Всем здравствуйте! Проблема в следующем. По электронной почте получили вордовский файл (как оказалось зараженный). В итоге весь комп завирусован. Вирус поменял расширение файлов *.doc, xls, jpg, dbf. Т.е. доавил свое расширение. Если например имя файла было mybook.doc , то теперь он стал mydoc.doc.swaitjj . Но самое неприятное, что все файлы зашифрованы. Какова вероятность восстановления (раскодировки) файлов?

А антивирус что говорит?

то теперь он стал mydoc.doc.swaitjj .
а среди скрытых файлов тоже нет ?

Какова вероятность восстановления (раскодировки) файлов?

Попробуйте утилиты с сайта касперского:
http://support.kaspersky.ru/viruses/disinfection/10556#block1
http://support.kaspersky.ru/viruses/disinfection/4264#block2
http://support.kaspersky.ru/viruses/disinfection/2911#block2
http://support.kaspersky.ru/viruses/disinfection/8547#block1

Если не помогут, то вероятность восстановления нулевая

Какова вероятность восстановления (раскодировки) файлов? Если вирус старый, высокая, так как производители антивирусов смогли понять алгоритмы шифрования и предоставляют утилиты для расшифровки. https://www.youtube.com/watch?v=VzkwzlFJFvM видео инструкция и support.kaspersky.com/viruses/sms например.

Другое дело, если вирус свежий - скопировать все файлы и ждать пока будет помощь.

Профилактика - лучшее лечение:
- Внимательно относится к получаемым по почте вложениям
- Актуальный антивирус
- Осуществлять резервное копирование всех важных файлов регулярно (раз в столько времени, сколько не жалко на восстановление потерянных результат работы)

Если вирус старыйДавненько не видал таких расширений:
dbf

а среди скрытых файлов тоже нет ?
нет

А антивирус что говорит?
НОД32 сказал , что несколько вирусов. Каких именно сейчас не помню (комп в офисе)

Внимательно относится к получаемым по почте вложениям

Файл получили от своих. Обычный вордовский файл. Тот человек (от которого получили файл) сам не в курсе, что он завирусован.
Давненько не видал таких расширений: dbf
В 1С базах он есть

Проблема - вирус, Решение - антивирус.
Я так и не понял в чем проблема?!

Проблема - вирус, Решение - антивирус.
Я так и не понял в чем проблема?!Большая проблема. Криптовирусы, нацеленные на получение денег за расшифровку файлов, антивирусами (после того, как файл УЖЕ зашифрован) не берутся (если новая вариация, а не те версии, авторов которых "взяла" ФБР ценой многомиллионных операций).

Профилактика - лучшее средство, но когда уже заразился, выбора не так уж и много. Лучший - распрощаться с файлами.

Осуществлять резервное копирование всех важных файлов регулярно (раз в столько времени, сколько не жалко на восстановление потерянных результат работы)

(комп в офисе)Косяк корпоративных политик, что не требовали регулярного резервного копирования, или исполнителей.

Файл получили от своих. Обычный вордовский файл. Тот человек (от которого получили файл) сам не в курсе, что он завирусован.

Общих политик информационной безопасности в офисе вообще нет? Уверены, что путь заражения именно этот ворд файл, а не посещение кем-то каких-либо "ненадежных" внешних ресурсов или ссылок из спама. А Вы в курсе, что если все компы в офисной сетке и такой бардак с информационной безопасностью, можно всю инфу всей конторы потерять? Вирусы сами по сетке ходят и заражают, все что подключено, даже принтеры.

Лучший - распрощаться с файлами.На время, пока лечилка не созреет.

Деньги только вымогателям не отправляйте, не факт, что помогут, факт, что профинансируете дальнейшие разработки в этой области и эту гнусную деятельность.

На время, пока лечилка не созреет.

До посинения будете ждать. Без ключей шифрования ничего не сделать даже имея исходники вируса.

