивирус и пр. Если вы не готовы к таким подвигам, то мной предложенный способ по сохранению фотографий вам вполне может пригодиться. UPD 16 мая: Специалисты сразу нескольких антивирусных компаний заметили поразительное сходство в исходниках WannaCry и другой ранее печально известной продукции группировки Lazarus. Рейтерс как бы намекает: http://www.reuters.com/article/us-cyber-attack-idUSKCN18B0AC UPD: 18 мая: Пару слов о том, как в нашей отрасли отреагировали на эпидемию. Через три дня после начала эпидемии, то есть во вторник 15 мая, сверху прислали письмо абсолютно бездарное по содержанию, в котором предупреждалось об эпидемии шифровальщика и с предупреждением о том, что вирус распространяется через заражённые вложения в электронной почте. Сегодня, то есть 18 мая, пришло письмо уже более содержательное по смыслу, с описанием уязвимости, отсылкой к бюллетеню безопасности от M$ и рекомендациями установить патчи, исправляющие данную уязвимость. С номером телефона открытой горячей линии, по которой можно получить информацию об эпидемии. Но в конце всё равно приписка, что мол эпидемия в локальной сети начинается после открытия заражённого вложения в электронном почте. В общем не помогли вообще ничем. Секретарь конечно же всем это письмо разослала для ознакомления, правда из пользователей никто на него не прореагировал, так как уже и так все знали про эпидемию либо от меня, либо из прессы, либо из зомбоящика. UPD: 23 мая Спустя 10 дней после начала эпидемии сообщается, что эксплойт, который был использован при атаке — это только один из первых инструментов для взлома Windows. Их ещё как минимум семь. При самом печальном развитии событий придётся всё предприятие переводить на Linux (( http://www.securitylab.ru/news/486213.php

