Не рабочий сегодня день

Сегодня придя на работу, бухгалтер встала в ступор и с криками, все пропало!!! Пошла пить чай на весь день. Причиной внепланового чаепития стал вирус- шифровальщик crypted000007...

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

Не медля я открыл этот файл и увидел что собственно хочет разработчик данного шифрования

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

Просмотрев несколько форумов таких как, Каспеский и dr.web, паника началась и у меня, разработчик все зашифровал в системе RSA-3072. Пройдя по ссылке которая указана в .txt от разраба, перед мной предстал сайт связи с террористом

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

Написав в форме обратной связи, если её можно так назвать, обращение, я решил пока он не ответит на почту просвятится и узнать что же за метод RSA шифрования, оказывается все началось в августе 1977 года в колонке «Математические игры» Мартина Гарднера в журнале Scientific American, с разрешения Рональда Ривеста появилось первое описание криптосистемы RSA. Читателям также было предложено дешифровать английскую фразу, зашифрованную описанным алгоритмом:

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

В качестве открытых параметров системы были использованы числа n=1143816...6879541 (129 десятичных знаков, 425 бит, также известно как RSA-129) и e=9007. За расшифровку была обещана награда в 100 долларов США. По заявлению Ривеста, для факторизации числа потребовалось бы более 40 квадриллионов лет. Однако чуть более чем через 15 лет, 3 сентября 1993 года было объявлено о старте проекта распределённых вычислений с координацией через электронную почту по нахождению сомножителей числа RSA-129 и решению головоломки. На протяжении полугода более 600 добровольцев из 20 стран жертвовали процессорное время 1600 машин (две из которых были факс-машинами. В результате были найдены простые множители и расшифровано исходное сообщение, которое представляет собой фразу «THE MAGIC WORDS ARE SQUEAMISH OSSIFRAGE» («Волшебные слова — это брезгливый ягнятник»). 

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

Это и есть ягнятник

Вообщем просвятится я знатно, и понял что данный орешек просто так не расколоть, и так и не дождался ответа на почту от разработчика данного вируса...
Буду ждать. О результатах если интересно напишу в следующем посту.

P.S вирус довольно новый, активный, предупредите своих знакомых, коллег и всех всех, нельзя открывать подозрительные письма на почте и уж тем более не переходить по ссылкам в них! Обязательно пользоваться антивирусом, и открывать только знакомые сайты. Нам это послужило уроком, а вам желаем научится на наших ошибках.

Вы смотрите срез комментариев. Показать все
5
DELETED
Автор поста оценил этот комментарий

Вот разбор этого товарища от ESET https://habr.com/ru/company/eset/blog/437982.
Сборка обновляется постоянно, утром ночными базами антивирусов может не детектиться.
Периодически то аттачи с архивами присылают, то письма с ссылками на мэйл.ру облако.
Сам столкнулся с ним по осени на работе. Используется самые уязвимые уязвимости - кожаные ублюдки.
Мне это хозяйство всё досталось от предшественника со словами:

Не ссы, у нас там теневые копии настроены, уже ловили шифровальщика, откатываешься - и всё в шоколаде

Бухгалтер открыла аттач, никому ничего не сказала и ушла домой не выключив комп.

В результате за ночь пошифровало и комп бухгалтера, и начали шифроваться файлы на сетевых папках (благо комп не сильно шустрый, не развернуться на всю было).
Каково же было наше удивление, когда мы поняли, что этот малварь ещё и теневые копии за собой затёрла любезно.
Тут одними бэкапами на 100% не защититься. Резать права, UAC выкручивать, доступы к ресурсам разграничивать, делать бэкапы, информировать юзверей (причём не просто информировать, а долбить ежедневно, чтобы на подкорке откладывалось), обновлять ПО (к слову Win10 эту заразу сразу убивает), дохера работы.

раскрыть ветку (5)
4
DELETED
Автор поста оценил этот комментарий

А вот, кому интересно, архив с дешифровщиком https://drive.google.com/open?id=1Vq1ywJ2N73la8SiLOGumcE7Cni... (пароль от архива 12). Отдал 0,03BTC. Этот упырь ещё советы по ИБ даёт.

2
Автор поста оценил этот комментарий

Вы храните бэкапы на том же устройстве, с которого их делаете? =.=

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

Не храним, их не было фактически. Теперь есть уже. Второй раз уже не попадёмся.

DELETED
Автор поста оценил этот комментарий

Собсна вот такие письма, свежак.

Иллюстрация к комментарию
раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Каким же надо быть отбитым, чтобы открывать письмо от табачки (если вы не работаете с табачкой), у которой не совпадает подпись и имейл + ещё ссылка о которой вы не договаривались...

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку