Вирус просит биткоины. Хелп

[alex444]

вот эта "проверка " и был процесс шифрования

......mft и таблиц ntfs первого активного раздела.

Шифрование же файлов производилось в течение последнего часа ДО перезагрузки.

если вирусня уже в локалке то патч не спас бы скорее всего

ну так этот патч фиксит дыру, по которой вирус влазит на комп "по сети". якобы.

 

[NuIVot]

Тут странно ведь в жизни все было так. внезапно компьютер начал как то сильнее гудеть, и выскачил синий экран.
Я нажала ресет, пошла перезагрузка и естественным явлением был экран проверки chkd, ведь компьютер был выключен неправильно
Я дисциплинировано подождала до 100%

все так
вот эта "проверка " и был процесс шифрования

а до гудения и синего экрана ничего не было подозрительного?

Так я увидев на соседнем компе что checkdisk выглядит как-то не так, и когда у меня блымнул синий экран, вырубил 3 компа по питанию. на всех трёх инфа пошифрована, хотя чекдиск не запустился. Всё странно

 

[9life]

Шифрование же файлов производилось в течение последнего часа ДО перезагрузки.

 

[9life]

Так я увидев на соседнем компе что checkdisk выглядит как-то не так, и когда у меня блымнул синий экран, вырубил 3 компа по питанию. на всех трёх инфа пошифрована, хотя чекдиск не запустился. Всё странно

я о том и говорю...
странности

в оф отчетах пишут что именно проверка диска это был процесс шифрования файлов

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

хотя тут подробно описано

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

я только сейчас начал читать

там таки 2 процесса шифрования
вернее предположения..что два

 

[9life]

на всех трёх инфа пошифрована

Первый процесс шифрования (перед перезагрузкой): первый мегабайт файлов с определенными расширениями зашифрован одним и тем же случайным ключом AES в режиме CBC.видимо вот
Если файл меньше 1 МБ, он, таким образом, полностью зашифрован.

 

[9life]

хм
там в коментах
Вот ключ, который мы получили от хакеров:
2afc76af-5cc2-11e7-a303-881032d40cc6 - он работал (все файлы были расшифрованы)

может троль...

 

[Wowa]

там таки 2 процесса шифрования
вернее предположения..что два

Два, кто работал под админом, или на непропатченом компе - вирус шифровал MBR. Остальным - только те файлы, до которых смог добраться.

 

[9life]

 

[dinamitdina]

......mft и таблиц ntfs первого активного раздела.
Шифрование же файлов производилось в течение последнего часа ДО перезагрузки.

скорей всего вирус шифрует на лету
у нас в отделе просто все компьютеры практически синхронно поотключались. Скорей всего вирус попал в локальную сеть, использовал дыру SMT и пролез во все дырявые компьютеры одновременно.

по ссылке ниже человек специально заражает комп вирусом. и через 5 секунд уже синий экран и отсчет процентов.
?t=17m

 

[Lukas077]

так и есть! кто еблом не щёлкал и быстро отрубился - тот в шеколаде

"кто еблом не щелкал"
Сами подумайте, завис комп ну или сам перезугрузился, - вы его вырубаете или он сам, потом стартует команда якобы восстановления файловой системы и вы будто уже знаете, что это вирус - во выполняется CHKDSK значит это вирус вырублю пк, а то зашифрует данные... Логика сисадмина с 80летним стажем.

Кто действительно молодец, тот по первым слухам о заражении остановил работу предприятия(оффнул пк) , а таких мало, потому как вдруг было бы ложный простой-получил бы по шапке потом. На сколько я понял пох какой антивирус стоял, какая защита-все системы на виндовс лягли. Корпоративные от 1оленя, а персональные домашние от любознательности.

 

[Wowa]

На сколько я понял пох какой антивирус стоял, какая защита-все системы на виндовс лягли. Корпоративные от 1оленя, а персональные домашние от любознательности.

Корпоративы лягли у кого стояло автообновления "Медка", и компы были включены и в сети в тот момент, когда медковский сервер вместо обновлений рассылал Петю.

 

[Lukas077]

Корпоративы лягли у кого стояло автообновления "Медка", и компы были включены и в сети в тот момент, когда медковский сервер вместо обновлений рассылал Петю.

У нас в конторе медка нету, зато есть у главных за 150км от нас, общая шара), так у нас на компах пользовательских никто без Админа не может и очередь печати очистить и архив открыть никак.

 

[dinamitdina]

как выяснилось, у одного гражданина у нас в отделе, стоял виндовс 10 и он просто перезагрузился два раз но потом продолжил работу. Как ни странно работоспособность он сохранил, но большинство файлов стали кракозябрами, даже на диске д

 

[partola]

Ну ладно, раз вирусы вымогатели шифруют файлы с определёнными расширениями, может имеет смысл в своих документах поменять расширения на индивидуальные, например:

В документах ворд расширение .doc поменять на .fgh, у экселя на .ghj и так далее, для ценных файлов.

А потом сопоставить эти левые расширения с нужным приложением.

Если кому собираешься отправлять файл, менять ему расширение на нормальное.

Шоб не делать это каждый раз вручную, кидать файлы для отправки в специальную папку и соорудить специальный батничек, меняющий в ней левые расширения на нормальные.

Кто шо скажет про такую защиту?

ЗЫ: Как вариант и вовсе отказаться от расширений, расширение писать в имени файла (тупо удалять разделительную точку). Но тогда любой файл придётся открывать с помощью команды "открыть при помощи"...

 

[dinamitdina]

мне кажется проще акронисом делать по расписанию бекап нужной папки с документами и закидывать образ в облако

 

[partola]

мне кажется проще

Может и проще, так никто ж не делает...

"Любовь нечаянно нагрянет, когда её совсем не ждёшь", так и с вирусами.

 

[juriks]

Ага, чёт я не видел легально купленных Акронисов фирмами. А так дохуя чего можно предусмотреть.

 

[partola]

не видел легально купленных Акронисов

Кстати, да.

Но вроде ж в десятке есть встроенный бекапер.

 

[ATmega88]

Немного тролинга от привата
Украинцам рекомендуют проверить банковские счета после атаки вируса Petya из-за угрозы потери данных

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

 

[dinamitdina]

Немного тролинга от привата
Украинцам рекомендуют проверить банковские счета после атаки вируса Petya из-за угрозы потери данных

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

а при чем тут "Троллинг от Приватбанка"?