Введение: Привет путник! На написание этой статьи меня побудило полное разгильдяйство и халатность некоторых людей, которые работают бухгалтерами, секретарями, клерками, менеджерами и прочими людьми, которые так или иначе работают с электронной почтой на компьютере. Оказывая компьютерную помощь в разделе "Уничтожение вирусов", я заметил, что люди совершенно ни чему не учатся и продолжают ходить по одним и тем же граблям, запуская всякую хрень из электронной почты. Каждый раз когда я читаю очередную тему с шифровальщиком в разделе "Уничтожение вирусов", я вспоминаю один момент из мультика Буратино: Но не будем о грустном и перейдем к рекомендациям, которые я могу дать Вам пользователям. Общие рекомендации: 1. Никогда не открывайте почтовые вложения от неизвестных отправителей! В большинстве случаев троянцы-шифровальщики распространяются через почтовые вложения. Задача злоумышленника – убедить пользователя открыть вложение из письма, поэтому темы писем могут быть разными, например: уведомление из арбитражного суда об иске; исполнительное производство о взыскании задолженности; возбуждение уголовного дела; перерасчет в Сбербанке; изменения в тарифном плане и т.д. Рис. 1 Архив с вирусом Никогда не открывайте вложения из писем, которые были получены от неизвестных адресатов, каким бы страшным не был заголовок. Если в письме прикреплен архив, то потрудитесь просто посмотреть содержимое архива. И если там исполняемый файл (файл с расширением .exe, .com, .bat, .cmd, .scr, .js, pif, wsf, wsh, jse) как выше, то это 100% вирус. На заметку: Даже если Вы получили письмо от известного адресата не теряйте бдительность! Если Вы все же чего-то боитесь, то всегда можно узнать истинный адрес той организации, от которой Вы получили письмо. Для решения этой проблемы можно воспользоваться FixSecurity by Vitokhv, которая на компьютере настраивает SRP политики таким образом, что становится невозможным запустить популярные типы исполняемых файлов. Рис. 2 Настройка FixSecurity. Рекомендуется выбрать настройки по умолчанию Если у Вас имеется какой-либо вопрос по работе с FixSecurity, то Вы можете задать свой вопрос разработчику здесь http://safezone.cc/threads/fixrun-fixsecurity-zaschita-ot-shifrovalschikov.28159/ Kaspersky Anti-Ransomware Tool for Business Kaspersky Anti-Ransomware Tool for Business - бесплатный и достаточно эффективный инструмент, разработанный «Лабораторией Касперского», который обеспечивает защиту от действий программ-вымогателей. При обнаружении угрозы Kaspersky Anti-Ransomware Tool автоматически блокирует ее и добавляет в список заблокированных приложений (Blocked Applications). Перед тем как выполнить блокировку, программа-вымогатель может успеть выполнить нежелательные действия в операционной системе (например, создать или изменить файлы, или сделать изменения в реестре). Чтобы выполнить откат действий вредоносной программы Kaspersky Anti-Ransomware Tool хранит историю деятельности приложений. Kaspersky Anti-Ransomware Tool для защиты от программ-вымогателей использует различные методы обнаружения угроз. Инструмент идентифицирует вредоносные приложения на основе информации, содержащейся в Kaspersky Security Network. Облачная сеть Kaspersky Security Network используется, чтобы обеспечить более быстрое реагирование на неизвестные угрозы. Благодаря пользователям, которые принимают участие в Kaspersky Security Network, «Лаборатория Касперского» способна оперативно собирать информацию о новых типах и источниках угроз, а также разрабатывать решения для их нейтрализации. Участие в Kaspersky Security Network, предполагает отправку статистики, собираемой Kaspersky Anti-Ransomware Tool for Business на вашем компьютере. Kaspersky Anti-Ransomware Tool for Business совместим со сторонними антивирусными программами и может служить дополнительной защитой от троянов-вымогателей и шифровальщиков с использованием передовых технологий. Более подробную информацию по Kaspersky Anti-Ransomware Tool for Business смотрите здесь https://virusinfo.info/showthread.php?t=203022 Скачать Kaspersky Anti-Ransomware Tool for Business можно по этой ссылке. 2. Своевременно обновляйте антивирус, антивирусные базы, операционную систему и другие программы: Регулярно обновляйте Ваш антивирус. Очень важно использовать последнюю версию антивируса, т.к. в новых версиях исправляют ошибки и улучшают алгоритмы нахождения свежих вирусов. Вместе с антивирусными базами обновляются программные компоненты, улучшаются существующие функции и добавляются новые. Также устанавливайте обновления для операционной системы и других программ, которыми Вы пользуетесь. Это тоже очень важно, т.к. некоторые вирусы могут использовать уязвимости Windows и прикладного ПО для запуска произвольного вредоносного кода, например шифровальщика. На заметку: Использование устаревшего антивируса не может обеспечить адекватную защиту Ваших данных. Убедитесь в том, что на сайте производителя нет новой версии антивируса. Если же новая версия есть на сайте производителя, то обязательно обновите текущую версию Вашего антивируса! Для аудита безопасности системы можно использовать бесплатную программу от Secunia, которую можно скачать и установить по этой ссылке. Рис. 3 Сканер от Secunia, сканирующий систему на известные уязвимости. 3. Не работайте под учетной записью Администратора! Я крайне не рекомендую работать под учетной записью Администратора обычным пользователям, особенно бухгалтерам, секретарям, клеркам, менеджерам и т.