Обсуждение рецептов против троянов-шифровальшиков

brr7

Активный пользователь
Сообщения
6
Реакции
1
Баллы
233
Позвольте у вас узнать, я зацепил подобный вирус от некоего "зверогея"
как мне узнать какие файлы вероятно заражены, так как их много и я не могу найти зашифрованные файлы.

потом мне их дать на рассмотрение по вышенаписанной инструкции в антивирусную компанию.

и в третьих как потом удалить сей вирус? слышал что его не так просто удалить, чем?


спасибо вам за ваше внимание к моей просьбе.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,402
Реакции
8,752
Баллы
743
Как узнать - просто считайте все Ваши фотографии и мп3 файлы, и документы - перестали открываться, требуют денег за расшифровку, сменили расширения - вот несколько таких не слишком больших файлов пакуйте в архив и рассылайте вендорам.

Подозреваете заражение милости просим:
http://safezone.cc/forum/forumdisplay.php?f=2
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,381
Реакции
2,446
Баллы
593
зацепил подобный вирус от некоего "зверогея"
Это шифровальщик Rector+RSA. Файлы документов перестают открываться, расширение не меняется. Сам шифровальщик после выполнения грязной работы удаляется

Создавайте свою тему, выкладывайте несколько зашифрованных файлов
 

brr7

Активный пользователь
Сообщения
6
Реакции
1
Баллы
233
спасибо вам за ответы, создам тему, чуть позже в днях, ПК не мой а бухгалтера, руки пока не доходят.

Добавлено через 3 минуты 44 секунды
там суть в чем, бухгалтер (чей ПК заражен), только три дня как с отпуска пришла, я спрашиваю, "какие файлы глючат?" она типа все нормально, но учитывая что документов у нее много, она просто еще не нашла поломку... вот я и спрашивал "где искать" пока она делает регулярные копии файлов.
 

Hotab

Активный пользователь
Сообщения
1,163
Реакции
300
Баллы
383
brr7, Файлы могу быть не заражены, просто изменена программа для открытия конкретных типов файлов, поэтому могут "глючить" файлы!
 

JustDeal

Активный пользователь
Сообщения
12
Реакции
1
Баллы
233
если файлы зашифрованы, причем при помощи рса с большим ключом, то их будет проблематично восстановить...
 

brr7

Активный пользователь
Сообщения
6
Реакции
1
Баллы
233
Вирус от Зверогея

Всем доброго времени суток форумчане! Сегодня начну тему, а затем продолжу, по ходу событий. если конечно кто либо соизволит ответить и помочь мне.

Суть проблемы: словили вирус шифровальщик, от некоего "ЗВЕРОГЕЯ"
при загрузке ОС сразу грузится и открывается послание от этого "зверогея" с его ящиком почтовым, мол свяжитесь. А так же появляется некий сайт с его же оформлением))

и проблема в том, что все нормально открывается, ну не могу я найти зараженные файлы.

Помогите пожалуйсто найти зараженные файлы, чтобы я мог их послать.

спасибо вам за ваше внимание!
 

akok

Команда форума
Администратор
Сообщения
16,373
Реакции
13,011
Баллы
2,203
Только пока удалять ничего не нужно, а то есть риск потерять информацию. Свободного места на диске случаем не увеличилось?
 

brr7

Активный пользователь
Сообщения
6
Реакции
1
Баллы
233
Только пока удалять ничего не нужно, а то есть риск потерять информацию. Свободного места на диске случаем не увеличилось?
не смотрел, посмотрю завтра. спасибо за совет.

Добавлено через 2 минуты 18 секунд
Я все таки удалил из автозагрузки эти напоминания (спасибо за совет, а то я тупил, хоть и не впервой). Если что есть копии файлов.

Но мне не понятны последствия вируса! где зараженные файлы то? МР3-открывает, фотки-тоже, где же зараженные файлы? как бы мне их найти то?

