Обсуждение рецептов против троянов-шифровальшиков

Тема в разделе "Борьба с типовыми зловредами", создана пользователем brr7, 22 авг 2012.

  1. brr7
    Оффлайн

    brr7 Пользователь

    Сообщения:
    6
    Симпатии:
    1
    Позвольте у вас узнать, я зацепил подобный вирус от некоего "зверогея"
    как мне узнать какие файлы вероятно заражены, так как их много и я не могу найти зашифрованные файлы.

    потом мне их дать на рассмотрение по вышенаписанной инструкции в антивирусную компанию.

    и в третьих как потом удалить сей вирус? слышал что его не так просто удалить, чем?


    спасибо вам за ваше внимание к моей просьбе.
     
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Как узнать - просто считайте все Ваши фотографии и мп3 файлы, и документы - перестали открываться, требуют денег за расшифровку, сменили расширения - вот несколько таких не слишком больших файлов пакуйте в архив и рассылайте вендорам.

    Подозреваете заражение милости просим:
    http://safezone.cc/forum/forumdisplay.php?f=2
     
  3. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.477
    Симпатии:
    3.100
    Это шифровальщик Rector+RSA. Файлы документов перестают открываться, расширение не меняется. Сам шифровальщик после выполнения грязной работы удаляется

    Создавайте свою тему, выкладывайте несколько зашифрованных файлов
     
  4. brr7
    Оффлайн

    brr7 Пользователь

    Сообщения:
    6
    Симпатии:
    1
    спасибо вам за ответы, создам тему, чуть позже в днях, ПК не мой а бухгалтера, руки пока не доходят.

    Добавлено через 3 минуты 44 секунды
    там суть в чем, бухгалтер (чей ПК заражен), только три дня как с отпуска пришла, я спрашиваю, "какие файлы глючат?" она типа все нормально, но учитывая что документов у нее много, она просто еще не нашла поломку... вот я и спрашивал "где искать" пока она делает регулярные копии файлов.
     
  5. Hotab
    Оффлайн

    Hotab Активный пользователь

    Сообщения:
    1.169
    Симпатии:
    307
    brr7, Файлы могу быть не заражены, просто изменена программа для открытия конкретных типов файлов, поэтому могут "глючить" файлы!
     
  6. JustDeal
    Оффлайн

    JustDeal Пользователь

    Сообщения:
    12
    Симпатии:
    1
    если файлы зашифрованы, причем при помощи рса с большим ключом, то их будет проблематично восстановить...
     
  7. brr7
    Оффлайн

    brr7 Пользователь

    Сообщения:
    6
    Симпатии:
    1
    Вирус от Зверогея

    Всем доброго времени суток форумчане! Сегодня начну тему, а затем продолжу, по ходу событий. если конечно кто либо соизволит ответить и помочь мне.

    Суть проблемы: словили вирус шифровальщик, от некоего "ЗВЕРОГЕЯ"
    при загрузке ОС сразу грузится и открывается послание от этого "зверогея" с его ящиком почтовым, мол свяжитесь. А так же появляется некий сайт с его же оформлением))

    и проблема в том, что все нормально открывается, ну не могу я найти зараженные файлы.

    Помогите пожалуйсто найти зараженные файлы, чтобы я мог их послать.

    спасибо вам за ваше внимание!
     
  8. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.477
    Симпатии:
    3.100
    Все программы - Автозагрузка

    Здесь прописалось напоминание и открытие сайта
     
    1 человеку нравится это.
  9. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    msconfig-автозагрузка
    так же подоидет(рекомендую)
    вот это
    autoruns
     
    fentezicat, machito и brr7 нравится это.
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Только пока удалять ничего не нужно, а то есть риск потерять информацию. Свободного места на диске случаем не увеличилось?
     
    3 пользователям это понравилось.
  11. brr7
    Оффлайн

    brr7 Пользователь

    Сообщения:
    6
    Симпатии:
    1
    не смотрел, посмотрю завтра. спасибо за совет.

