Вирус-шифровальщик

[МамаАртёма 9 352]

Вчера зашла в рабочую почту, увидела там письмо от банка типо, а в письме был вирус-шифровальщик.

Все файлы, что были зашифровал no_more_ransom. Недельная работа коту под хвост.

Перечитали много статей, форумов, качали уйму утилитов-антивирус не видит этот вирусняк, расшифровать ничего не получается с помощью различных программ.

Ночь с этого компа сидела на удаленном рабочем столе готовила доки,которые зашифровал вирус, а в 9 утра надо передать все в банк на перекредитовку организации.

Сисадмин наш в отпуске до конца недели. Я сама в этих железках, программах ну так себе понимаю, утром торкнул вопрос- а ничего с удаленной не произойдет, если я с этого компа сидела там?

Ну и что делать дальше-то, а то почитала на форумах эти уроды просят от 35000 до 100000 выкупа за дешефратор. Мне за эти деньги дешевле новый комп купить (системник, топ, моноблок).

Снести Винду? Как и что установить?

[Silik 1 178]

А запустился то как вирус? Надо открыть это письмо, или как? Или просто, если оно (письмо с вирусом) пришло тебе на почту, то всё?...

[МамаАртёма 9 352]

Письмо открываешь, а там файл, у меня было "Уведомление" нажала на это уведомление и понеслось.

[МамаАртёма 9 352]

Письмо было отправлено от некоего Рябова Романа менеджера по работе с корпоративными клиентами банка ВТБ.

[петровисh 18]

ничего не сноси.вынь диск из системника и положи на полку-жди когда расшифровщик смастерят. для работы КУПИ другой диск,поставь ЛЮБУЮ систему и пользуйся.(это если на диске есть реально что-то ценное)

Изменено 14 июня, 2017 пользователем петровисh

[МамаАртёма 9 352]

Вчера написала в Касперский, утром пришел ответ, что на данный момент они помочь не могут, т.к. данный вирус-шифровальщик состоит из 4 ранее созданных шифровальщиков, утилит для расшифровки пока нет, они в разработке.

[Silik 1 178]

О как! Теперь надо быть втройне осторожнее...

[МамаАртёма 9 352]

@петровисh,то что было ценное я за ночь восстановила по крупицам на удаленном рабочем столе, и на ноуте, т.к. только в ноут можно было флешки вставлять. Позвонила знакомому сисадмину, сказал форматировать надо и новую ОС ставить, больше ничего не поможет.

[mirror 30 917]

 

 

Письмо открываешь, а там файл, у меня было "Уведомление" нажала на это уведомление и понеслось.

Первая преграда - это антивирус, он должен был не пропустить это письмо. А вообще, последнее время этих писем с "документами", "выписками" и прочим хламом, пришедшим то от Сбера, то от Ростелекома, то ещё от кого, просто вал. Нужно проверять от кого письмо, т.к. в обратный адрес можно поставить всё, что угодно.

[МамаАртёма 9 352]

Ура!Удаленке ничего не будет, наш админ сказал.

[МамаАртёма 9 352]

@mirror,пропустил Касперский, даже не пискнул.А как проверить то?Я с прошлой недели ждала письма от ВТБ с перечнем дополнительных доков по залогам на перекредитовку организации, вчера вошла в почту-о,письмо от ВТБ, но не с перечнем,а с уведомлением, я чуть не поседела, может уведомляют о том, что перекредитовку не состоится, вот и влезла. Я всю прошлую неделю с ВТБ переписывалась с этой почты, может поэтому именно от ВТБ прислали.

Короче, это трындец, неужели кто-то платит им?

[Ирина* 2 521]

На работе сменщица по указанию знающих удаляла на запуске в чернрм поле, пока загрущка идет. Как то так. Но это спецы должны делать.

[zavzav 911]

Антивирус не сможет определить вирус, потому как это НЕ вирус. Он сможет остановить (и то не всегда) шифрование, если есть и включена блокировка активности программ. А так это социальная инженерия в действии. Смотри, что получаешь, от кого, и нужно ли это тебе? И делай бэкапы!

Сами ловили шифровальщика 3 раза.

1 раз. Восстановили из бэкапа около 3 ТБ инфы на файл сервере на 90%.

2 раз. Выловили шифровальщика на начальном этапе, в сеть не проник, комп пользователя сожгли почистили

3 раз. Шифровальщик попался умнее - сразу полез в сеть, зашифровал пару каталогов, потом нашли машину-инициатора, опять сожгли отрубили от сети. И, вуаля, на рабочем столе картинка, что нам пипец, платите деньги. Послали этих козлов, и восстановили зашифрованное из теневой копии.

На всех станциях стоит каспер с всеми включенными прибамбасами. Среагировал только во 2 разе.

 

Ждем чо дальше будет.

[МамаАртёма 9 352]

@Ирина*,мне даже в Лаб.Касперский отказали что-либо сделать, и кому бы я вчера и сегодня не говорила название шифровальщика все в один голос говорят-сноси все, ставь новую ОС, т.к. это новый шифровальщик, он состоит из 4 ранее созданных, утилит к нему нет пока.

[петровисh 18]

поставить новую винду и словить этот виршифровальщик снова? тоже развлекуха.правда дорогая,затратная и нервная.