Проблема - вирус, Решение - антивирус.
Я так и не понял в чем проблема?!Большая проблема. Криптовирусы, нацеленные на получение денег за расшифровку файлов, антивирусами (после того, как файл УЖЕ зашифрован) не берутся (если новая вариация, а не те версии, авторов которых "взяла" ФБР ценой многомиллионных операций).

Профилактика - лучшее средство, но когда уже заразился, выбора не так уж и много. Лучший - распрощаться с файлами.
Ну тады отформатировать хард и радоваться жизни. Ну раз уж без вариантов.

Сталкивался с подобным. Никакие утилиты не помогли - распрощались с файлами.

Подробнее опишите, что за файл получили по почте? С какого адреса, с каким расширением?

Буду краток - покупайте Мак! :)

Буду краток - покупайте Мак! :)

Google (https://www.google.com/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#safe=off&q=mac+ransomware)

До посинения будете ждать. Без ключей шифрования ничего не сделать даже имея исходники вируса.http://habrahabr.ru/post/159811/ такой подход по силам? Кстати, что видно при открытии зашифрованного файла?

Подробнее опишите, что за файл получили по почте? С какого адреса, с каким расширением?
Завтра постараюсь выяснить. Комп ресепшена. Там одна "блондинка" сидит. С ее слов вирус появился после получения вордовского файла от партнеров. Хотя вполне допускаю, что цепанула она его с каких нить соц сетей.


Кстати, что видно при открытии зашифрованного файла?

Может офис битый просто?

Давненько не видал таких расширений: dbf
В 1С базах он есть
А это идея для защити конфигурации.. :biggrin:

Может офис битый просто?
:)
На нескольких машинах проверил. 100% вирусом зашифровано

Файл получили от Mark Letscher <cyclones@duploclique.net>
В письме было вложение - файл с именем freningssparbanken_ab_lsp_8480-6.cab. Оператор дважды кликнул по нему, после чего на рабочем столе сменился фон:

CTB-Locker — новая модификация трояна-шифровальщика FileCoder (http://habrahabr.ru/company/eset/blog/248987/)
Вредоносное ПО CTB-Locker относится к тому типу вымогателей, после деятельности которого невозможно расшифровать файлы без ключа, полученного от злоумышленников. Как мы уже неоднократно подчеркивали, использование резервного копирования является основным методом, который может использоваться для восстановления данных после деятельности такого вредоносного ПО, кроме этого своевременное обновление антивирусных баз также является необходимой мерой для предотвращения заражения.

своевременное обновление антивирусных баз также является необходимой мерой для предотвращения заражения.

Установленный лицензионный НОД32 с ежедневным обновлением баз пропустил эту гадость молча

Установленный лицензионный НОД32 с ежедневным обновлением баз пропустил эту гадость молча
Проработав в ИТ больше 10+ лет, пришел к выводу что, Нод, это не антивирус.. К этому списку могу еще пару неАнтивирусов добавить..

Проработав в ИТ больше 10+ лет, пришел к выводу что, Нод, это не антивирус.. К этому списку могу еще пару неАнтивирусов добавить..
100% защиты ни один антивирус не даёт, так все антивирусы недоарийцами недоделанными считать?

cab.так это же не офисный файл... Оператора на повторное обучение отправьте.

Установленный лицензионный НОД32 с ежедневным обновлением баз пропустил эту гадость молча
Вопрос в том, насколько это вирус в обычном понимании, если вы сами запускаете файл, а он запускает определенный скрипт.

Какой ущерб нанес вирус? Удалены ли важные базы 1С, информация? Смог ли залесть в базы аутлука? Если нет - копируйте pst файл или восстанавливайте файлы из серверного архива почты... Личные фотки, книжки и видео - не восстанавливайте - нечего засорять рабочий комп всяким не связанным с работой мусором.

Mark Letscher <cyclones@duploclique.net>
В письме было вложение - файл с именем freningssparbanken_ab_lsp_8480-6.cab. Оператор дважды кликнул по нему, после чего на рабочем столе сменился фон: Какой почтовый сервер используется оператором?