    Добавлено через 2 минуты 18 секунд
    Я все таки удалил из автозагрузки эти напоминания (спасибо за совет, а то я тупил, хоть и не впервой). Если что есть копии файлов.

    Но мне не понятны последствия вируса! где зараженные файлы то? МР3-открывает, фотки-тоже, где же зараженные файлы? как бы мне их найти то?

    Добавлено через 1 минуту 19 секунд
    может меня на понт берут? точно должны быть порченные файлы?
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Ну хоть бы скрин приложили, а то гадаем на гуще. Может и берут на понт.
     
    1 человеку нравится это.
  13. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.477
    Симпатии:
    3.100
    А система случайно не на виртуалке?
     
    1 человеку нравится это.
  14. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    У "начинающих" часто бывают проколы. Послание сварганил, а код, отвечающих за запуск шифровальщика, не дописал. :)
     
    fentezicat и brr7 нравится это.
  15. brr7
    Оффлайн

    brr7 Пользователь

    Сообщения:
    6
    Симпатии:
    1
    да я думаю что вы профи, наверняка такие вещи видели, ну вот прям после загрузки вылазит сообщение что файлы зашифрованы и пишите на ящик зверогея. и открывается страница сайта вымогателя.

    я просто уже удалил из автозагрузки.

    Добавлено через 1 минуту 3 секунды
    неа, xp-профессионал.

    Добавлено через 4 минуты 10 секунд
    очень надеюсь что он ошибся, но вообще дурак, за это можно реальный срок получить... с такими познаниями в области ИТ можно деньги зарабатывать честно, или покрайней мере не совершая преступления против человека.

    Добавлено через 1 минуту 23 секунды
    тем не менее если кто знает конкретно как можно найти испорченные "дороги" файлы, скажите пожалуйсто как искать.

    всем спасибо!
     
    1 человеку нравится это.
  16. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    ну... маленькая надежда на вскрытие пциента-если он у вас остался.
    вы ведь не можете конкретно сказать был ли у вас реальный шифровальщик,или это был блеф социнженера.
    вы вот расскажите,кто и как вируса убивал.
    скрин автозагрузки,если вы ключ реестра не удалили.

    если вам нужна помощь профи чавось не обратились в раздел лечения?
     
    Последнее редактирование: 6 сен 2012
    1 человеку нравится это.
  17. brr7
    Оффлайн

    brr7 Пользователь

    Сообщения:
    6
    Симпатии:
    1

    на удивление я не "убивал вирус" я лишь удалил сообщение из автозагрузки, копии файлов имеются. мне стыдно конечно признать свою малограмотность в этом вопросе, вот я и обращаюсь за советом к вам профессионалам, вот вы бы что сделали если предположить что у вашего знакомого (так как вы подобное даже не зацепите) появился данный вирус от зверогея.

    каков должен быть алгоритм моих действий?

    файлы-зараженные скинуть, например на форум касперского ибо у меня там лицензия касперского стоит, НО Я НЕ ЗНАЮ КАКИЕ ФАЙЛЫ ЗАРАЖЕНЫ, вот и спрашиваю как их отыскать? может вордовские файлы пощелкать внимательней?

    Я так понимаю это не совсем вирус? а просто измененный шифр? или там есть некая программка (на зараженным ПК)?

    что мне делать то?

    спасибо за внимание, что кстати удивительно, вроде вы с меня денег не имеете, а уделяете время.
     
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Тут поможет только метод "научного тыка". Вспоминаем предупреждение и ищем файлы с "подверженным атаке" расширением. Смотрим дату изменения/создания... что подозрительно пытаемся открыть.

    Открывается все важное? Значит пронесло.
     
    1 человеку нравится это.
  19. Rins
    Оффлайн

    Rins Активный пользователь

    Сообщения:
    370
    Симпатии:
    50
    Не лишним будет для контроля, перенести данные и попытаться открыть на иной системе.
    В сводках мелькала информация о попытках использования штатных средств шифрования операционной системы.
    В таком случаи на иной системе файлы будут не доступны для просмотра.
     
  20. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.477
    Симпатии:
    3.100
    Это не тот случай
     

Поделиться этой страницей