д. Почему это так плохо? Потому что такой пользователь обладает неограниченными правами и все что доступно ему, доступно и вирусу. Имея такие права, неопытный пользователь может случайно запустить вирус из электронной почты. А к чему это может привести думаю говорить не нужно. Так что старайтесь по возможности работать под учетной записью пользователя, а не Администратора! На заметку: Если Вам требуется запустить какую-то программу с правами Администратора, то воспользуйтесь контекстным меню проводника и выберите "Запуск от имени Администратора". Внимание! Начиная с Windows Vista в операционной системе есть встроенный защитный механизм, который называется UAC (контроль учетных записей). UAC не позволяет запускать программы без уведомления. Я настоятельно рекомендую не отключать его, т.к. если Вы его отключите, то тогда вредоносная программа может быть запущена без уведомления! 4. Настройте доступ к общим сетевым папкам. Если вы используете общие сетевые папки, то рекомендуется создать отдельную сетевую папку для каждого пользователя. При этом права на запись должны быть только у владельца папки. Таким образом, при заражении одного компьютера файлы будут зашифрованы только в одной сетевой папке. В противном случае, заражение одного компьютера может привести к шифрованию всех документов на всех сетевых папках. 5. Регулярно делайте резервные копии важных данных. Резервное копирование — процесс создания копии данных на жёстком диске, флешке, облаке и т. д.. Резервное копирование необходимо для восстановления поврежденных данных, которые повредились в основном месте их хранения. Зачем их делать и для чего они бывают нужны, я описал в этой https://forum.kasperskyclub.ru/index.php?app=blog&module=display&section=blog&blogid=320&showentry=2083 статье. Рекомендации по настройке параметров Windows 1. Отключите настройку скрытия расширений для зарегистрированных типов файлов. По умолчанию во всех версиях Windows включена настройка, которая скрывает зарегистрированные типы файлов. К таким файлам относятся и исполняемые файлы. Допустим на мою электронную почту пришло письмо следующего содержания: На заметку: Не стоит сразу идти и открывать вложение или ссылку из такого письма, даже если оно пришло от известного отправителя. Сперва убедитесь, что файл не является исполняемым (файлы с расширением .exe, .com, .bat, .cmd, .scr, .js, pif, wsf, wsh, jse и т.д)! Итак, я скачал и распаковал прикрепленный архив к письму и что я вижу: С виду обычный офисный файл, но давайте отключим настройку, скрывающую зарегистрированные типы файлов. Итак, что же мы теперь видим: С виду кажется, что это обычный офисный файл, но если присмотреться, то видно, что в конце у файла добавилось расширение *.scr. Теперь давайте вспомним какие файлы относятся к исполняемым? Что же это означает? А означает это, что под видом нужного файла нам пытаются подсунуть кота в мешке, который при запуске зашифрует нам все наши данные. На заметку: Будьте внимательны при работе с почтой! Некоторые злоумышленники специально дают таким "нужным" файлам длинные имена, чтобы скрыть расширение у файла, например: Для отключения этой настройки, выполните следующий скрипт в AVZ: beginRegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced', 'HideFileExt', 'REG_DWORD', '0');RebootWindows(false);end. Компьютер перезагрузится. 2. Включите службу теневого копирования для всех дисков. Начиная с Windows Vista в состав операционных систем Windows входит служба защиты системы на всех дисках, которая создаёт резервные копии файлов и папок во время архивации или создания точки восстановления системы. По умолчанию эта служба включена только для системного раздела. Рекомендуется включить эту службу для всех дисков. Включить ее можно для других дисков, выполнив следующие действия: Откройте меню Пуск => Панель управления, в новом окне выберите компонент «Система». В левой области выберите Защита системы. Если отображается запрос на ввод пароля администратора или его подтверждения, укажите пароль или предоставьте подтверждение. Выберите диск, а затем нажмите кнопку Настроить. В следующем окне включите восстановление системы для выбранного диска, затем задайте максимальное использование дискового пространства под нужды системы и нажмите на кнопку "Применить". На заметку: Я рекомендую под эти нужды выделить не менее 5% от общей емкости диска. Теперь у Вас в случае заражения шифровальщиком компьютера будет возможность восстановить данные из теневых копий Windows со всех дисков. Как это сделать я опишу ниже: 1. У Вас имеются зашифрованные файлы, которые нужно восстановить. 2. Скачайте утилиту ShadowExplorer, распакуйте в новую папку и запустите от имени Администратора. 3. Выберите элементы для восстановления, затем щелкните правой кнопкой мыши по выбранным файлам и нажмите на кнопку "Export" Важно! Лучше всего данные восстанавливать на отдельный флэш накопитель. 4. Выберите папку куда нужно будет сохранить восстановленные файлы и нажмите на кнопку "ОК" 5. Дождитесь окончания работы программы. Внимание! Некоторые шифровальщики будут пытаться удалить теневые копии, если Вы работаете под учетной записью Администратора! По возможности старайтесь в повседневной жизни использовать только учетную запись пользователя. В этом случае шифровальщик не сможет их удалить без запроса на повышение прав от UAC (контроля учетных записей). Заключение: Вы познакомились с основными рекомендациями по защите ваших данных от троянцев-шифровальщиков. Если у Вас есть какие-то вопросы, то Вы можете задать их ниже. Благодарю за внимание!