Обычно yahoo, gmail, mail ru yandex уже содержат антивирусы и такие файлы успешно блокируют (если базы поспели, конечно)

Судя по freningssparbanken это запрос на информацию по клиент-банк системе, операторская машина связана с обработкой таких данных? Если запрос пришел не от банка - он должен вызывать подозрения и удаляться.

ыводу что, Нод, это не антивирус.. Судя по блогу на хабре, ребята работают - и свое дело знают. Другое дело, что нод (старые инсталляции, по крайней мере) были очень плохими (нещадно тормозили ПК) и трудно выпиливались из системы.

freningssparbanken_ab_lsp_8480-6.cab.

Выложите файл нам тут, для экспериментов :buba:

Выложите файл нам тут, для экспериментов и пару зашифрованных документов, да.

и пару зашифрованных документов, да.

два клика он сам зашифрует вам файл

Выложите файл нам тут, для экспериментов
Это не будет противоречить правилам? Всетаки "распространение". Вдруг какой нить злой юзер скачает этот файл и будет вредить другим. Может как то в личку? Или по Емайлу?

то в личкуДавайте в личку. Только сожмите раром, в свойствах создания архива введите пароль ХХХХХ чтобы антивирусы не ругались, название файла - вирсампл, в свойствах - шифровать название файлов. - Заразим виртуалку, поиграемся :))

Файл получили от Mark Letscher Это Ваше реальный партнёр по переписке ?
cyclones[at]duploclique.netи алрес какой то странный....

Файл получили от Mark Letscher Это Ваше реальный партнёр по переписке ?
cyclones[at]duploclique.netи алрес какой то странный....

У меня была знакомая, которая кликала на баннеры с надписью "Вам пришло сообщение" с мигающим желтым конвертиком. Все объяснения про вирусы, спам, рекламу и прочая натыкались на "А ВДРУГ ЭТО ДЕЙСТВИТЕЛЬНО МНЕ ОТ ЗНАКОМЫХ, И ПИСЬМО ПО РАБОТЕ, И ЕСЛИ НЕ ОТВЕЧУ - БУДУТ ПРОБЛЕМЫ - ОТКУДА ЗНАЕШЬ?"

Я не хочу нечего доказать, но

выводу что, Нод, это не антивирус.. Судя по блогу на хабре, ребята работают - и свое дело знают. Другое дело, что нод (старые инсталляции, по крайней мере) были очень плохими (нещадно тормозили ПК) и трудно выпиливались из системы.
Цитата из комментариев этой статьи:
А говорят именно ваши специалисты обещали за неделю расшифровку сделать, когда им писали…
vilgeforce 30 января 2015 в 00:50 (http://habrahabr.ru/company/eset/blog/248987/#comment_8253219)
Так почему эти "ребята" до сих пор не смогли расшифровку выпустит. При том что вирус проник именно через Нод, где в базе ДОЛЖНО было уже известно про этого вируса?
Мне просто становиться жалко, если вирус зашифровал базу 1С. Можно понят, что если есть копия, то можно восстановить. А если нету? Не все пользователи 1С, каждый день сохраняют базу.
Но вот у меня Касперский. При том что тоже лицензионный. Покупал по акции 2 в 1. Пока что без проблем..

Но вот у меня Касперский. При том что тоже лицензионный. Покупал по акции 2 в 1. Пока что без проблем..

Откуда может быть уверены что Каспреский этого не пропустит?

Откуда может быть уверены что Каспреский этого не пропустит?
Я не уверен этому. Но и меру предосторожности сохраняю.
1. Вся трафик, который идет на мой ноут, ПК, Сервер, идет через firewall на базе FreeBSD. Абсолютно везде: дома, на даче, на работе, у друзей, у знакомых..
2. Пользуюсь браузером Mozilla где установлено самые главные плагины: Ad Blocker и Анти-Фишинг.
3. Не открываю всё подряд.
4. Не устанавливаю всё подряд таких программы, как маил-браузер, маил-спутник, маил-антивирус и т.д.
5. Всегда делаю копию баз 1С на жесткий диск, флешке и dropbox`е.
6. В конце доверяю антивирусу и обновляю каждый день.

