Главная страница
Вход
Логин: Пароль:Забыли пароль?
Запомнить вас на этом компьютере?

Здравствуйте, гость ( Вход | Регистрация )

Скрыть объявления

Объявления

Форумы в Telegram - @vladforum С темами, всё как на форуме, только в Telegram!

> CRYPTED000007, расшифровывается?
plotra
сообщение 25.7.2017, 16:45
Сообщение #1


Постоянный посетитель

Возраст: 39
Группа: Пользователи 
Сообщений: 17 162
Регистрация: 4.10.2006
Из: владимир
Пользователь №: 14 205
Вставить ник Цитата


Ребят, шифровальщика поймали. ААААААААААА чё делать?))))


--------------------
тебя оскорбили-забудь, тебя унизили-прости, тебя ударили - вспомни, всё вспомни и убей нахрен!!!!
Перейти в начало страницы
 
+Цитировать сообщение
 
Начать новую тему
Ответов (1 - 15)
SiDney
сообщение 25.7.2017, 16:54
Сообщение #2


old rasta

Возраст: 46
Группа: Пользователи 
Сообщений: 20 418
Регистрация: 16.7.2004
Пользователь №: 6 453
Вставить ник Цитата


Цитата(plotra @ 25.7.2017, 16:45) *
Ребят, шифровальщика поймали. ААААААААААА чё делать?))))


куда поймали-то?
на сервер 1С? )


--------------------
A rolling stone gathers no moss.
Перейти в начало страницы
 
+Цитировать сообщение
TBP*Ice
сообщение 25.7.2017, 17:00
Сообщение #3


Big Boss, legendary mercenary

Возраст: 100
Группа: Пользователи 
Сообщений: 11 334
Регистрация: 31.1.2003
Из: Владимир
Пользователь №: 2 373
Вставить ник Цитата


Цитата(plotra @ 25.7.2017, 17:45) *
Ребят, шифровальщика поймали. ААААААААААА чё делать?))))

Только сегодня выезжал в одну контору в яму с такой же фигней.
Хрен что сделаешь на самом деле.
Но кое-что можно сделать.
1. https://www.nomoreransom.org/ заходишь сюда, кидаешь 2 файлика шифрованных, потом файлик с требованями от злодея и сайт тебе показывает, есть ли дешифратор на это дело. Если есть - качаешь и пробуешь, нет - ну значит так.
2. Были ли у тебя shadow copy включены, если были - то можно восстановить, кликнув по зараженной папке/файлу правой кнопкой "Свойства", "Предыдущие версии".
3. Прогой photorec https://www.cgsecurity.org/wiki/TestDisk_Download можно попробовать восстановить удаленные файлы, только надо восстанавливать на другой физический или хотя бы логический диск.


--------------------
Перейти в начало страницы
 
+Цитировать сообщение
BEAST23
сообщение 25.7.2017, 17:08
Сообщение #4


Серверные комплекты на xeon в наличии и под заказ :)

Группа: Пользователи 
Сообщений: 33 655
Регистрация: 5.3.2007
Пользователь №: 16 498
Вставить ник Цитата


Цитата(plotra @ 25.7.2017, 16:45) *
Ребят, шифровальщика поймали. ААААААААААА чё делать?))))

Делать архивные копии с паролем на яндекс диск, сменить антивирус)))))

Сообщение отредактировал BEAST23 - 25.7.2017, 17:09


--------------------
Серверные комплекты (2011v1, v2, 1366), корпуса, память, процессоры в наличии и под заказ :)
Перейти в начало страницы
 
+Цитировать сообщение
plotra
сообщение 25.7.2017, 17:25
Сообщение #5


Постоянный посетитель

Возраст: 39
Группа: Пользователи 
Сообщений: 17 162
Регистрация: 4.10.2006
Из: владимир
Пользователь №: 14 205
Вставить ник Цитата


Цитата(SiDney @ 25.7.2017, 17:54) *
куда поймали-то?

На рабочую станцию


--------------------
тебя оскорбили-забудь, тебя унизили-прости, тебя ударили - вспомни, всё вспомни и убей нахрен!!!!
Перейти в начало страницы
 
+Цитировать сообщение
BEAST23
сообщение 25.7.2017, 17:26
Сообщение #6


Серверные комплекты на xeon в наличии и под заказ :)

Группа: Пользователи 
Сообщений: 33 655
Регистрация: 5.3.2007
Пользователь №: 16 498
Вставить ник Цитата


Цитата(plotra @ 25.7.2017, 17:25) *
На рабочую станцию

От сети-то ее отключили?


