чтоб им сдохнуть, тварям.
Словил новую версию, не знаю что делать, переборщик паролей показал год переборки 65 знаков
Printable View
чтоб им сдохнуть, тварям.
Словил новую версию, не знаю что делать, переборщик паролей показал год переборки 65 знаков
ТП drweb просит файл drivers.000. Мол без него расшифровка невозможна. Просканил ЖД по быстрому нет такого файла.
Читаем исследование новой версии [url]http://virusinfo.info/showthread.php?t=162915&p=1135727[/url]
не дождались наши, заплатили деньги. Те прислали пароль и moar.exe и unrar.exe для распаковки. Говорите если что нужно вышлю.
Еще и гниды сто раз извинились "за такой способ зарабатывания денег". Ничего, юзерам урок будет чтобы не открывали что попало из почты
[QUOTE=drumbass;1135905]Ничего, юзерам урок будет чтобы не открывали что попало из почты[/QUOTE]
1 Если бы стоял нормальный антивирус не былобы такого - это не его вина
2 Если пользователю не были даны четкие инструкции что стоит делать, что нет - это не его вина
3 Если не настроен спам контроль и проверка почты до попадания в ящик пользователя - это не его вина
1. стояло и два, симантек и софос на шлюзе - оба пропустили
2. инструкции может и не четкие но были, тут уж элементарно думать надо было
3. ящик был провайдерский, спам контроль у них же. Как оно там прошло я хз
PS есть идеи как поудалять сейчас с дисков все эти rAR файлы ? Total регистр расширения при поиске не различает, пробовал искать по двойному расширению - *.*.rAR, но опять же попадаЮтся нормальные файлы типа 123.part1.rar
[QUOTE=drumbass;1135963]PS есть идеи как поудалять сейчас с дисков все эти rAR файлы ? Total регистр расширения при поиске не различает, пробовал искать по двойному расширению - *.*.rAR, но опять же попадаЮтся нормальные файлы типа 123.part1.rar[/QUOTE]
В ХП есть в поиске, в дополнительно - с учетом регистра
В 7 - поиск урезанный, пользуюсь [url]http://www.fileseek.ca/Download/[/url]
в XP он в имени файла регистр смотрит, расширение ему по барабану. В 7 спасибо , потом пригодится. Сейчас эти "добрые" ребята сами прислали утилиту для удаления таких файлов и опять извинились :D Ну просто няшки....
[quote="drumbass;1136080"]Ну просто няшки....[/quote]Видимо, прочли здесь о Ваших проблемах )))
[QUOTE=drumbass;1135905]не дождались наши, заплатили деньги. Те прислали пароль и moar.exe и unrar.exe для распаковки. Говорите если что нужно вышлю.
Еще и гниды сто раз извинились "за такой способ зарабатывания денег". Ничего, юзерам урок будет чтобы не открывали что попало из почты[/QUOTE]
Даров. Какие файлы вы им отправили, чтобы вам прислали пароль?
[QUOTE=drumbass;1135905]не дождались наши, заплатили деньги. Те прислали пароль и moar.exe и unrar.exe для распаковки. Говорите если что нужно вышлю.
Еще и гниды сто раз извинились "за такой способ зарабатывания денег". Ничего, юзерам урок будет чтобы не открывали что попало из почты[/QUOTE]
Секретарь открыла вложение письма. Symantec никак не отреагировал. Сетевая папка с документами заархивировалась. Ни одна найденная программа по распаковке от Касперского и ДрВеб не отработала. Пришлите, пожалуйста, что имеете.
В ходу новая версия есть. Да и ключ архивирования вряд ли Вам подойдет :)
Здравствуйте. Пользователи поймали вирус, который зашифровал файлы в архивы *.rAr. Нашел тут способ и скрипты для брутфорса пароля. Папки tmp на диске c: я не нашел, но нашел папочку xtmp, в которой лежат файлы: hh.bat, mask.mask, pgp.exe и другие. Поковыряв эти файлы я выяснил, что папку создал вирус. Файла key в ней нет. Все файлы созданы в 16.33. Первый зашифрованный файл создан в 16.33. В событиях нашел eventlog в 12.00. Поможет ли этот способ?
Как раз мой вариант вируса, поставил перебор, посмотрю, получится или нет
Странно, пароль вроде набрутфорсил, но не подходит (файл не открывает)
Пишет файл поврежден или указан неверный пароль
! C:\antihack\1.rAr: Ошибка CRC в зашифрованном файле razuv.cer. Файл повреждён или указан неверный пароль.
TA4uMF43iKK927sybH0984643qHE8Ld55LrG2x65GoZ79T166N1X3hk83ktXSd0J
как такое может быть?
Значит сбрутили неудачно
[QUOTE=thyrex;1266775]Значит сбрутили неудачно[/QUOTE]
UPD промахнулся со временем, оказывается первый файл в 9 утра, и нужно брать эвент с прошлого дня
Сейчас появилась новая напасть (или может уже и не новая), в общем также все рарится, только заходят по RDP, собственно, что и словила тут одна фирма, которая ко мне обратилась. Хотел спросить, как именно злоумышленники узнают ip, да еще и с логином и паролем. Это я к чему. ip и пароль действительно подбираются (в моем случае действительно подобрать было просто - пароль такой же как логин, да еще и из 3 букв) или на компе, откуда заходят, есть какая-то зараза, которая может перехватить данные о сохраненных rdp-сессиях? Просто, тогда выходит, что не поможет более сложный пароль.
В общем, хотелось бы знать, как защититься от такого в дальнейшем.
Вымогатели просят 300$, причем через wm-карточки, видимо, боятся светить кошельки. Интересно, если обратиться в вебмани, то могут ли они отследить на какой кошелек активировали определенную карточку? Или бессмысленно?
Вопрос гуру.
что происходит после того, как вирус создал архив с паролем. как удаляются исходные файлы?
возможно ли восстановить исходные файлы способом аналогичным как при удалении файла обычным способом.
[QUOTE=shurman;1270692]Вопрос гуру.
что происходит после того, как вирус создал архив с паролем. как удаляются исходные файлы?
возможно ли восстановить исходные файлы способом аналогичным как при удалении файла обычным способом.[/QUOTE]
Я не гуру, но это также было первое что пришло мне в голову. Но r-studio не нашел ничего из удаленного, только кучу файлов нулевой длины __rar_tmp. Видимо как-то хитро удаляют. В моем случае рарили по RDP под ограниченной учеткой, но права были целиком на диск, который зарарили.