КОРАБЛЬ НА ЯКОРЬ, ГОСПОДА!, новый вирус

Подписка на тему | Версия для печати

outsayder

Дата 25.10.2012 - 08:16

The IT Crowd

Профиль
Группа: Пользователи
Сообщений: 15874
Пользователь №: 13051
Регистрация: 14.12.2006 - 15:26

КОРАБЛЬ НА ЯКОРЬ, ГОСПОДА!
Бонжур мадам, месье ! Вэлком на борт нашей "Чёрной мамбы".
Ваш компьютер взят на абордаж
командой Зимбабвийских пиратов.
Ваши файлы зашифрованы нашим
морским криптографом Намбо Ваном.
Если вы, нежадный белый человек
и не психованный депутат из ЛДПР,
то, мы готовы обменять вашу драгоценную инфу, на жалкие
бумажки именуемые бабками.
Поверьте, бабло зло - отдайте его нам.
Алчных и неадекватных типов за борт.
Весёлым и находчивым скидки.
У вас три дня до отплытия корабл@.
Для переговоров собираемся в кают компании, sos на мыло
Номер компании ххххххххх
KORSARS@POST.COM

Вот такой сейчас вирус ходит Trojan-Ransom.Win32.Xorist, шифрует файлики RSA-1024 и удаляется, ну и после предлагает купить дешифратор 3-10т.р.

Шифрует файлы с расширением.

Цитата

doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.

Поосторожнее с интернетом, даже если у пользователя вообще никаких прав, пофигу, ибо запуск прог и шифрование файлов разрешено системой, ну а антивири молчат.....

Так что вот так

И еще...

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

Это сообщение отредактировал outsayder - 25.10.2012 - 08:23

путин	Дата 25.10.2012 - 08:34
чо? Профиль Группа: Пользователи Сообщений: 38293 Пользователь №: 4896 Регистрация: 10.10.2005 - 02:36	херасе у меня доктор веб очко жим жим

outsayder

Дата 25.10.2012 - 08:38

The IT Crowd

Профиль
Группа: Пользователи
Сообщений: 15874
Пользователь №: 13051
Регистрация: 14.12.2006 - 15:26

и еще...

В последнее время наблюдается всплеск обращений пользователей, файлы которых оказались зашифрованы и получили расширение .EBF
При этом пользователям демонстрируется следующее сообщение

Цитата

Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .EBF
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы!
Напишите нам письмо на адрес decrypting@tormail.org (если в течение суток вам не ответят то на beryukov.mikuil@gmail.com) чтобы узнать как получить дешифратор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-5 часов.
К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

================================================== ==================
EdnFKqVnXMZ60rsvGTUYEbcwxO3djUGm (произвольный текст)
================================================== ==================

Это последняя разновидность шифровальщика Vandev (по классификации Лаборатории Касперского)
Шифровальщик использует алгоритм шифрования Blowfish (EBF - EncryptBlowFish)
Шифрование происходит следующим образом:
1) на компьютер пользователя попадает бэкдор, который открывает удаленный доступ к компьютеру
2) злоумышленник в удобное для него время заходит на компьютер, вручную запускает шифрование с произвольным ключом

Вывод: расшифровать файлы, не зная ключ, НЕВОЗМОЖНО. Если информация очень ценная, остается только один вариант - платить злоумышленнику, как бы это не способствовало его "бизнесу"
Как правило, подобные "бизнесмены" просят прислать зашифрованный файл, чтобы пользователь мог убедиться в наличии дешифратора, а после оплаты присылают и всю информацию для расшифровки (вместе с дешифратором)

P.S. Специалисты из вирлабов рекомендуют обращаться сразу в полицию

ZAC	Дата 25.10.2012 - 08:39
Unregistered	Баяй. С месяц назад получил в скайп авторассылку от виря с линком на архив котором заражённый файл. Ессно человек мне этого не отпрвлял, а архив я не открывал Это сообщение отредактировал ZAC - 25.10.2012 - 08:40

путин	Дата 25.10.2012 - 08:41
чо? Профиль Группа: Пользователи Сообщений: 38293 Пользователь №: 4896 Регистрация: 10.10.2005 - 02:36	http://tyugashev-va.livejournal.com/749.html

NoVASpirit	Дата 25.10.2012 - 13:31
Just for fun!!! Профиль Группа: Пользователи Сообщений: 2981 Пользователь №: 4868 Регистрация: 8.10.2005 - 08:50	Избавиться от вируса просто... Нужно просто закрыть вайн

« | Компьютеры и мобильные телефоны | »

[ Время генерации скрипта: 0.0116 ] [ Использовано запросов: 16 ] [ GZIP включён ]

Используя Yarportal.Ru, вы соглашаетесь с Правилами Yarportal.Ru и Политикой обработки персональных данных.

Все вопросы: yaroslavl@bk.ru