Если вирус вся таки зашифрует мои данные, значит где то я допустил ошибку.

freningssparbanken_ab_lsp_8480-6.cab

Закиньте файл на https://www.virustotal.com/ и посмотрим, кто из антивирусов его детектирует а кто нет. Ссылку на отчет сюда.

Но вот у меня Касперский. При том что тоже лицензионный. Покупал по акции 2 в 1. Пока что без проблем..

Откуда может быть уверены что Каспреский этого не пропустит?

уверен в нём на 100% с 2006 года не пропустил вирусы!!! и спасал комп мой много раз!!!

Dr.Web Security Space. Комп работает не напрягаясь и вирусов нема. Сравнивая с Каспирем - выбираю Dr.Web. Если ближе к теме о зашифрованных файлах, то пичальбида на близжайшее время можно распрощаться с "заражёнными" файлами. Что касательно человека открывшего файл с расширением *.cab, это тихий идиотизм. Нафига открывать файл неизвестного расширения??? Чтобы чо? А вообще политика должна запрещать открывать подобные файлы. Это касательно всех запускаемых файлов. Года три назад была реестровая шутка подобного рода, только там попроще было, через реестр менялись ассоциации файлов и дописывалось во все файлы парочку левых байтов - в итоге практически все файлы были нечитаемы. На хабре решили подобный вопрос.

...меру предосторожности сохраняю.
...
3. Не открываю всё подряд.
4. Не устанавливаю всё подряд...
5. Всегда делаю копию
...

Это, имхо, самые главные меры предосторожности.

Закиньте файл на https://www.virustotal.com/ и посмотрим, кто из антивирусов его детектирует а кто нет. Ссылку на отчет сюда.

https://www.virustotal.com/ru/file/9d7e69000174fed3023427bf6cdd3aaaed691fd19ed5d7f13a 02d9408dc641d9/analysis/1429677128/

Topikstarter, киньте этот вирусочек мне, я его попробую в эмуляторе запустить.

Установленный лицензионный НОД32 с ежедневным обновлением баз пропустил эту гадость молча
А я всегда говорил, что НОД это мусор, а не антивирус!

https://www.pentestit.ru/study/zerosecurity-a Программа стажировки "Zero Security: A" включает теоретическую (курсы-вебинары) и практическую (специализированная лаборатория) подготовку. В процессе обучения инструктора из «PENTESTIT» проводят специализированные обучающие курсы-вебинары по всем направлениям тестирования на проникновение. Закрепление полученных знаний на практике производится в специально созданной лаборатории. Стажировка проходит под руководством опытного куратора, который всегда ответит на возникающие вопросы.

В рамках стажировки "Zero Security: A" вы познакомитесь со специальными дистрибутивами (Kali, BackTrack Linux), освоите различный инструментарий для пентеста, изучите практически все его этапы: от разведки и сбора информации до закрепления в системе. Стажировка включает в себя уникальные занятия, в том числе по социальной инженерии.

Программа стажировки "Zero Security: A" - шаг в увлекательный мир ИБ и этичного хакинга! Присоединяйтесь к профессионалам!

Как упорно топикстартер делает вид, что не видит просьб о предоставлении файла.

Установленный лицензионный НОД32 с ежедневным обновлением баз пропустил эту гадость молча
А я всегда говорил, что НОД это мусор, а не антивирус!

я к вам присоединяюсь ,использовал нод и скажу это фигня на 100%

Как упорно топикстартер делает вид, что не видит просьб о предоставлении файла.
Зачем зря говорить, если не знаете. Всем, кто просил я выслал. Жду ответа от German Stimban (в личку ему написал).
Всем тем, кто тоже хочет поэкспериментировать с вирусом, сообщаю, что через личку отправить приложенный файл не получается. Поэтому присылайте свои емайлы, или , если хотите через дропбокс могу выложить.

