• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Обсуждение рецептов против троянов-шифровальшиков

brr7

Активный пользователь
Сообщения
6
Симпатии
1
#1
Позвольте у вас узнать, я зацепил подобный вирус от некоего "зверогея"
как мне узнать какие файлы вероятно заражены, так как их много и я не могу найти зашифрованные файлы.

потом мне их дать на рассмотрение по вышенаписанной инструкции в антивирусную компанию.

и в третьих как потом удалить сей вирус? слышал что его не так просто удалить, чем?


спасибо вам за ваше внимание к моей просьбе.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,709
#2
Как узнать - просто считайте все Ваши фотографии и мп3 файлы, и документы - перестали открываться, требуют денег за расшифровку, сменили расширения - вот несколько таких не слишком больших файлов пакуйте в архив и рассылайте вендорам.

Подозреваете заражение милости просим:
http://safezone.cc/forum/forumdisplay.php?f=2
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,367
Симпатии
2,442
#3
зацепил подобный вирус от некоего "зверогея"
Это шифровальщик Rector+RSA. Файлы документов перестают открываться, расширение не меняется. Сам шифровальщик после выполнения грязной работы удаляется

Создавайте свою тему, выкладывайте несколько зашифрованных файлов
 

brr7

Активный пользователь
Сообщения
6
Симпатии
1
#4
спасибо вам за ответы, создам тему, чуть позже в днях, ПК не мой а бухгалтера, руки пока не доходят.

Добавлено через 3 минуты 44 секунды
там суть в чем, бухгалтер (чей ПК заражен), только три дня как с отпуска пришла, я спрашиваю, "какие файлы глючат?" она типа все нормально, но учитывая что документов у нее много, она просто еще не нашла поломку... вот я и спрашивал "где искать" пока она делает регулярные копии файлов.
 

Hotab

Активный пользователь
Сообщения
1,163
Симпатии
300
#5
brr7, Файлы могу быть не заражены, просто изменена программа для открытия конкретных типов файлов, поэтому могут "глючить" файлы!
 

JustDeal

Активный пользователь
Сообщения
12
Симпатии
1
#6
если файлы зашифрованы, причем при помощи рса с большим ключом, то их будет проблематично восстановить...
 

brr7

Активный пользователь
Сообщения
6
Симпатии
1
#7
Вирус от Зверогея

Всем доброго времени суток форумчане! Сегодня начну тему, а затем продолжу, по ходу событий. если конечно кто либо соизволит ответить и помочь мне.

Суть проблемы: словили вирус шифровальщик, от некоего "ЗВЕРОГЕЯ"
при загрузке ОС сразу грузится и открывается послание от этого "зверогея" с его ящиком почтовым, мол свяжитесь. А так же появляется некий сайт с его же оформлением))

и проблема в том, что все нормально открывается, ну не могу я найти зараженные файлы.

Помогите пожалуйсто найти зараженные файлы, чтобы я мог их послать.

спасибо вам за ваше внимание!
 

akok

Команда форума
Администратор
Сообщения
14,542
Симпатии
12,023
#10
Только пока удалять ничего не нужно, а то есть риск потерять информацию. Свободного места на диске случаем не увеличилось?
 

brr7

Активный пользователь
Сообщения
6
Симпатии
1
#11
Только пока удалять ничего не нужно, а то есть риск потерять информацию. Свободного места на диске случаем не увеличилось?
не смотрел, посмотрю завтра. спасибо за совет.

Добавлено через 2 минуты 18 секунд
Я все таки удалил из автозагрузки эти напоминания (спасибо за совет, а то я тупил, хоть и не впервой). Если что есть копии файлов.

Но мне не понятны последствия вируса! где зараженные файлы то? МР3-открывает, фотки-тоже, где же зараженные файлы? как бы мне их найти то?