Добавлено через 1 минуту 19 секунд
может меня на понт берут? точно должны быть порченные файлы?
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,072
Реакции
8,130
Баллы
793
при загрузке ОС сразу грузится и открывается послание от этого "зверогея"
У "начинающих" часто бывают проколы. Послание сварганил, а код, отвечающих за запуск шифровальщика, не дописал. :)
 

brr7

Активный пользователь
Сообщения
6
Реакции
1
Баллы
233
Ну хоть бы скрин приложили, а то гадаем на гуще. Может и берут на понт.
да я думаю что вы профи, наверняка такие вещи видели, ну вот прям после загрузки вылазит сообщение что файлы зашифрованы и пишите на ящик зверогея. и открывается страница сайта вымогателя.

я просто уже удалил из автозагрузки.

Добавлено через 1 минуту 3 секунды
А система случайно не на виртуалке?
неа, xp-профессионал.

Добавлено через 4 минуты 10 секунд
У "начинающих" часто бывают проколы. Послание сварганил, а код, отвечающих за запуск шифровальщика, не дописал. :)
очень надеюсь что он ошибся, но вообще дурак, за это можно реальный срок получить... с такими познаниями в области ИТ можно деньги зарабатывать честно, или покрайней мере не совершая преступления против человека.

Добавлено через 1 минуту 23 секунды
тем не менее если кто знает конкретно как можно найти испорченные "дороги" файлы, скажите пожалуйсто как искать.

всем спасибо!
 

Кирилл

Команда форума
Администратор
Сообщения
13,692
Реакции
6,094
Баллы
913
ну... маленькая надежда на вскрытие пциента-если он у вас остался.
вы ведь не можете конкретно сказать был ли у вас реальный шифровальщик,или это был блеф социнженера.
вы вот расскажите,кто и как вируса убивал.
скрин автозагрузки,если вы ключ реестра не удалили.

если вам нужна помощь профи чавось не обратились в раздел лечения?
 
Последнее редактирование:

brr7

Активный пользователь
Сообщения
6
Реакции
1
Баллы
233
ну... маленькая надежда на вскрытие пциента-если он у вас остался.
вы ведь не можете конкретно сказать был ли у вас реальный шифровальщик,или это был блеф социнженера.
вы вот расскажите,кто и как вируса убивал.
скрин автозагрузки,если вы ключ реестра не удалили.

если вам нужна помощь профи чавось не обратились в раздел лечения?

на удивление я не "убивал вирус" я лишь удалил сообщение из автозагрузки, копии файлов имеются. мне стыдно конечно признать свою малограмотность в этом вопросе, вот я и обращаюсь за советом к вам профессионалам, вот вы бы что сделали если предположить что у вашего знакомого (так как вы подобное даже не зацепите) появился данный вирус от зверогея.

каков должен быть алгоритм моих действий?

файлы-зараженные скинуть, например на форум касперского ибо у меня там лицензия касперского стоит, НО Я НЕ ЗНАЮ КАКИЕ ФАЙЛЫ ЗАРАЖЕНЫ, вот и спрашиваю как их отыскать? может вордовские файлы пощелкать внимательней?

Я так понимаю это не совсем вирус? а просто измененный шифр? или там есть некая программка (на зараженным ПК)?

что мне делать то?

спасибо за внимание, что кстати удивительно, вроде вы с меня денег не имеете, а уделяете время.
 

akok

Команда форума
Администратор
Сообщения
16,373
Реакции
13,011
Баллы
2,203
Тут поможет только метод "научного тыка". Вспоминаем предупреждение и ищем файлы с "подверженным атаке" расширением. Смотрим дату изменения/создания... что подозрительно пытаемся открыть.

Открывается все важное? Значит пронесло.
 

Rins

Активный пользователь
Сообщения
364
Реакции
48
Баллы
328
Открывается все важное? Значит пронесло.
Не лишним будет для контроля, перенести данные и попытаться открыть на иной системе.
В сводках мелькала информация о попытках использования штатных средств шифрования операционной системы.
В таком случаи на иной системе файлы будут не доступны для просмотра.
 
Сверху Снизу