Добрый вечер! Эта заметка посвящается всем тем пользователям, у которых не хватило денег на покупку лицензии для антивируса и они решили воспользоваться бесплатным антивирусным решением. Предыстория такова: больше недели тому назад один из попавшихся мне на глаза опасных по моему мнению скриптов (шифровальщик RAA) я дважды безуспешно отправил в Лабораторию Касперского на исследования через почту newvirus@kaspersky.com Оба раза пришёл стандартный ответ авторобота, о том, что файл будет передан на исследование в антивирусную лабораторию. Никакого эффекта это не дало, скрипт, несмотря на свои вредоносные действия, вообще никак не детектировался продуктами Лаборатории Касперского, это было проверено на KTS и на KES10. Естественно срабатывали правила контроля активности, скрипт помещался в слабые ограничения или недоверенные, соответственно никакого шифрования файлов не происходило. Не удовлетворившись результатом, я обратился на Фейсбуке к одному из сотрудников KL с просьбой проверить номера запросов — [KLAN-4733379059] и [KLAN-4726601605]. После этого свершилось чудо Через день скрипт стал детектироваться как троян дженерик в KTS и на KES он тоже стал удаляться каким-то из компонентов. В итоге я решил проверить — а как же реагирует на него бесплатная версия Kaspersky Free, а также решил попутно проверить нескольких его антивирусных аналогов, которые распространяются бесплатно. Итак тестовая среда: Win XP SP3 на VMware Workstation, все антивирусы скачивались, устанавливались и обновлялись, затем была перезагрузка системы, создание точки отката и после этого проверка на противодействие шифровальщику. 1) Kaspersky Free: никакого сопротивления не оказал, файлы оказались зашифрованы. 2) Аваст Free категорически отказался запускаться на виртуальной машине, видимо придётся проводить дополнительное тестирование в реальных условиях 3) Avira Free: никакой реакции на шифровальщика, все файлы зашифрованы. 4) Comodo Free: запускает скрипт в песочнице, никакого шифрования файлов не происходит (естественно у пользователя есть возможность не поверить антивирусу и в следующий раз запустить скрипт без песочницы, но это действие уже оставим на совести пользователя). Если мне не изменяет мой склероз, то Лаборатория Касперского 3—5 лет тому назад отказалась от технологии песочницы как от слишком затратной и ресурсоёмкой процедуры. Как видим у конкурентов всё работает, причём в бесплатных версиях продуктов. 5) 360 Total Security: скрипт не запустился и ничего не смог зашифровать. 6) NANO Антивирус : из всех испытуемых продуктов задетектировал этот скрипт базами, что не было для меня сюрпризом, так как неделю назад скрипт проверялся на Вирустотале, там у этого антивируса (одного из очень немногих) был отмечен детект скрипта. 7) Baidu Antivirus 2015: никакой реакции на шифровальщика, всё как у Авиры и Kaspersky Free. Решил добавить тест на этом антивирусе, хотя не особенно надеялся на какой-то успех — ничем выдающимся Байду не отличился, единственное, что достал всех русскоязычных пользователей своей версией на китайском языке, которая распространяется как при помощи операционной системы (например, если истекла лицензия на текущий антивирус, то Windows 7 первым предлагает загрузить именно Baidu), так и некими злоумышленниками через ссылки и письма. 8) Для полноты эксперимента проверил этот же скрипт на KAV 2017 (то есть платном антивирусе от Лаборатории Касперского), отмечается детектирование, поднимается алерт об опасности. Теперь меня мучает следующая мысль — насколько оправданно то, что функционал в Kaspersky Free зарезали настолько, что он стал намного хуже, чем его бесплатные конкуренты? Ведь многие пользователи доверяют бренду Kaspersky Lab, но на самом деле такая «защита» не защищает от самых современных угроз. Пока этот вопрос чисто риторический, я понимаю — программисты хотят есть и кормить свою семью, руководство стремится увеличить прибыли компании, но насколько всё это оправдывает выпуск беззубых антивирусных продуктов? Update: 31.07.2016 Провёл дополнительное тестирование вредоносного файла на устаревшем продукте для корпоративных пользователей — WKS 6 MP4 (версия 6.0.4.1611). Несмотря на какие-то попытки продукта отреагировать на заражение, все файлы в итоге зашифрованы. Update: 03.08.2016 Пришла рассылка от партнёра Лаборатории Касперского, как раз в тему: Ещё немаловажное уточнение — в вирлабе Лаборатории Касперского наконец-то провели работу над ошибками, теперь скрипт-шифровальщик на WKS MP4 сразу же блокируется при запуске с вердиктом Trojan-Ransom.JS.RaaCrypt.e. Kaspersky Free теперь тоже не даёт запустить этот скрипт, вердикт правда не успел рассмотреть при запуске, поэтому пришлось потом лезть искать в отчётах данное событие.