Добавлено через 1 минуту 19 секунд
может меня на понт берут? точно должны быть порченные файлы?
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,193
Симпатии
8,511
#14
при загрузке ОС сразу грузится и открывается послание от этого "зверогея"
У "начинающих" часто бывают проколы. Послание сварганил, а код, отвечающих за запуск шифровальщика, не дописал. :)
 

brr7

Активный пользователь
Сообщения
6
Симпатии
1
#15
Ну хоть бы скрин приложили, а то гадаем на гуще. Может и берут на понт.
да я думаю что вы профи, наверняка такие вещи видели, ну вот прям после загрузки вылазит сообщение что файлы зашифрованы и пишите на ящик зверогея. и открывается страница сайта вымогателя.

я просто уже удалил из автозагрузки.

Добавлено через 1 минуту 3 секунды
А система случайно не на виртуалке?
неа, xp-профессионал.

Добавлено через 4 минуты 10 секунд
У "начинающих" часто бывают проколы. Послание сварганил, а код, отвечающих за запуск шифровальщика, не дописал. :)
очень надеюсь что он ошибся, но вообще дурак, за это можно реальный срок получить... с такими познаниями в области ИТ можно деньги зарабатывать честно, или покрайней мере не совершая преступления против человека.

Добавлено через 1 минуту 23 секунды
тем не менее если кто знает конкретно как можно найти испорченные "дороги" файлы, скажите пожалуйсто как искать.

всем спасибо!
 

Кирилл

Команда форума
Администратор
Сообщения
13,291
Симпатии
5,844
#16
ну... маленькая надежда на вскрытие пциента-если он у вас остался.
вы ведь не можете конкретно сказать был ли у вас реальный шифровальщик,или это был блеф социнженера.
вы вот расскажите,кто и как вируса убивал.
скрин автозагрузки,если вы ключ реестра не удалили.

если вам нужна помощь профи чавось не обратились в раздел лечения?
 
Последнее редактирование:

brr7

Активный пользователь
Сообщения
6
Симпатии
1
#17
ну... маленькая надежда на вскрытие пциента-если он у вас остался.
вы ведь не можете конкретно сказать был ли у вас реальный шифровальщик,или это был блеф социнженера.
вы вот расскажите,кто и как вируса убивал.
скрин автозагрузки,если вы ключ реестра не удалили.

если вам нужна помощь профи чавось не обратились в раздел лечения?

на удивление я не "убивал вирус" я лишь удалил сообщение из автозагрузки, копии файлов имеются. мне стыдно конечно признать свою малограмотность в этом вопросе, вот я и обращаюсь за советом к вам профессионалам, вот вы бы что сделали если предположить что у вашего знакомого (так как вы подобное даже не зацепите) появился данный вирус от зверогея.

каков должен быть алгоритм моих действий?

файлы-зараженные скинуть, например на форум касперского ибо у меня там лицензия касперского стоит, НО Я НЕ ЗНАЮ КАКИЕ ФАЙЛЫ ЗАРАЖЕНЫ, вот и спрашиваю как их отыскать? может вордовские файлы пощелкать внимательней?

Я так понимаю это не совсем вирус? а просто измененный шифр? или там есть некая программка (на зараженным ПК)?

что мне делать то?

спасибо за внимание, что кстати удивительно, вроде вы с меня денег не имеете, а уделяете время.
 

akok

Команда форума
Администратор
Сообщения
14,542
Симпатии
12,023
#18
Тут поможет только метод "научного тыка". Вспоминаем предупреждение и ищем файлы с "подверженным атаке" расширением. Смотрим дату изменения/создания... что подозрительно пытаемся открыть.

Открывается все важное? Значит пронесло.
 

Rins

Активный пользователь
Сообщения
366
Симпатии
49
#19
Открывается все важное? Значит пронесло.
Не лишним будет для контроля, перенести данные и попытаться открыть на иной системе.
В сводках мелькала информация о попытках использования штатных средств шифрования операционной системы.
В таком случаи на иной системе файлы будут не доступны для просмотра.
 
Сверху Снизу