Увага! Вірус в поштовій розсилці! (Доповнено)

Важлива інформація від розробника
Сообщение JojIG
ОТ: 20 ноя 2015, 15:11
Сообщения: 301
Зарегистрирован: 29 янв 2013, 11:14

Благодарил (а): 29 раз.
Поблагодарили: 124 раз.

В качестве шифровальщика vault выступает бесплатная утилита для шифрования gpg и популярный алгоритм шифрования — RSA-1024. Так как по своей сути эта утилита много где используется, не является вирусом сама по себе, антивирусы пропускают и не блокируют ее работу. Формируется открытый и закрытый ключ для шифрования файлов. Закрытый ключ остается на сервере хакеров, открытый на компьютере пользователя.

ддумаю любой антивир пропустил бы при прямом запуске файла, при достаточных правах пользователя.

Сообщение Колпаков Б.И.
ОТ: 20 ноя 2015, 22:49
Сообщения: 7906
Зарегистрирован: 29 июл 2011, 14:59
Откуда: Украина, Донецкая область, Бахмут
Благодарил (а): 7447 раз.
Поблагодарили: 2322 раз.

Если есть зловред в коде не должен.
Только если он этот код не знает и эвристика на него не сработает.

Сообщение JojIG
ОТ: 21 ноя 2015, 00:01
Сообщения: 301
Зарегистрирован: 29 янв 2013, 11:14

Благодарил (а): 29 раз.
Поблагодарили: 124 раз.

нет зловреда. есть яваскирпт который разрешен, спасибо WEBy, и чистый алгоритм шифрования. То-же самое что самому открыть дверь вОрам считая их работниками комунслужб.
ИМХО конечно.
| Показать
http://serveradmin.ru/vault-virus/


Сообщение Igor A.
ОТ: 23 ноя 2015, 11:27
Сообщения: 409
Зарегистрирован: 01 июл 2011, 09:35
Откуда: Конотоп
Благодарил (а): 12 раз.
Поблагодарили: 138 раз.

Колпаков Б.И. писал(а):А подробнее можно какая именно версия была ESET NOD32 Antivirus ?

Конечно можно.
8-ая версия НОД32 Антивирус.
Я отослал в ESET.UA письмо-предложение "поделится деньгами" от злоумышленников, которое находилось в файле "readme", В письме все разложено по полочкам, куда зайти, что скачать, где посмотреть, как активироваться на сайте и куда скинуть инфо. Мне в ESET сказали "большое спасибо" и все.
Вот так.

Сообщение rsv
ОТ: 08 дек 2015, 17:37
Сообщения: 860
Зарегистрирован: 08 окт 2012, 18:20
Откуда: Гондурас
Благодарил (а): 53 раз.
Поблагодарили: 310 раз.

brain_corp писал(а):Это Vault вирус, коллеги! ;) недели 2 назад попался еще один клиент, и все зашифровалось,в т.ч и база 1с, но медка не коснулось.
И все зашифрованные файлы принимают ярлык в виде желтого замка

Вже коснулось!!! Але це вже не Vault вірус, а більш витончений.
3 грудня один з клієнтів отримав листа щастя з актом звірки.
І ось що ми маємо:
файли, в т.ч. і база медка, шифруються і замість попередніх файлів ми отримуємо приблизно отаке ім’я файлу: email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-HOTZGLQWCHMSYDINTZEJPVAFLQWBHMSXCIOT-03.12.2015 9@34@499195249.randomname-HQZELQWCINSYEJOUAFKQVBGLRXCHNS.YEJ.cbf
Сьогодні я це щастя бачив. Клієнта врятувало лише те, що були резервні копії зроблені.
А взагалі за цей тиждень декілька організацій вже з цим зіткнулися.

Сообщение Владимир
ОТ: 08 дек 2015, 22:56
Сообщения: 61
Зарегистрирован: 21 июн 2011, 17:51
Откуда: г. Желтые Воды, Днепропетровская область.
Благодарил (а): 197 раз.
Поблагодарили: 69 раз.

Мне на почту приходило несколько писем с просьбой ниже дословно:

| Показать
Билак Юлия <bilak_ju77@zakupd.ru>

6:51 (14 ч. назад)

кому: мне
Доброго дня!
Подивіться будь ласка акт звірки, підпишіть і скиньте нам скан
АКТ ЗВІРКИ