--------------------
Серверные комплекты (2011v1, v2, 1366), корпуса, память, процессоры в наличии и под заказ :)
Перейти в начало страницы
 
+Цитировать сообщение
plotra
сообщение 25.7.2017, 17:33
Сообщение #7


Постоянный посетитель

Возраст: 39
Группа: Пользователи 
Сообщений: 17 162
Регистрация: 4.10.2006
Из: владимир
Пользователь №: 14 205
Вставить ник Цитата


Цитата(BEAST23 @ 25.7.2017, 18:26) *
От сети-то ее отключили?

Да, надеюсь что не поздно.


--------------------
тебя оскорбили-забудь, тебя унизили-прости, тебя ударили - вспомни, всё вспомни и убей нахрен!!!!
Перейти в начало страницы
 
+Цитировать сообщение
BEAST23
сообщение 25.7.2017, 17:34
Сообщение #8


Серверные комплекты на xeon в наличии и под заказ :)

Группа: Пользователи 
Сообщений: 33 655
Регистрация: 5.3.2007
Пользователь №: 16 498
Вставить ник Цитата


Цитата(plotra @ 25.7.2017, 17:33) *
Да, надеюсь что не поздно.

Из антивирусов рекомендую обновленный quihoo 360, ловит у меня у бухов подобные шифровальщики регулярно.. smile.gif


--------------------
Серверные комплекты (2011v1, v2, 1366), корпуса, память, процессоры в наличии и под заказ :)
Перейти в начало страницы
 
+Цитировать сообщение
plotra
сообщение 25.7.2017, 17:35
Сообщение #9


Постоянный посетитель

Возраст: 39
Группа: Пользователи 
Сообщений: 17 162
Регистрация: 4.10.2006
Из: владимир
Пользователь №: 14 205
Вставить ник Цитата


Цитата(TBP*Ice @ 25.7.2017, 18:00) *
Только сегодня выезжал в одну контору в яму с такой же фигней.
Хрен что сделаешь на самом деле.
Но кое-что можно сделать.
1. https://www.nomoreransom.org/ заходишь сюда, кидаешь 2 файлика шифрованных, потом файлик с требованями от злодея и сайт тебе показывает, есть ли дешифратор на это дело. Если есть - качаешь и пробуешь, нет - ну значит так.
2. Были ли у тебя shadow copy включены, если были - то можно восстановить, кликнув по зараженной папке/файлу правой кнопкой "Свойства", "Предыдущие версии".
3. Прогой photorec https://www.cgsecurity.org/wiki/TestDisk_Download можно попробовать восстановить удаленные файлы, только надо восстанавливать на другой физический или хотя бы логический диск.

1 - нет требований(((( просто забанили и все. Никаких readme нету
2 - теневых копий нет
3 - в смысле удаленные файлы? Имеется ввиду, что вирь потёр оригинальные файлы и записал поверх них зашифрованные?

Цитата(BEAST23 @ 25.7.2017, 18:34) *
Из антивирусов рекомендую обновленный quihoo 360, ловит у меня у бухов подобные шифровальщики регулярно.. smile.gif

У нас нод корпоративный.


--------------------
тебя оскорбили-забудь, тебя унизили-прости, тебя ударили - вспомни, всё вспомни и убей нахрен!!!!
Перейти в начало страницы
 
+Цитировать сообщение
BEAST23
сообщение 25.7.2017, 17:36
Сообщение #10


Серверные комплекты на xeon в наличии и под заказ :)

Группа: Пользователи 
Сообщений: 33 655
Регистрация: 5.3.2007
Пользователь №: 16 498
Вставить ник Цитата


Цитата(plotra @ 25.7.2017, 17:35) *
У нас нод корпоративный.

Нод ниче не видит. Тупой он

Что делать разжевано еще тут:
http://itsecurity-ru.com/viruses/crypted000007


--------------------
Серверные комплекты (2011v1, v2, 1366), корпуса, память, процессоры в наличии и под заказ :)
Перейти в начало страницы
 
+Цитировать сообщение
TBP*Ice
сообщение 25.7.2017, 18:06
Сообщение #11


Big Boss, legendary mercenary

Возраст: 100
Группа: Пользователи 
Сообщений: 11 334
Регистрация: 31.1.2003
Из: Владимир
Пользователь №: 2 373
Вставить ник Цитата


Цитата(plotra @ 25.7.2017, 18:35) *
3 - в смысле удаленные файлы? Имеется ввиду, что вирь потёр оригинальные файлы и записал поверх них зашифрованные?

Вирусы такие ведь как работают в упрощенном виде.
У тебя есть файлик который занимает 300 файловых блоков , скажем с 2001 по 2300 блок.
Вирус делает шифрованную версию файлика, которая скажем занимает с 2301 по 2600 блок.
Потом он удаляет оригинальный файлик, но удаляется обычно ссылка на этот файлик, но не сам файл и вот эти 2001 по 2300 блок как бы пустые, но на самом деле нет.
И вот его-то можно восстановить.
Ну тоже самое как ты сделаешь быстрое форматирование, а потом все равно можно восстановить часть файлов прогами типа R-studio.
Примерно как-то так.


--------------------
Перейти в начало страницы
 
+Цитировать сообщение
baseq3
сообщение 25.7.2017, 20:43
Сообщение #12


Новенький

Группа: Пользователи 
Сообщений: 9 614
Регистрация: 9.9.2002
Пользователь №: 1 805
Вставить ник Цитата


Цитата(TBP*Ice @ 25.7.2017, 18:06) *
У тебя есть файлик который занимает 300 файловых блоков , скажем с 2001 по 2300 блок.
Вирус делает шифрованную версию файлика, которая скажем занимает с 2301 по 2600 блок.
Потом он удаляет оригинальный файлик, но удаляется обычно ссылка на этот файлик, но не сам файл и вот эти 2001 по 2300 блок как бы пустые, но на самом деле нет.

вирус не будет файлы копировать, он просто будет шифровать кусок файла с определенной периодичностью, так быстрее и проще делать.
да и на ссдшке ничего не поднимается этими прогами, такова суть работы ссд, кидать все в разные блоки.
исходя из этого можно сделать вывод что картинки поднять можно, они будут чуть с помехами но изображение останется
а вообще если вовремя выключить комп, пока вирус не завершил работу, можно найти сигнатуру и батник который шифрует файлы.
но потом надо заставить раскодировать это все обратно, а это уже не просто.
лаборатория касперского вроде бесплатно клиентам расшифровывала файлы, если не сложный алгоритм и нет ошибок кодирования.
бывает так что вирус кодирует с ошибкой и назад пути нет




Цитата(BEAST23 @ 25.7.2017, 17:34) *
Из антивирусов рекомендую обновленный quihoo 360, ловит у меня у бухов подобные шифровальщики регулярно.. smile.gif

херовый у тебя антивирус.
нужно чтобы все скрипты на входе ловил, а не тела шифровальщиков уже скачанных тебе на комп
Перейти в начало страницы
 
+Цитировать сообщение
BEAST23
сообщение 26.7.2017, 6:22
Сообщение #13


Серверные комплекты на xeon в наличии и под заказ :)

Группа: Пользователи 
Сообщений: 33 655
Регистрация: 5.3.2007
Пользователь №: 16 498
Вставить ник Цитата


Так он на входе ловит, а не на выходе..)


--------------------
Серверные комплекты (2011v1, v2, 1366), корпуса, память, процессоры в наличии и под заказ :)
Перейти в начало страницы
 
+Цитировать сообщение
plotra
сообщение 26.7.2017, 9:20
Сообщение #14


Постоянный посетитель

Возраст: 39
Группа: Пользователи 
Сообщений: 17 162
Регистрация: 4.10.2006
Из: владимир
Пользователь №: 14 205
Вставить ник Цитата


Цитата(baseq3 @ 25.7.2017, 21:43) *
вирус не будет файлы копировать, он просто будет шифровать кусок файла с определенной периодичностью, так быстрее и проще делать.

Ну да, полностью копировать, да ещё если они мелкие и их много, это очень долго...


--------------------
тебя оскорбили-забудь, тебя унизили-прости, тебя ударили - вспомни, всё вспомни и убей нахрен!!!!
Перейти в начало страницы
 
+Цитировать сообщение
nikitos35
сообщение 26.7.2017, 9:33
Сообщение #15


Постоянный посетитель

Возраст: 39
Группа: Пользователи 
Сообщений: 1 470
Регистрация: 9.7.2009
Пользователь №: 68 419
Вставить ник Цитата


Цитата(baseq3 @ 25.7.2017, 21:43) *
а вообще если вовремя выключить комп,

Для ваннакрая не рекомендуют ПК перезагружать, т.к. в ОЗУ хранится ключ дешифратора


--------------------
QIP 363-467-364
Перейти в начало страницы
 
+Цитировать сообщение
baseq3
сообщение 26.7.2017, 14:22
Сообщение #16


Новенький

Группа: Пользователи 
Сообщений: 9 614
Регистрация: 9.9.2002
Пользователь №: 1 805
Вставить ник Цитата


Цитата(BEAST23 @ 26.7.2017, 6:22) *
Так он на входе ловит, а не на выходе..)

короче ты тормоз )
Перейти в начало страницы
 
+Цитировать сообщение

  Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 




RSS       Политика конфиденциальности
Легкая версия