Обсуждение рецептов против троянов-шифровальшиков

brr7

Активный пользователь
Сообщения
6
Симпатии
1
Баллы
233
#1
Позвольте у вас узнать, я зацепил подобный вирус от некоего "зверогея"
как мне узнать какие файлы вероятно заражены, так как их много и я не могу найти зашифрованные файлы.

потом мне их дать на рассмотрение по вышенаписанной инструкции в антивирусную компанию.

и в третьих как потом удалить сей вирус? слышал что его не так просто удалить, чем?


спасибо вам за ваше внимание к моей просьбе.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,390
Симпатии
8,729
Баллы
743
#2
Как узнать - просто считайте все Ваши фотографии и мп3 файлы, и документы - перестали открываться, требуют денег за расшифровку, сменили расширения - вот несколько таких не слишком больших файлов пакуйте в архив и рассылайте вендорам.

Подозреваете заражение милости просим:
http://safezone.cc/forum/forumdisplay.php?f=2
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#3
зацепил подобный вирус от некоего "зверогея"
Это шифровальщик Rector+RSA. Файлы документов перестают открываться, расширение не меняется. Сам шифровальщик после выполнения грязной работы удаляется

Создавайте свою тему, выкладывайте несколько зашифрованных файлов
 

brr7

Активный пользователь
Сообщения
6
Симпатии
1
Баллы
233
#4
спасибо вам за ответы, создам тему, чуть позже в днях, ПК не мой а бухгалтера, руки пока не доходят.

Добавлено через 3 минуты 44 секунды
там суть в чем, бухгалтер (чей ПК заражен), только три дня как с отпуска пришла, я спрашиваю, "какие файлы глючат?" она типа все нормально, но учитывая что документов у нее много, она просто еще не нашла поломку... вот я и спрашивал "где искать" пока она делает регулярные копии файлов.
 

Hotab

Активный пользователь
Сообщения
1,163
Симпатии
300
Баллы
383
#5
brr7, Файлы могу быть не заражены, просто изменена программа для открытия конкретных типов файлов, поэтому могут "глючить" файлы!
 

JustDeal

Активный пользователь
Сообщения
12
Симпатии
1
Баллы
233
#6
если файлы зашифрованы, причем при помощи рса с большим ключом, то их будет проблематично восстановить...
 

brr7

Активный пользователь
Сообщения
6
Симпатии
1
Баллы
233
#7
Вирус от Зверогея

Всем доброго времени суток форумчане! Сегодня начну тему, а затем продолжу, по ходу событий. если конечно кто либо соизволит ответить и помочь мне.

Суть проблемы: словили вирус шифровальщик, от некоего "ЗВЕРОГЕЯ"
при загрузке ОС сразу грузится и открывается послание от этого "зверогея" с его ящиком почтовым, мол свяжитесь. А так же появляется некий сайт с его же оформлением))

и проблема в том, что все нормально открывается, ну не могу я найти зараженные файлы.

Помогите пожалуйсто найти зараженные файлы, чтобы я мог их послать.

спасибо вам за ваше внимание!
 

akok

Команда форума
Администратор
Сообщения
15,634
Симпатии
12,671
Баллы
2,203
#10
Только пока удалять ничего не нужно, а то есть риск потерять информацию. Свободного места на диске случаем не увеличилось?
 

brr7

Активный пользователь
Сообщения
6
Симпатии
1
Баллы
233
#11
Только пока удалять ничего не нужно, а то есть риск потерять информацию. Свободного места на диске случаем не увеличилось?
не смотрел, посмотрю завтра. спасибо за совет.

Добавлено через 2 минуты 18 секунд
Я все таки удалил из автозагрузки эти напоминания (спасибо за совет, а то я тупил, хоть и не впервой). Если что есть копии файлов.

Но мне не понятны последствия вируса! где зараженные файлы то? МР3-открывает, фотки-тоже, где же зараженные файлы? как бы мне их найти то?