Добрый вечер! Интернет кипит инсайдами и слухами, некоторые осведомлённые источники уверяют, что на информационных базах компании СДЭК можно поставить жирный крест. Как на ваш взгляд — это произошло от того, что руководство компании пожалело денег на защитные решения от шифровальщиков, на зарплату IT-специалистам или что-то ещё? Или может быть все три причины оказали такой оглушительный эффект? Источник: https://3dnews.ru/1105511/virusshifrovalshchik-mog-stat-prichinoy-sboya-v-rabote-sdek

Добрый день! В сеть проник зловред подробно описанный по ссылке https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html. Возможности зайти на сервер нет, так как файловые системы отображаются как нечитаемые. Пробуем вытащить файлы через R-Studio, Disk Drill и иные утилиты восстановления данных. Сталкивался ли кто-то еще с этими гадами? Есть ли выход?

День добрый. 10 апреля пошли спать. 11 утром обнаружили, что все файлы зашифрованы. С Вашей помощью получилось восстановить файлы. Но вот сегодня обнаружил, что по RDP, с ноутбука который был вылечен, подключились к рабочему серверу и зашифровали там файлы тоже. Помогите пожалуйста отчистить комп от заразы. Addition.txt FRST.txt

Через удалённый рабочий стол зашифровали все данные на сервере (Windows Server 2008 R2 Standard). Файлы стали иметь вид: ИМЯ.РАСШИРЕНИЕ.(MJ-XH3481609725)(Decryption.helper@aol.com).Cj.id[A8027869].[unlockdeer@gmail.com].optimus Сканированием с помощью Malwarebytes, в папке Musik обнаружилось два вируса Ransom.Artemis (unlockdeer@gmail.com.exe) и Ransom.FileCryptor (decryptcj@gmail.com.exe). Так же там лежат две программы Advanced_IP_Scanner_2.5.3850.exe и mimikatz_trunk (5).zip. Связывались с мошенниками, они просили прислать файлы из ProgramData, там какой-то ключ лежит, так что их тоже прикрепляю архивом без пароля. FRST.txt Addition.txt Trojan.rar Файлы и требование.rar ProgramData.rar

Добрый день! Данный вирус зашифровал нам все базы 1С на сервере. Подскажите, пожалуйста,возможно ли восстановить данные? архив.7z

Добрый день, ночью зашифровались файлы virus.rarAddition.txtFRST.txt

Здравствуйте. Пришли на работу с выходных, а на компьютере, где 1с, заблокирован диск Д и оставлено сообщение о том, что извините, ничего личного, это просто бизнес - дайте 20 тыс. руб. в биткоинах и вам будет передан пароль разблокировки. Что можно сделать? Судя по всему злоумышленник использовал лазейку в системе - был открыт RDP для бухгалтера... Т.к. в почте никаких подозрительных писем не обнаружено. Прикладываю скрин и текстовый файл. Перед блокировкой также были перенесены на диск Д данные с диска С, такие как, например, Рабочий стол. Он теперь пустой...PLEASE READ.txt

Всем доброго времени. Вчера вечером залезли на сервер закинули шифровальщик, как только смог выключил сервер, есть исполняемый файл (прикреплен), может у вас получится расшифровать данные DESKTOP.rar