Вирус просит биткоины. Хелп

dimab · 04.07.2017

Пришел к клиенту. Моя рабочая машина(выделенное рабочее место) попала под атаку. Часть файлов закриптовано. Но мои рабочие файлы оказались нетронуты. Поскольку работаю с конфиденциальной информацией, то доступ к рабочей папке стандартной безопасностью ограничил только себе. Соответственно - вирус после перезагрузки в директорию пролезть не смог. Почему МБР не затронул - не знаю, но системщики уже что-то подшаманили, антивирусник поставили(лучше поздно чем никогда)) и я спустя час уже работаю на норм компе.
Т.ч. рекомендую - ограничивайте доступ к своим файлам. Но на домашних компах учтите - если будете переустанавливать систему, то потеряете данные. Вроде как-то можно забекапить юзера. Тут домен и я не заморачивался.

9life · 04.07.2017

если кому интересно

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

9life · 04.07.2017

Гаргантюа сказав(ла):
а сам не тестил?

Lukas077 сказав(ла):
Если б в пятницу дали

и шо былобы
взломали бы ключ?

PS помаленьку ломают..может что получится
как в прошлый раз

9life · 04.07.2017

вот пример как могли конторы заразить используя медок

alex444 · 04.07.2017

хе-хе....

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

The backdoored module has the filename ZvitPublishedObjects.dll. This was written using the .NET Framework. It is a 5MB file and contains a lot of legitimate code that can be called by other components, including the main M.E.Doc executable ezvit.exe.

We examined all M.E.Doc updates that were released during 2017, and found that there are at least three updates that contained the backdoored module:
01.175-10.01.176, released on 14th of April 2017
01.180-10.01.181, released on 15th of May 2017
01.188-10.01.189, released on 22nd of June 2017

без комментариев. Есет сегодня внёс сигнатуру в базы, работающие нормально экземпляры медка стали ннеработающими (библиотека просто удаляется в результате "лечения".)

fedya_valki · 04.07.2017

Днепровский сказав(ла):
Ну боятся взлома "облака", пускай возвращаются в 20-й век

А шо, в "облаке" - это у Христа за пазухой? Никто не достанет и не взломает??? Та кому надо - аж бегом. Блин, вспомнил историю, как 14-летний тинейджер взомал сайт Пентагона... А "облака" лучше охраняются?

fedya_valki · 04.07.2017

dinamitdina сказав(ла):
да меня больше всего мегабанк беспокоит и итоговый баланс по коммуналке

А меня - что я в Харводоканал не могу уже который день внести показания счётчиков воды...

toshik · 04.07.2017

alex444 сказав(ла):
хе-хе....

без комментариев. Есет сегодня внёс сигнатуру в базы, работающие нормально экземпляры медка стали ннеработающими (библиотека просто удаляется в результате "лечения".)

Если подставить эту DLL с работающего компа, будет работать?

alex444 · 04.07.2017

toshik сказав(ла):
Если подставить эту DLL с работающего компа, будет работать?

и внести ноду32 её в исключения предварительно. Работает.

на всяк случай пустые perfc и perfc.dat не забудьте создать в папке винды.

_SOm · 04.07.2017

alex444 сказав(ла):
и внести ноду32 её в исключения предварительно. Работает.

заходим на следующий круг?

Собственно, даже заморачиваться не надо "производителям" вируса... можно по второму, а потом и по третьему кругу по одной и той же схеме пузыриться - все равно пользователи сами эту схему в исключения ставят

Ziggy · 04.07.2017

итак, вроде бы уже все супермаркеты вылечились.
но не Посад!

в соседнем Посаде терминал не работает, дисконтные карты не работают, а заработает все, говорят, недели через две.
при этом в прошлый четверг, через два дня после харкерской атаки, я платил там через терминал и все работало как часы.

Посад, что еще сказать.

Wowa · 04.07.2017

Полицейские уже изъяли серверы "Медка"

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

Напомню, наши спецы из киберполиции, сделали вывод о причастности этой шаражкиной конторы к распространению вируса задолго до Микрософта и Есета.

manch · 04.07.2017

ivok сказав(ла):
поздравляю! где был ваш админ?