Добавлено через 1 минуту 19 секунд
может меня на понт берут? точно должны быть порченные файлы?
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#14
при загрузке ОС сразу грузится и открывается послание от этого "зверогея"
У "начинающих" часто бывают проколы. Послание сварганил, а код, отвечающих за запуск шифровальщика, не дописал. :)
 

brr7

Активный пользователь
Сообщения
6
Симпатии
1
Баллы
233
#15
Ну хоть бы скрин приложили, а то гадаем на гуще. Может и берут на понт.
да я думаю что вы профи, наверняка такие вещи видели, ну вот прям после загрузки вылазит сообщение что файлы зашифрованы и пишите на ящик зверогея. и открывается страница сайта вымогателя.

я просто уже удалил из автозагрузки.

Добавлено через 1 минуту 3 секунды
А система случайно не на виртуалке?
неа, xp-профессионал.

Добавлено через 4 минуты 10 секунд
У "начинающих" часто бывают проколы. Послание сварганил, а код, отвечающих за запуск шифровальщика, не дописал. :)
очень надеюсь что он ошибся, но вообще дурак, за это можно реальный срок получить... с такими познаниями в области ИТ можно деньги зарабатывать честно, или покрайней мере не совершая преступления против человека.

Добавлено через 1 минуту 23 секунды
тем не менее если кто знает конкретно как можно найти испорченные "дороги" файлы, скажите пожалуйсто как искать.

всем спасибо!
 

Кирилл

Команда форума
Администратор
Сообщения
13,548
Симпатии
6,003
Баллы
843
#16
ну... маленькая надежда на вскрытие пциента-если он у вас остался.
вы ведь не можете конкретно сказать был ли у вас реальный шифровальщик,или это был блеф социнженера.
вы вот расскажите,кто и как вируса убивал.
скрин автозагрузки,если вы ключ реестра не удалили.

если вам нужна помощь профи чавось не обратились в раздел лечения?
 
Последнее редактирование:

brr7

Активный пользователь
Сообщения
6
Симпатии
1
Баллы
233
#17
ну... маленькая надежда на вскрытие пциента-если он у вас остался.
вы ведь не можете конкретно сказать был ли у вас реальный шифровальщик,или это был блеф социнженера.
вы вот расскажите,кто и как вируса убивал.
скрин автозагрузки,если вы ключ реестра не удалили.

если вам нужна помощь профи чавось не обратились в раздел лечения?

на удивление я не "убивал вирус" я лишь удалил сообщение из автозагрузки, копии файлов имеются. мне стыдно конечно признать свою малограмотность в этом вопросе, вот я и обращаюсь за советом к вам профессионалам, вот вы бы что сделали если предположить что у вашего знакомого (так как вы подобное даже не зацепите) появился данный вирус от зверогея.

каков должен быть алгоритм моих действий?

файлы-зараженные скинуть, например на форум касперского ибо у меня там лицензия касперского стоит, НО Я НЕ ЗНАЮ КАКИЕ ФАЙЛЫ ЗАРАЖЕНЫ, вот и спрашиваю как их отыскать? может вордовские файлы пощелкать внимательней?

Я так понимаю это не совсем вирус? а просто измененный шифр? или там есть некая программка (на зараженным ПК)?

что мне делать то?

спасибо за внимание, что кстати удивительно, вроде вы с меня денег не имеете, а уделяете время.
 

akok

Команда форума
Администратор
Сообщения
15,634
Симпатии
12,671
Баллы
2,203
#18
Тут поможет только метод "научного тыка". Вспоминаем предупреждение и ищем файлы с "подверженным атаке" расширением. Смотрим дату изменения/создания... что подозрительно пытаемся открыть.

Открывается все важное? Значит пронесло.
 

Rins

Активный пользователь
Сообщения
364
Симпатии
48
Баллы
258
#19
Открывается все важное? Значит пронесло.
Не лишним будет для контроля, перенести данные и попытаться открыть на иной системе.
В сводках мелькала информация о попытках использования штатных средств шифрования операционной системы.
В таком случаи на иной системе файлы будут не доступны для просмотра.
 
Сверху Снизу