З повагою,
ООО "СКК"
Билак Юлия


На слове АКТ ЗВІРКИ стоит активная ссылка на внешний ресурс.
Проведите беседу со своими клиентами, разошлите на крайний случай предупреждение о подобном способе передачи вируса. Ну и кроме того у меня есть много организаций, которые банально экономят на услугах системных администраторов, и естественно никаких бекапов и т.п. Экономия может оказаться слишком дорогой. Лично для себя я сделал ежедневное архивирование основных файлов (так сказать суточных отчетов) и баз 1С за каждый день на гугловский диск, с которого автоматом инфа подгружается на домашний комп. Это все-таки довольно просто, хотя правда нет полной гарантии, что там тоже не зашифрует, если будет поймана подобная дрянь, поэтому еще производится ручной бекап внутри домашнего компа с диска гугля в локальный диск. По крайней мере информация за большую часть времени сохранится. Ну где-то так. Каждый может себе придумать свой способ обеспечения бекапа, с невозможностью изменять файлы бекапа уже после архивирования. Удачи в разъяснительной работе и защите от напастей. ;)

Сообщение rsv
ОТ: 09 дек 2015, 11:00
Сообщения: 860
Зарегистрирован: 08 окт 2012, 18:20
Откуда: Гондурас
Благодарил (а): 53 раз.
Поблагодарили: 310 раз.

Владимир писал(а):Мне на почту приходило несколько писем с просьбой ниже дословно:

| Показать
Билак Юлия <bilak_ju77@zakupd.ru>

6:51 (14 ч. назад)

кому: мне
Доброго дня!
Подивіться будь ласка акт звірки, підпишіть і скиньте нам скан
АКТ ЗВІРКИ

З повагою,
ООО "СКК"
Билак Юлия

Один в один те саме, що я вчора бачив. Тільки замість Юлі - Елена Власенко. Навіть назва фірми співпадає - СКК. І ще там контактні телефони були вказані київскі

Сообщение Колпаков Б.И.
ОТ: 10 дек 2015, 12:59
Сообщения: 7906
Зарегистрирован: 29 июл 2011, 14:59
Откуда: Украина, Донецкая область, Бахмут
Благодарил (а): 7447 раз.
Поблагодарили: 2322 раз.

Владимир писал(а):На слове АКТ ЗВІРКИ стоит активная ссылка на внешний ресурс.
Проведите беседу со своими клиентами, разошлите на крайний случай предупреждение о подобном способе передачи вируса. Ну и кроме того у меня есть много организаций, которые банально экономят на услугах системных администраторов, и естественно никаких бекапов и т.п. Экономия может оказаться слишком дорогой. Лично для себя я сделал ежедневное архивирование основных файлов (так сказать суточных отчетов) и баз 1С за каждый день на гугловский диск, с которого автоматом инфа подгружается на домашний комп. Это все-таки довольно просто, хотя правда нет полной гарантии, что там тоже не зашифрует, если будет поймана подобная дрянь, поэтому еще производится ручной бекап внутри домашнего компа с диска гугля в локальный диск. По крайней мере информация за большую часть времени сохранится. Ну где-то так. Каждый может себе придумать свой способ обеспечения бекапа, с невозможностью изменять файлы бекапа уже после архивирования. Удачи в разъяснительной работе и защите от напастей. ;)

В гугл драйв простая синхронизация, если файл изменился он просто его заменит. Тут только ручное копирование на другой(сменный) носитель.
Для начала повысите уровень UAC. Это поможет обезопасить себя от незапланированных инсталляций!
Платный антивирус последней версии с фаэрволом!

Сообщение ferret
ОТ: 10 дек 2015, 13:15
Сообщения: 350
Зарегистрирован: 13 июл 2012, 15:20
Откуда: Острова Зеленого Мыса
Благодарил (а): 10 раз.
Поблагодарили: 70 раз.

Колпаков Б.И. писал(а):Тут только ручное копирование на другой(сменный) носитель.
Для начала повысите уровень UAC. Это поможет обезопасить себя от незапланированных инсталляций!
Платный антивирус последней версии с фаэрволом!

золотые слова....

Сообщение Xhazard
ОТ: 10 дек 2015, 14:20
Сообщения: 891
Зарегистрирован: 29 авг 2011, 10:59

Благодарил (а): 631 раз.
Поблагодарили: 384 раз.

Получил такой же акт "счастья".
Ради эксперимента на виртуальной машине с лицензионным антивирусом Касперского перешел по ссылке.
Каспер успешно заблокировал вирусовый контент.
Народ, зарабатывая деньги, не забывайте тратить малую их толику на антивирусную защиту.
Это окупается сторицей.

Сообщение Колпаков Б.И.
ОТ: 11 дек 2015, 11:23
Сообщения: 7906
Зарегистрирован: 29 июл 2011, 14:59
Откуда: Украина, Донецкая область, Бахмут
Благодарил (а): 7447 раз.
Поблагодарили: 2322 раз.

А можно увидеть отчет каспера, что бы понять с чем Мы боремся?
Так же интересна версия каспера?