А что, возле каждого юзера за спиной должен стоять админ? Ну если в компании 5 человек и все сидят в одной комнате, то тогда да.

alex444 сказав(ла):
......mft и таблиц ntfs первого активного раздела.

Шифрование же файлов производилось в течение последнего часа ДО перезагрузки.

У нас так и было. Прибегает чувак и говорит, что у него не открываются доковские, экселевские файлы. Я слыша это пробую у себя - действительно не открываются. И только через какое-то время комп сам перегружается и начинает проверять диск. То есть, шифрование произошло до перезагрузки. Тихо и без афиширования.

dinamitdina сказав(ла):
Как ни странно работоспособность он сохранил, но большинство файлов стали кракозябрами, даже на диске д

Что значит "даже"? Вирус на всех дисках шифровал: и на D и на E и на F и на прочих.

Wowa сказав(ла):
Да, с субсидией так и будет. Приходит бумажка, что должен принести квитанции об оплате или реструктуризации им лично. Яценюковские нормы, направленные на исключения личного общения граждан с чинушами, Грося успешно отменяет.

А ещё пол года назад ты мне доказывал, что эти бумажные квитанции оплаты в банке с мокрыми печатями нах не нужны. Гораздо проще платить через инет, электронные подписи и вся хуйня. Ну-ну....

Wowa · 04.07.2017

manch сказав(ла):
А ещё пол года назад ты мне доказывал, что эти бумажные квитанции оплаты в банке нах не нужны. Гораздо проще платить через инет, электронные подписи и вся хуйня. Ну-ну....

Ну так контра же пришла к власти. Приват угробили, теперь везде бумажки хотят, и что бы люди лично кланялись клушам из собеса.

9life · 04.07.2017

Сьогодні останнє оновлення одного з антивірусів почало вказувати на наявність віруса в бібліотеці ZvitPublishedObjects.dll
Після видалення антивірусом цього файлу, програма, звичайно, не запускається.
Розробники проводять перевірку, готують оновлення. По можливості, не запускайте поки програму на виконання.
Сайт і пошта поки не доступні. Слідкуйте за новинами.

:rolleyes:

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

manch · 04.07.2017

Wowa сказав(ла):
Ну так контра же пришла к власти. Приват угробили, теперь везде бумажки хотят, и что бы люди лично кланялись клушам из собеса.

Ну и как бы тебя спас ещё тот коломоевский приват? Точно так же накрылась бы почта со всеми сохраненными квитанциями в электронном виде.
Я тебе говорю про то, что надеяться на электронные носители себе дороже.
А так у меня дома лежит ОДНА бумажная квитанция с мокрой печатью за все комуслуги плюс ещё одна за газ за каждый месяц. И мне в этом плане похер на вирусы.

Wowa · 04.07.2017

Приватовские квитанции на гуглопочте и на компе. Конечно, до гугла медковский вирус добраться может, у них есть офис в Украине. Но не до моего компа, я же "Медок" дома не использую.

alex444 · 04.07.2017

_SOm сказав(ла):
заходим на следующий круг?

Собственно, даже заморачиваться не надо "производителям" вируса... можно по второму, а потом и по третьему кругу по одной и той же схеме пузыриться - все равно пользователи сами эту схему в исключения ставят

perfc

Burnash · 04.07.2017

pumka сказав(ла):
А кто знает как порно без вирусов получить?

Так же, как и с вирусами, но чуть проще.

_SOm · 04.07.2017

alex444 сказав(ла):
perfc

Вы серьезно?
Искренне считаете, что тупость юзеров/админов в повторении своих ошибок обратной связью заразит и вирус и следующая "атака" будет с теми же именами файлов? :confused:

удачи в "кибербезопасности"...

Вирус просит биткоины. Хелп

Додаткові параметри

dimab

9life

9life

9life

alex444

staff (вахтьор)

fedya_valki

fedya_valki

toshik

alex444

staff (вахтьор)

_SOm

Ziggy

Wowa

manch

Wowa

9life

manch

Wowa

alex444

staff (вахтьор)

Burnash

_SOm