Новость в тему:
Запущен сервис по удалению шифровальщика CoinVault и восстановлению данных (http://www.novostiit.net/zapushhen-servis-po-udaleniyu-shifrovalshhika-coinvault-i-vosstanovleniyu-dannyih-00019449)

CTB-Locker. Мы решили платить (http://habrahabr.ru/post/256573/)
http://habrastorage.org/files/2d8/150/fb0/2d8150fb0f434966858f9f6499911401.jpg

CTB-Locker. Мы решили платить (http://habrahabr.ru/post/256573/)

Пробежался по ссылкам и стало ясно, вирусу без разницы какой у вас антивирус. Всм антивирусы на него не реагируют.

CTB-Locker. Мы решили платить (http://habrahabr.ru/post/256573/)

Пробежался по ссылкам и стало ясно, вирусу без разницы какой у вас антивирус. Всм антивирусы на него не реагируют.
Касперский вроде ловит (я пробовал). Видит как trojan-downloader.win32.cabby.cfgt

Касперский вроде ловит (я пробовал). Видит как trojan-downloader.win32.cabby.cfgt
Касперский засек его при получении письма с вложением? В момент распаковки? Или уже после того, как вирус зашифровал файлы?

Cybersoft, посмотрел вирус. К сожалению, так и не смог его запустить.

Cybersoft, посмотрел вирус. К сожалению, так и не смог его запустить.

Его еще запустить надо? Какой вирус с достоинством :086:

Касперский вроде ловит (я пробовал). Видит как trojan-downloader.win32.cabby.cfgt
Касперский засек его при получении письма с вложением? В момент распаковки? Или уже после того, как вирус зашифровал файлы?

нашел в момент распаковки (Сохраняли из оутлука на жесткий диск. там был вроде архив . а внутри него еще архив и там уже был указанный файл). Но думаю если бы стоял компонент почтовый антивирус - то и при закачке письма в оутлук определил бы....базы вроде одни и те же используются (на данной машине почтового компонента не стояло). но в интернете действительно пишут что эта штука запускается как программа для шифрования и поэтому антивирусы его пропускают (человеческий фактор :) ).

Cybersoft, посмотрел вирус. К сожалению, так и не смог его запустить.
В смысле вирус не запустился? (может испугался подписи под аватаркой :))
Какое нить сообщение хотя бы вышло? Может архив битый был? Хотя то же самое высылал для Renatjon

Cybersoft, можно и мне тоже.

Какое нить сообщение хотя бы вышло? Может архив битый был?
Архив нормальный - какую-то dll-ку не нашёл и обиделся.


Его еще запустить надо? Какой вирус с достоинством :086:
Я упорный пользователь Linux. Пытался запустить через эмулятор, даже рядом подложил привлекательный doc-файл. Не судьба.

Архив нормальный - какую-то dll-ку не нашёл и обиделся.
Как запускать то его?

Как запускать то его?
wine имя_файла_косящего_под_скринсейвер.scr

О, только что кто-то неизвестный прислал сей вирус.

О, только что кто-то неизвестный прислал сей вирус.Отправьте ему обратно :).

Антивирус распознал?

Антивирус распознал?

Не пользуюсь сим счастием... Однако, cab-архив с scr-файлом внутри внушает много подозрений.

German Stimban, можете мне тоже отправить?

Abdurohman, куда?

Зачем вы тратите свое время на эту чепуху?

Зачем вы тратите свое время на эту чепуху?#Ничесебечепуха. Люди хотят убедится, что такое бывает, и начать сохранять данные в резервной копии, чтобы не потерять. Иначе крики и стоны "как так!?! Тут вся моя жизнь!"

Антивирус распознал?

Не пользуюсь сим счастием... Однако, cab-архив с scr-файлом внутри внушает много подозрений.
Напомню, что scr = exe, просто расширение другое.

Panda free antivirus сразу распознала и удалила из архива.