Вирус просит биткоины. Хелп

  • 🔴 15:10 Повітряна тривога в Харків.обл.
  • #1221
9life сказав(ла):
вот эта "проверка " и был процесс шифрования
Натисніть, щоб розгорнути...
......mft и таблиц ntfs первого активного раздела.

Шифрование же файлов производилось в течение последнего часа ДО перезагрузки.

9life сказав(ла):
если вирусня уже в локалке то патч не спас бы скорее всего
Натисніть, щоб розгорнути...
ну так этот патч фиксит дыру, по которой вирус влазит на комп "по сети". якобы.
 
  • 🔴 15:10 Повітряна тривога в Харків.обл.
  • #1222



Так я увидев на соседнем компе что checkdisk выглядит как-то не так, и когда у меня блымнул синий экран, вырубил 3 компа по питанию. на всех трёх инфа пошифрована, хотя чекдиск не запустился. Всё странно
 
  • 🔴 15:10 Повітряна тривога в Харків.обл.
  • #1224
я о том и говорю...
странности

в оф отчетах пишут что именно проверка диска это был процесс шифрования файлов
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.


хотя тут подробно описано
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

я только сейчас начал читать

там таки 2 процесса шифрования
вернее предположения..что два
 
  • 🔴 15:10 Повітряна тривога в Харків.обл.
  • #1225
NuIVot сказав(ла):
на всех трёх инфа пошифрована
Натисніть, щоб розгорнути...
Первый процесс шифрования (перед перезагрузкой): первый мегабайт файлов с определенными расширениями зашифрован одним и тем же случайным ключом AES в режиме CBC.видимо вот
Если файл меньше 1 МБ, он, таким образом, полностью зашифрован.
 
  • 🔴 15:10 Повітряна тривога в Харків.обл.
  • #1226
хм
там в коментах
Вот ключ, который мы получили от хакеров:
2afc76af-5cc2-11e7-a303-881032d40cc6 - он работал (все файлы были расшифрованы)

может троль...
 
  • 🔴 15:10 Повітряна тривога в Харків.обл.
  • #1227
9life сказав(ла):
там таки 2 процесса шифрования
вернее предположения..что два
Натисніть, щоб розгорнути...
Два, кто работал под админом, или на непропатченом компе - вирус шифровал MBR. Остальным - только те файлы, до которых смог добраться.
 
  • 🔴 15:10 Повітряна тривога в Харків.обл.
  • #1229
скорей всего вирус шифрует на лету
у нас в отделе просто все компьютеры практически синхронно поотключались. Скорей всего вирус попал в локальную сеть, использовал дыру SMT и пролез во все дырявые компьютеры одновременно.

по ссылке ниже человек специально заражает комп вирусом. и через 5 секунд уже синий экран и отсчет процентов.
?t=17m
 
  • 🔴 15:10 Повітряна тривога в Харків.обл.
  • #1230
ivok сказав(ла):
так и есть! кто еблом не щёлкал и быстро отрубился - тот в шеколаде
Натисніть, щоб розгорнути...

"кто еблом не щелкал"
Сами подумайте, завис комп ну или сам перезугрузился, - вы его вырубаете или он сам, потом стартует команда якобы восстановления файловой системы и вы будто уже знаете, что это вирус - во выполняется CHKDSK значит это вирус вырублю пк, а то зашифрует данные... Логика сисадмина с 80летним стажем.

Кто действительно молодец, тот по первым слухам о заражении остановил работу предприятия(оффнул пк) , а таких мало, потому как вдруг было бы ложный простой-получил бы по шапке потом. На сколько я понял пох какой антивирус стоял, какая защита-все системы на виндовс лягли. Корпоративные от 1оленя, а персональные домашние от любознательности.
 
  • 🔴 15:10 Повітряна тривога в Харків.обл.
  • #1231
Корпоративы лягли у кого стояло автообновления "Медка", и компы были включены и в сети в тот момент, когда медковский сервер вместо обновлений рассылал Петю.
 
  • 🔴 15:10 Повітряна тривога в Харків.обл.
  • #1232

У нас в конторе медка нету, зато есть у главных за 150км от нас, общая шара), так у нас на компах пользовательских никто без Админа не может и очередь печати очистить и архив открыть никак.
 
  • 🔴 15:10 Повітряна тривога в Харків.обл.
  • #1233
как выяснилось, у одного гражданина у нас в отделе, стоял виндовс 10 и он просто перезагрузился два раз но потом продолжил работу. Как ни странно работоспособность он сохранил, но большинство файлов стали кракозябрами, даже на диске д
 
  • 🔴 15:10 Повітряна тривога в Харків.обл.
  • #1234
Ну ладно, раз вирусы вымогатели шифруют файлы с определёнными расширениями, может имеет смысл в своих документах поменять расширения на индивидуальные, например:

В документах ворд расширение .doc поменять на .fgh, у экселя на .ghj и так далее, для ценных файлов.

А потом сопоставить эти левые расширения с нужным приложением.

Если кому собираешься отправлять файл, менять ему расширение на нормальное.

Шоб не делать это каждый раз вручную, кидать файлы для отправки в специальную папку и соорудить специальный батничек, меняющий в ней левые расширения на нормальные.

Кто шо скажет про такую защиту?

ЗЫ: Как вариант и вовсе отказаться от расширений, расширение писать в имени файла (тупо удалять разделительную точку). Но тогда любой файл придётся открывать с помощью команды "открыть при помощи"...
 
  • 🔴 15:10 Повітряна тривога в Харків.обл.
  • #1235
мне кажется проще акронисом делать по расписанию бекап нужной папки с документами и закидывать образ в облако
 
  • 🔴 15:10 Повітряна тривога в Харків.обл.
  • #1237
Ага, чёт я не видел легально купленных Акронисов фирмами. А так дохуя чего можно предусмотреть.
 
  • 🔴 15:10 Повітряна тривога в Харків.обл.
  • #1239
Немного тролинга от привата
Украинцам рекомендуют проверить банковские счета после атаки вируса Petya из-за угрозы потери данных
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
 
  • 🔴 15:10 Повітряна тривога в Харків.обл.
  • #1240

а при чем тут "Троллинг от Приватбанка"?
 
Ви повинні увійти або зареєструватися, щоб відповісти.
Меню
Увійти
Реєстрація