Необходимо войти или зарегистрироваться

Авторизация

Введите логин, email или номер телефона, начинающийся с символа «+»
Забыли пароль? Регистрация

Новый пароль

Авторизация

Восстановление пароля

Авторизация

Регистрация

Выберите, пожалуйста, ник на пикабу
Номер будет виден только вам.
Отправка смс бесплатна
У меня уже есть аккаунт с ником Отменить привязку?

Регистрация

Номер будет виден только вам.
Отправка смс бесплатна
Создавая аккаунт, я соглашаюсь с правилами Пикабу и даю согласие на обработку персональных данных.
Авторизация

Пост

Пост

Не рабочий сегодня день

Relaxers

Сегодня придя на работу, бухгалтер встала в ступор и с криками, все пропало!!! Пошла пить чай на весь день. Причиной внепланового чаепития стал вирус- шифровальщик crypted000007...

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

Не медля я открыл этот файл и увидел что собственно хочет разработчик данного шифрования

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

Просмотрев несколько форумов таких как, Каспеский и dr.web, паника началась и у меня, разработчик все зашифровал в системе RSA-3072. Пройдя по ссылке которая указана в .txt от разраба, перед мной предстал сайт связи с террористом

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

Написав в форме обратной связи, если её можно так назвать, обращение, я решил пока он не ответит на почту просвятится и узнать что же за метод RSA шифрования, оказывается все началось в августе 1977 года в колонке «Математические игры» Мартина Гарднера в журнале Scientific American, с разрешения Рональда Ривеста появилось первое описание криптосистемы RSA. Читателям также было предложено дешифровать английскую фразу, зашифрованную описанным алгоритмом:

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

В качестве открытых параметров системы были использованы числа n=1143816...6879541 (129 десятичных знаков, 425 бит, также известно как RSA-129) и e=9007. За расшифровку была обещана награда в 100 долларов США. По заявлению Ривеста, для факторизации числа потребовалось бы более 40 квадриллионов лет. Однако чуть более чем через 15 лет, 3 сентября 1993 года было объявлено о старте проекта распределённых вычислений с координацией через электронную почту по нахождению сомножителей числа RSA-129 и решению головоломки. На протяжении полугода более 600 добровольцев из 20 стран жертвовали процессорное время 1600 машин (две из которых были факс-машинами. В результате были найдены простые множители и расшифровано исходное сообщение, которое представляет собой фразу «THE MAGIC WORDS ARE SQUEAMISH OSSIFRAGE» («Волшебные слова — это брезгливый ягнятник»). 

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

Это и есть ягнятник

Вообщем просвятится я знатно, и понял что данный орешек просто так не расколоть, и так и не дождался ответа на почту от разработчика данного вируса...
Буду ждать. О результатах если интересно напишу в следующем посту.

P.S вирус довольно новый, активный, предупредите своих знакомых, коллег и всех всех, нельзя открывать подозрительные письма на почте и уж тем более не переходить по ссылкам в них! Обязательно пользоваться антивирусом, и открывать только знакомые сайты. Нам это послужило уроком, а вам желаем научится на наших ошибках.

230 комментариев
Аватар пользователя taygeddar taygeddar
+133

А backup делают только трусы )

+133
раскрыть ветку 47
Aesma
+28

backup, ага)))
Есть у нас клиент, который в прошлом году поймал подобный вирус. Вирус расползся по всей сети и сожрал все базы 1С.
Главбух в панике звонит админу и говорит "Боря усё пропало!!!"....
А Боря так спокойно "Та херня...копии же делали".
Главбух: "Да? а где эти копии?"
Боря: "эээм...на этих же самых компах"

XD пришлось вытаскивать копии трёхмесячной давности, у нас оставались. Они и этому рады были.

+28
раскрыть ветку 3
unflappable995
+1

к нам подобный вирус засылают по КД на почту всем сотрудникам, кто нить да схватит, что помогает так это то что он не распространяется по сети, хотя и настроена сеть с правами доступа для таких случаев.

+1
Аватар пользователя DmitrixBoroda DmitrixBoroda
0
Но ведь бэки должны улетать на другой серв, который никсовый...
0
раскрыть ветку 1
Аватар пользователя trdm trdm
+60

Админов нанимают дураки.