Сообщение Xhazard
ОТ: 17 дек 2015, 14:35
Сообщения: 891
Зарегистрирован: 29 авг 2011, 10:59

Благодарил (а): 631 раз.
Поблагодарили: 384 раз.

Логов нет. Во время проверки временно стоял KAV, т.к. не было KESа под Windows10
После релиза KES под Windows10 я снова вернулся на KES.
Если найду письмо - попробую проверить уже с KES.

Сообщение Колпаков Б.И.
ОТ: 30 мар 2016, 09:58
Сообщения: 7906
Зарегистрирован: 29 июл 2011, 14:59
Откуда: Украина, Донецкая область, Бахмут
Благодарил (а): 7447 раз.
Поблагодарили: 2322 раз.

БУДЬТЕ ВНИМАТЕЛЬНЫ!
Злоумышленники разработали новое вредоносное ПО, шифрующее данные пользователя и требующее выкуп за их разблокировку. Но если ранее подобные программы шифровали лишь отдельные категории файлов (документы, фотографии, видео), то новый зловред под названием Petya (Win32.Trojan-Ransom.Petya.A‘), якобы, шифрует весь диск.

Для заражения компьютера и блокировки его работы первоначально злоумышленники отправляют жертве выглядящее безобидным письмо. Оно, якобы, отправлено соискателем работы в отдел кадров компании и содержит ссылку на загрузку архива портфолио работ, хранящегося в папке на сервисе Dropbox. Однако маскирующийся под архив исполняемый файл на самом деле является вредоносным ПО, которое сразу же модифицирует загрузочную запись на системном накопителе и вызывает аварийное завершение работы компьютера.
http://itc.ua/news/zlovred-vyimogatel-p ... u-dannyih/

ps: Мне сегодня утром пришло подобное:
| Показать
ИзображениеИзображение


Сообщение ferret
ОТ: 30 мар 2016, 11:27
Сообщения: 350
Зарегистрирован: 13 июл 2012, 15:20
Откуда: Острова Зеленого Мыса
Благодарил (а): 10 раз.
Поблагодарили: 70 раз.

все равно откроют( из любопытства)

Сообщение Колпаков Б.И.
ОТ: 12 апр 2016, 16:00
Сообщения: 7906
Зарегистрирован: 29 июл 2011, 14:59
Откуда: Украина, Донецкая область, Бахмут
Благодарил (а): 7447 раз.
Поблагодарили: 2322 раз.

Создана утилита для бесплатной расшифровки файлов закодированных зловредом-вымогателем Petya
http://itc.ua/blogs/sozdana-utilita-dly ... lem-petya/

Сообщение Постійний читач
ОТ: 14 апр 2016, 13:58
Сообщения: 754
Зарегистрирован: 08 окт 2012, 21:32

Благодарил (а): 402 раз.
Поблагодарили: 263 раз.

Пішло таке вже

| Показать
Безымянный.jpg
Безымянный.jpg (28.65 КБ) Просмотров: 1042


Це вже не вперше, але від імені Рошена - прикольно.
Цікаво що вся подібна лабуда то є .ru

Сообщение alexmar
ОТ: 14 апр 2016, 15:08
Сообщения: 76
Зарегистрирован: 13 июн 2013, 18:51

Благодарил (а): 8 раз.
Поблагодарили: 11 раз.

Постійний читач писал(а):Пішло таке вже
Цікаво що вся подібна лабуда то є .ru

Інформаційна війна :evil:

Сообщение a1exeynik
ОТ: 14 апр 2016, 16:02
Сообщения: 133
Зарегистрирован: 16 ноя 2012, 16:43

Благодарил (а): 28 раз.
Поблагодарили: 23 раз.

Да? А чего тогда мне пришло тоже самое но с bezdolnaya.v@skvortsovo.com.ua ?

Сообщение Колпаков Б.И.
ОТ: 14 апр 2016, 16:11
Сообщения: 7906
Зарегистрирован: 29 июл 2011, 14:59
Откуда: Украина, Донецкая область, Бахмут
Благодарил (а): 7447 раз.
Поблагодарили: 2322 раз.

Погуглите это мыло и все поймете.

Сообщение agtrif
ОТ: 14 апр 2016, 16:13
Сообщения: 74
Зарегистрирован: 24 янв 2014, 14:31

Благодарил (а): 6 раз.
Поблагодарили: 29 раз.

a1exeynik писал(а):Да? А чего тогда мне пришло тоже самое но с bezdolnaya.v@skvortsovo.com.ua ?

Смотрите тело письма . (в почтовых клиентах - ctr+u, в gmail - показать оригинал.
Тот адрес, который светится у Вас как отправитель, никакого отношения к реальному оправителю не имеет.

Пред.След.

Вернуться в Новини

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0