ЗООМИР и не только о нем

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.

Вы здесь » ЗООМИР и не только о нем » Внимание!!! » ВИРУС KORSARS@POST.COM

ВИРУС KORSARS@POST.COM

Страница: 1

Сообщений 1 страница 3 из 3

1

  • Автор: AWL
  • Администратор
  • AWL
  • Зарегистрирован: 05-01-2011
  • Сообщений: 19425

http://ib3.keep4u.ru/b/2012/11/25/16/16d3830796bdb8b735896a5d875e55e9.jpg


Приходят письма на почтовые адреса, от коллекторов, от сбербанка или еще какого-либо характера деловые письма - в них находится какая -то нейтральная информация и дальше пишется о том, что подробности в прикрепленном файле. Прикрепляется архивный файл. Все выглядит очень достойно. Вообщем как только распаковываете архив - вылезает троян и зашифровывает все ваши документы, в т.ч. фото ну и т.д. практически все файлы находящиеся у вас на компьютере. При этом вылезает либо картинка на весь рабочий стол - что-то типа - ваши файлы заблокированы, для разблокировки пишите сюда, иногда вот такой стишок приходит -

КОРАБЛЬ НА ЯКОРЬ, ГОСПОДА!
Бонжур комрады ! Вэлком на борт нашей "Чёрной мамбы".
Ваш компьютер взят на абордаж
командой Конголезских пиратов .
Ваши файлы зашифрованы нашим
морским криптографом Намбо Ваном.
Если вы, нежадный белый человек и не
психованный депутат из ЛДПР,
то, мы готовы обменять вашу драгоценную инфу, на жалкие
бумажки именуемые бабками.
Поверьте, бабло зло - отдайте его нам.
Алчных и неадекватных типов за борт.
Весёлым и находчивым скидки.
У вас три дня до отплытия корабля.
Для переговоров собираемся в кают компании, sos на мыло
Номер компании 75474820
KORSARS@POST.COM

Вот такое напоминание потом автоматически выгружается при каждом запуске компа -
для возврата файлов пишите сюда

no4noi_koshmar@yahoo.com

вам присвоен id059 сообщите мне его на почту без знания номера восстановление
файлов будет затруднительно

Если по какой то причине не отвечаю на почту ICQ 400582408

ну или что-то подобное. Смысл в том, что самим дешифровать все файлы незная дешифровщика - практичеки не возможно. Некоторые по частичкам очень трудо затратными способами что-то восстанавливают - далее с вас просто просят денег - при чем не малых - иногда это 5 т.р., иногда 10 т.р. И когда вы оплачиваете присылают вам дешифровщик.

Переустановка винды в таких случаях не помогает!

Вообщем будьте очень и очень бдительны и осторожны - открывайте файлы только тех людей, которых вы знаете.

более подробно об этой гадости можно почитать вот здесь -
http://forum.kaspersky.com/index.php?sh … mp;st=1540

2

  • Автор: AWL
  • Администратор
  • AWL
  • Зарегистрирован: 05-01-2011
  • Сообщений: 19425

Советы к этой напасти:

Доброго всем. Только за последнюю пару месяцев два клиента поймали такого же типа шлак, в одном случае расширения менялись на .EBF, в другом на .PANZER.

1) Оба случая - Windows 2003 с включенным терминальным сервером, простыми паролями у юзеров ("а мне так удобнее", "а зачем сложнее?") и выключенными обновлениями (без комментариев).
2) По последнему случаю (.PANZER), в результате анализа логов системы, браузера и NOD32 (был установлен на сервере, о нем позже) удалось накопать следующее.

Примерный алгоритм "работы" трояна -- сначала юзер где-то хапает троян-загрузчик (на своем пк или под учеткой на терминале), который скидывает кому-то доступы на терминальник (возможно, была еще использована какая-то из уязвимостей в RDP).

Затем злоумышленник заходит под учеткой юзера (руками или скриптом - неважно, скорее всего вручную), запускает браузер, качает с файлопомойки (в последнем случае - sendspace.com) троян (причем качает сразу неархивированный PANZER_**.exe,) , запускает его. Троян шифрует не все "документы, изображения и бухгалтерию", а только те, на какие хватит прав доступа учетки юзера.

Отдельно доставил NOD32. Спокойно дал запуститься шифратору и, пока тот отрабатывал, старательно зачищал (до полной невозможности восстановления даже с GetDataBack) ВСЕ файлы HOW TO DECRYPT FILES.txt . При том что сами .txt опасности не представляют - обычный текст, меньше килобайта. Троян или самозачистился после работы, или нод его зачистил уже позже, восстановить также не удалось.

Итого, если у вас нет желания стать жертвой шифраторов:
1. Бэкапы, бэкапы, и еще раз бэкапы. В отдельную папку или отдельный диск, полный доступ к которым любого процесса и любого юзера, кроме софта для бэкапа, запрещен. Если нет возможности или времени настраивать бэкап, настройте теневые копии - лучше, чем ничего, но 100% гарантии не дает. RAID - это не бэкап.
2. Настраивайте разрешения NTFS на доступ. Юзер с правами админа, бегающий по сомнительным сайтам - с большой вероятностью добегается.
3. Ставьте обновления. И сложные пароли.
4. Фильтруйте траффик. Запретите скачивание исполняемых файлов, вручную контролируйте исполнение скриптов в браузере (мой выбор - Firefox+NoScript). "Все, что не разрешено - запрещено".
5. Антивирус - любой - не панацея. И не лекарство. В ряде случаев он может не помочь, а навредить. Повышайте собственную грамотность и образованность в сфере ИТ - это надежнее.

3

  • Автор: AWL
  • Администратор
  • AWL
  • Зарегистрирован: 05-01-2011
  • Сообщений: 19425

1. Скачайте http://support.kaspersky.ru/faq/?qid=208638517
2. Скопируйте зашифрованные файлы в отдельную папку
3. Запустите так из командной строки

Страница: 1

Вы здесь » ЗООМИР и не только о нем » Внимание!!! » ВИРУС KORSARS@POST.COM