+60
раскрыть ветку 2
Аватар пользователя DmitrixBoroda DmitrixBoroda
+7
Ведь сын бухгалтера умеет все настраивать...
+7
раскрыть ветку 1
Аватар пользователя Ruben4ik Ruben4ik
+37

Я когда работал эникейщиком подобный вирус зашифровал файлы на наших сетевых дисках. Бэкапы делались для всего, кроме файлообменника. Кто же знал, что сотрудники используют его для хранения вообще всего важного ¯\_(ツ)_/¯

Впрочем, век живи - век учись. Мне тогда помогли с расшифровкой ребята из dr.web. Правда пришлось купить лицензию.

+37
раскрыть ветку 7
RostWot
+24

Когда то давно, первый месяц своей первой работы я узнал, что пользователи могут хранить важные файлы даже в корзине)

+24
раскрыть ветку 1
Аватар пользователя JScoff JScoff
+6

потому что нужно следовать правилу 3-2-1:


ТРИ резервные копии, которые должны быть сохранены в ДВУХ различных физических форматах хранения, причем ОДНА из копий, должна быть передана на внеофисное хранение


Меня это в свое время здорово выручило - офис и серверная производственной компании стояли в старом здании, на этаэ выше лопнула ночью труба. В итоге утром половина офиса плавало натурально. Поумирала половина компов + все серваки кроме резервных (стояли выключенные, после купания в изопропиле завелись без проблем).


Очень спасло то, что за пол-года до этого я директора уговорил поднять у него дома маленький nas в кладовке, и туда сливал бэкапы + недельный бэкап сливался на внешник, который хранился у директора в сейфе.


С восстановлением пришлось повозиться, но все данные были на месте в конце концов =)

+6
раскрыть ветку 4
Аватар пользователя Relaxers Relaxers
-41
Данный вирус стирает даже теневые файлы, о чем вы??
-41
раскрыть ветку 31
Аватар пользователя NikTux NikTux
+15

О бэкапах, блядь, о чём ещё?

Какие нахуй теневые файлы?

+15
раскрыть ветку 1
Аватар пользователя taygeddar taygeddar
+21

Образ жёсткого делать надо периодически, у меня этим занимается acronis, образы падают на сервак.

+21
раскрыть ветку 23
Аватар пользователя NikTux NikTux
+3

Резервеые копии на других носителях, облачных сервисах и прочее.

+3
раскрыть ветку 1
Аватар пользователя Corovaner Corovaner
+1

Довольно новый вирус? С подключением.

+1
раскрыть ветку 1
RostWot
0
Все рабочие файлы на серверах в dfs. С серверов ежесуточно делаются 3 копии: образы на отдельный бекапный сервак, и архивы всех данных на nas и в облако. С компов раз в сутки снимаются образы акронисом в nas. Сейчас думаю еще один nas докупить -- что бы первый бекапить.
0
ещё комментарии
Johnet
+31
Вирус далеко не новый. Мне попадался года 3 назад. К счастью ничего сверхважного не пострадало. Вирус распространяется в виде вложений к почте типа актов сверок и др. Бух документов, только вложенный файл - исполняемый (.ехе). Посему сейчас никогда не отключаю службу запрещающую программам вносить изменения в системные файлы. Хоть какое то время есть одуматься, почему самораспаковывающийся архив вдруг решил полезть куда то не туда. Все зараженный файлы удалял безжалостно (пострадали даже сетевые папки). Винт под форматирование и переустановку винды. Бэкап наше все. Насколько я знаю, ни одна контора не берется дешифровать файлы. Можете попробовать заплатить деньги злоумышленнику, но 100% кинут.
+31
раскрыть ветку 8
Аватар пользователя VLight VLight
+15

Я наоборот читал что не кидают, это же не выгодно. Если разработчик не школьник конечно, ему выгоднее брать деньги, давать ключ на дешифровку.

+15
Аватар пользователя korn92 korn92
+6
но 100% кинут.
Ровно наоборот. Проверено уже несколько раз разными знакомыми, что попали. Даже торговаться удавалось. Все разы все проходило нормально и присылали код для расшифровки. Им выгодно соблюдать условия. Это вам не баннер на рабочем столе, который можно отрубить и/или снести. Тут все четко.
+6
Tabletkin91
-3

Касперские помогают без проблем, если нормальный партнёр

-3
раскрыть ветку 5
Аватар пользователя korn92 korn92
+1

Хрен там было. Ни одна из компаний с этим не справляется. Ни вэб, ни Касперский. В это особенность шифрования. Даже для купивших полный пакет их под офис не спасает от шифровальщика. Они не могут ничего ни до шифрования, ни после.

+1
раскрыть ветку 4
Аватар пользователя toykillah toykillah
+48

Админы делятся на тех, кто не делает бэкапы и тех, кто уже делает.

+48
раскрыть ветку 4
lorder.ru
+32

В данном случае не так.

Руководители делятся на тех, кто говорит "нахер мне админ нужен, бездельничать. Принтер мне и племянник подключить сможет.", и тех, где племянник уже огреб.

+32
topnotch
+9

еще есть те, кто бэкапы не проверяет потом, и уже проверяет.

+9
Аватар пользователя cMax cMax
+1

нет, вот так: "Админы делятся на тех, кто еще не делает бэкапы и тех, кто уже делает"

+1
раскрыть ветку 1
amxs
+5

и на тех кто бекапы регулярно проверяет

+5
Аватар пользователя Apex8 Apex8
+9
Ну антивирусы криптошифровальщика пропустят, т.к это добровольная защита данных. А какие данные архи важные могут быть на компе буха? Доки все на сетевом хр, базы на серваке
+9
раскрыть ветку 2
Goodwall
+5

Доступные сетевые папки он тоже шифрует

+5
Аватар пользователя faktor faktor
+3

Думаешь туда он не достанет?

+3
Аватар пользователя LeReve LeReve
+17

Он на столько "новый" что уже в 2017 году был!

+17
ещё комментарии
Аватар пользователя ilushabuhinich ilushabuhinich
+5

Вот разбор этого товарища от ESET https://habr.com/ru/company/eset/blog/437982.
Сборка обновляется постоянно, утром ночными базами антивирусов может не детектиться.
Периодически то аттачи с архивами присылают, то письма с ссылками на мэйл.ру облако.
Сам столкнулся с ним по осени на работе. Используется самые уязвимые уязвимости - кожаные ублюдки.
Мне это хозяйство всё досталось от предшественника со словами:

Не ссы, у нас там теневые копии настроены, уже ловили шифровальщика, откатываешься - и всё в шоколаде

Бухгалтер открыла аттач, никому ничего не сказала и ушла домой не выключив комп.

В результате за ночь пошифровало и комп бухгалтера, и начали шифроваться файлы на сетевых папках (благо комп не сильно шустрый, не развернуться на всю было).
Каково же было наше удивление, когда мы поняли, что этот малварь ещё и теневые копии за собой затёрла любезно.
Тут одними бэкапами на 100% не защититься. Резать права, UAC выкручивать, доступы к ресурсам разграничивать, делать бэкапы, информировать юзверей (причём не просто информировать, а долбить ежедневно, чтобы на подкорке откладывалось), обновлять ПО (к слову Win10 эту заразу сразу убивает), дохера работы.

+5
раскрыть ветку 5
Аватар пользователя ilushabuhinich ilushabuhinich
+4

А вот, кому интересно, архив с дешифровщиком https://drive.google.com/open?id=1Vq1ywJ2N73la8SiLOGumcE7Cni... (пароль от архива 12). Отдал 0,03BTC. Этот упырь ещё советы по ИБ даёт.

+4
Аватар пользователя qscrf qscrf
+2

Вы храните бэкапы на том же устройстве, с которого их делаете? =.=

+2
раскрыть ветку 1
Аватар пользователя ilushabuhinich ilushabuhinich
0

Не храним, их не было фактически. Теперь есть уже. Второй раз уже не попадёмся.

0
Аватар пользователя ilushabuhinich ilushabuhinich
0

Собсна вот такие письма, свежак.

