Форум OlegON > Компьютеры и Программное обеспечение > Операционные системы и программное обеспечение > Windows

ВНИМАНИЕ: Вирус шифровальщик данных на базе RSA-1024 : Windows

29.03.2024 13:35


20.10.2014 07:30
aldemko
 
С сарафанной почтой, по высокоскоростным сетям передачи данных, пришла новость о новом вирусе, проникающем в систему и сканирующим файловую структуру и сетевые диски на наличие определенных файлов по маске расширений, т.е выискивает документы Microsoft Office, pdf, изображения и прочие, важные для конечного пользователя файлы.
После того, как документы найдены, зловред шифрует их, с использованием алгоритма ассимитричного шифрования RSA-1024 (Rivest-Shamir-Adleman), и выдает страницу, на которой это все описывается и предлагается занести денег на домики талантливым программистам. Конечная сумма варьируется в зависимости от количеств зашифрованных файлов.



Сегодня один из менеджеров словил такое чудо. Все файлы переименовались и имели доп расширение.
Я сразу выключил комп, загрузился с флешки, проверил термя антивирями, каждый чтото нашел и грохнул.
Затем зашел в безопасный режим, с помощью тотал кмд, нашел все файлы имеющие доп расширение, и убрал его.
Файлы читабельны и не зашифрованы.
Не пойму, или в чем то подвох, или я успел выключить ПК и проверить его, либо он ничего не шифрует вовсе, кроме как добавляет доп расширение, которое не позволяет открыть документ.
Кто сталкивался ?


PS при включении компа, все равно блокнотик открывается с "коммерческим " предложением.
сейчас пытаюсь найти по имени файла этот документик. - Нашел в реестре был прописан, вызывался в виде WinHelp при включении пк
20.10.2014 08:37
aldemko
 
Да, ни одного пункта их "Тех справки для сис админа" не делал, боюсь что файл который они просят запустить, и приведет к реальному кодированию айлов
20.10.2014 08:49
OlegON
 
Антивирусом Зайцева смотрел уже? Сейчас-то в чем проблема, вылечил?
20.10.2014 09:00
aldemko
 
Проблема, в отсутствии проблемы.
Так как я везде в интернете читал что файлы шифруются и все ппц забыть про них, и мол удалить его ну никак нельзя, я не пойму в чем подвох ?
а вдруг завтра эти файлы реально заблокируются на всегда.
Почему файлы не зашифровались, почему решение такое простое, массовое переименование.
зайцеваым, в первую же очередь с загрузочной флешки проверил. удалил все что нашел.
Но почитав в интернете, это даже не вирус, технология легальна (RSA) при шифровке у всех просит ключ, у меня не просил ничего ибо не запускал нчиего лишнего после сообщения.
Хотелось бы знать профилактику данного действия ?
полный бэкап уже сделал, но вдруг файлы в бэкапе по истечению суток, как описано в предупреждении заблокируются

PS копию архива сохранил. пока не знаю зачем, но мало ли подсказки там какие, пути и так далее
20.10.2014 09:10
OlegON
 
RSA-алгоритм шифрования, вирус, если он есть, шифрует документы этим шифрованием. Сами по себе файлы не заблокируются, кто-то должен блокиратор запустить.
Перепиши в хранилище на Linux, разделение платформ достаточно хорошо влияет на вирусобезопасность.
"Удалил, что нашел" неправильный вариант. Надо еще и понять, что удалил.
20.10.2014 09:15
aldemko
 
Может ли быть пункт 1 в инструкции так называемой, запуском механизма шифрования ?
Просто я не пойму, почему эту проблему и решение обсуждают по всем форумам антивирусников и не могут решить проблему, а я просто переименовал файлы, хотя возможно они как раз и запустили файл что бы убедится что попросит некий ключ а тем временем шифрует файлы.
у меня пока только ShareCenter от D-link, копирую на него
20.10.2014 09:22
aldemko
 
в общем, на выходных, из гаража запчастей старых наберу, соберу пк, установлю винду. и посмотрю на каком этапе происходит это шифрование файлов.
Антивирусом буду проверять после каждой стадии, и выписывать изменения.
Затем отпишусь сюда что и как вышло.
Может на будущее кому то пригодится
20.10.2014 09:23
OlegON
 
вполне возможно, что просто не успел зашифровать, убедись, что все документы целы... при копировании не забудь потом доступ к ресурсу перекрыть, а то какая-то машина может и в шару залезть, чтобы попереименовывать.
20.10.2014 09:55
Ferus
 
Еще вариант, студента-подражателя, решил бабосика срубить, кто-то ведь клюнет на это
20.10.2014 10:12
aldemko
 
Цитата:
Ferus Еще вариант, студента-подражателя, решил бабосика срубить, кто-то ведь клюнет на это
судя по нарытым данным в интернете, врятле студент. И бабосиков просят от 300 евро и до 1000 (ну это из примеров которые я вычитал в интернете), бабосики на биткоины и все ищи в сене иголку.
Я просто не пойму - да такого просто быть не может, я первый додумался переименовать расширение документов в прежнее ?
в интернете ситуации только когда файлы уже зашифрованы, а я экстренно вырубил комп, через флешку погонял антивирусам и, убрал из реестра все ключи с словами связанными с этим вирсом, затем через тотал переименовал и все, но опасность в том что завтра включу и все кирдык, поэтому сейчас резервку делаю всего и вся с того пк
Часовой пояс GMT +3, время: 13:35.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.