Иллюстрация к комментарию
0
раскрыть ветку 1
Аватар пользователя Meower88 Meower88
+1

Каким же надо быть отбитым, чтобы открывать письмо от табачки (если вы не работаете с табачкой), у которой не совпадает подпись и имейл + ещё ссылка о которой вы не договаривались...

+1
kermjen19
+5

тоже ловил такой шифровальщик. Отписался на форуме касперского, там написали, что дешифровка не возможна, они могут помочь ТОЛЬКО с удалением вируса. Связался с хакером, он попросил 0,3 биткоина, мы заплатили, он отправил дешифратор, я расшифровал часть файлов, большие архивы не расшифровались. Вот и всё. У нас был косяк, т.к. сеть большая, то шифровальщик был запущен с нескольких компьютеров и коды (id) были разные. На каждый id они требовали 0.3 биткоина. В общем, делайте бэкапы, не запускайте файлы с почты и создавайте сложные пароли на RDP.

+5
раскрыть ветку 4
Аватар пользователя PACCTPEJI9ITb PACCTPEJI9ITb
+2

Меняйте дефолтные порты на RDP, правильная настройка брандмаузера/файрвола сразу снимает 90% проблем. Ну и бекапы по любому.

+2
раскрыть ветку 3
Аватар пользователя DaimosShip DaimosShip
0

Смена портов RDP бесполезная тема - сканят и находят их по новым адресам.

0
раскрыть ветку 2
Аватар пользователя Makkov Makkov
+5

тревожная тема. Надеюсь разрешится хорошо.

+5
раскрыть ветку 18
Аватар пользователя Relaxers Relaxers
-1
А куда можно обратится за помощью? Здесь есть кто нибудь из людей кто знает толк в расшифровке или программисты rsa?
-1
раскрыть ветку 17
hardcore880
+15

реализации RSA, как правило, имеют приватный и публичный ключи. Как в мессенджерах. По приватному ключу можно только расшифровать данные, а по публичному- зашифровать. Так работают мессенджеры (только в обратном порядке). И тут два варианта:

1. Пара ключей генерится в момент начала шифрования на машине и приватный ключ отправляется автору

2. В начале шифрования червь получает с сервака публичный ключ и шифрует им файлы.


Вообще шансов мало, но вот что можете попробовать:

1. Попробовать поискать ключик рядом с бинарниками червя (или appdata\реестре). Разрабу хочется светиться как можно меньше, потому, возможно, передачи ключа и не было, и он лежит где-то на жестком, и прога о нем вспоминает после введения одного и того же ключевого слова. Если найден ключ- попробовать применить с ним на файлах любую прогу, которая умеет RSA (в самом черве это делать бесполезно)

2. Возможно, rsa вообще не применялся а шифруются\искажаются только заголовки (он же сработал быстро, а применять полноценный RSA на все файлы- работа не на одни сутки). Проверьте это на любом ранее известном Вам файле hex-редактором или блокнотом.


В остальном- либо обращаться к грамотному спецу, либо забыть файлы и делать бекапы\пользоваться облаком.


P.S. Я- не программист RSA (таких нет), по работе нужно разбираться в ИБ

+15
раскрыть ветку 4
Аватар пользователя PerfectPlace PerfectPlace
+10

лучше потратить ваши силы на предотвращение подобного в будущем. Даже если вы вышлите выкуп, это не даст вам никакой гарантии что получите код расшифровки, но увеличит вероятность шантажа и повторения ситуации в дальнейшем.

+10
Аватар пользователя NoTY NoTY
+3

мне помогли на форуме https://www.bleepingcomputer.com. примерно 4 дня занял поиск ключа, ловил шифровальщик WhiteRose

+3
раскрыть ветку 2
Аватар пользователя Jordex Jordex
+3
Программисты rsa? Ха-ха) там нужно брутить, но это может занять пару сотен лет) Поэтому тут либо забить на все, либо платить. Во втором варианте есть риск, что после оплаты также все и останется.

И научите коллег не скачивать что попало)
+3
раскрыть ветку 1
Аватар пользователя Makkov Makkov
+2

я бы смирился с потерей данных, расходы вычел из пользователя пк, настроил бэкапы.

+2
раскрыть ветку 5
Похожие посты
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: