Вход | Регистрация
 

Шифровальщик jabber-theone@safetyjabber.com

Шифровальщик jabber-theone@safetyjabber.com
Я
   Прохожий1С
 
12.08.19 - 13:14
Кто имел дело с этой дрянью?
 
 
   arsik
 
1 - 12.08.19 - 13:26
Зашифровал, так зашифровал. Что еще об этом говорить. Готовь бабло или забудь про данные.
   Krigal
 
2 - 12.08.19 - 13:27
(0) Конкретно этим - нет. Сталкивался с другими. Где были бэкапы - всё было хорошо. Где не было - чудес не случалось...
   Прохожий1С
 
3 - 12.08.19 - 13:29
(1) Есть смысл связываться с жуликами или нет?
   Beduin
 
4 - 12.08.19 - 13:30
(0) Ты поделись как поймал? Антивирус был какой?
   isa2net
 
5 - 12.08.19 - 13:32
(3) смотря где лежат данные, сетевые диски их расшифровщик может не обработать
   Прохожий1С
 
6 - 12.08.19 - 13:32
(4) Avast.
У компа нет связи с интернетом, а шифрование произошло в выходные, когда в офисе никого не было. Похоже, кто-то целенаправленно подгадил.
   Beduin
 
7 - 12.08.19 - 13:35
(6) Avast бесплатный?
Я NIS каждый год покупаю, постоянно мне что-то блокирует, но пока на всех 5 компах, где стоит ни разу не ловилось.
   Прохожий1С
 
8 - 12.08.19 - 13:38
(7) Да.
   Прохожий1С
 
9 - 12.08.19 - 13:42
(5) Диски обычные.

Как вообще происходят дела в подобных случаях? Какую сумму обычно требуют? Что они пришлют, если пришлют: файл-раскодировщик, ключ, расшифрованные файлы?
   APXi
 
10 - 12.08.19 - 13:45
(9) Раньше 1 биткоин просили
   elCust
 
11 - 12.08.19 - 13:46
Я однажды сталкивался. У клиента зашифрованы были файловые базы и файлы офисные. Внутри каждой директории лежал файл текстовый с е-майл для связи со злодеем. Я с клиентом вместе писали ему. Но клиенту файлы были не нужны, поэтому переписка была скорее для ржача. В итоге по разговору было похоже, что мы разговариваем с 15-ти летним ушлепком. Конечно Х что он получил гаденыш.
   Прохожий1С
 
12 - 12.08.19 - 13:46
(11) Нам нужны :\
   K1RSAN
 
13 - 12.08.19 - 13:49
(12) Недавно была беда. В итоге решили, что легче восстановить архив за пару дней, чем платить и ждать. Благо сейчас ЭСФ можно с сервера скачать, банковские документы тоже. Операторы заполнили базу, админ получил по шапке.
   Прохожий1С
 
14 - 12.08.19 - 13:50
(13) У нас полностью самописные базы, увы :\
   arsik
 
15 - 12.08.19 - 13:56
Помогу настроить сервер бэкапирования. Платно. :)
   Прохожий1С
 
16 - 12.08.19 - 14:00
(15) Спасибо, но это явно не то, что нам нужно в данный момент :\
   elCust
 
17 - 12.08.19 - 14:02
(16) Архивов нет совсем?
   Прохожий1С
 
18 - 12.08.19 - 14:02
(17) Есть далеко не на всё.
   elCust
 
19 - 12.08.19 - 14:04
Хоть кто-то интересно расшифровывал файлы оплачивая им? В интернете искали? Какая там статистика?
   Прохожий1С
 
20 - 12.08.19 - 14:06
(19) В интернете везде советуют никому не платить и не поддерживать мошенников. Но нам данные важнее чем возможные угрызения совести :\
   DrZombi
 
21 - 12.08.19 - 14:06
(9) Есть те, кто не делает бекапы, а есть, кто начал делать.
Бекапы нельзя хранить в одной и той же папке с БД (с того момента, как появились шифровальщики)
Доступ к архивам должно быть ограничено даже для Администратора домена, только избранная учетка "BackUp_Service" должна иметь полный доступ к бекапам :)
   Krigal
 
22 - 12.08.19 - 14:06
(16) Как-то лет 5 назад удалось вернуть файлы через теневые копии с помощью проги ShadowExplorer. Правда с тех пор шифровальщики шагнули довольно далеко вперед. Может быть и не прокатит.
А пока обдумываются варианты восстановления лучше накатать этим редискам и узнать про их требования.
   DrZombi
 
23 - 12.08.19 - 14:07
(20) Как хочешь, расшифровка, это тоже 50% успеха и 50% что кинут.
И вы понимаете, что вас зашифруют завтра повторно? :)
   ПускинАС
 
24 - 12.08.19 - 14:09
(19) да, в сша был случай когда электроснабжения сервера зашифровались, они тогда платили, в свое время года 2 назад очень много народу пострадало. Каспер тогда выпустил утилиту для расшифровки.
   Прохожий1С
 
25 - 12.08.19 - 14:09
(23) если расшифровать удастся, то к завтрашнему дню сервер будет стоять в сейфе :\
   DrZombi
 
26 - 12.08.19 - 14:09
+ А могут дать дешифратор, который окончательно  убьет данные... Это же преступники, а не дон-жуаны. :)
   DrZombi
 
27 - 12.08.19 - 14:10
(25) Сейф не спасет вас, только правильная настройка безопасности и раскошеливание на доп оборудование (HDD для бекапов)

https://ru.wikibooks.org/wiki/Системы_хранения_данных
   Krigal
 
28 - 12.08.19 - 14:11
(25) в сейфе и обесточенный?

(26) +1
Копии дисков сделать. Мало ли что...
   ПускинАС
 
29 - 12.08.19 - 14:12
(25) еще если не бэкпы то хоть apache который будет лочить 1cd
   XMMS
 
30 - 12.08.19 - 14:13
Неоднократно читал что в подобной вирусне иногда отсутствует возможность расшифровки или она не работает(ключ, который должен сохраняться для дальнейшей расшифровки, не сохраняется или не передаётся куда должен передаться).
Так что смотрите, готовы ли рисковать.
 
 Рекламное место пустует
   Прохожий1С
 
31 - 12.08.19 - 14:14
(30) Я так понимаю, для начала надо им один файл для расшифровки дать?
Нет гарантий - нет оплаты, это ясно :\
   ProxyInspector
 
32 - 12.08.19 - 14:14
Я знаю как минимум пару компаний, у которых не было бекапов, или где бекапы были зашифрованы. Компании платили деньги. Ключ высылался. Как минимум необходимые данные и базы были восстановлены.
  В случае этих компаний, бекапы, апачи не помогли. Шифровали через RDP с паролем админа :)
   Kigo_Kigo
 
33 - 12.08.19 - 14:16
3-е клиентов платили за расшифровку, расшифровали, принцип такой, пишешь на емейл и прикрепляешь небольшой зашифрованный файл, если в обратку пришлют расшифрованный файл, то можно платить, пришлют дешифратор, все данные восстоновите, но тогда аппетиты были не такие как сейчас, первый 5000 рублей платил, остпльные по 10000 рэ, крайний раз хотели около 60 000, но были посланы, кстатиу одного настроил бекапы(в облако) и локально лежали но с расширением dll, шифровальщик их не тронул
   ProxyInspector
 
34 - 12.08.19 - 14:16
(31) Нет гарантий - нет оплаты, это ясно
  По такой схеме они не работают. Слишком опасно.
  Обычно не кидают - это их бизнес
   Kigo_Kigo
 
35 - 12.08.19 - 14:17
главное сейчас не чистить комп, и подключить его к интернету, чтобы шифровальщик выплюнул данные в инет
   DrZombi
 
36 - 12.08.19 - 14:22
(35) Забавно, может тогда хардкор, еще парочку вирусов скачать, что бы наверняка :)
   Прохожий1С
 
37 - 12.08.19 - 14:23
Ещё мерзость в том, что у них не имейл, а джаббер :\
Сейчас пытаюсь разобраться в этой пакости :\
   Kigo_Kigo
 
38 - 12.08.19 - 14:26
(36) если он уже заражен, в чом смысл еще качать?
как выше уже сказали, это их бизнесесли была задача убить данные, их бы убили, а не шифровали
   Djelf
 
39 - 12.08.19 - 15:30
(0) Проверь что внутри шифрованных файлов. Бывает что только хидер портят.
Из моих один раз, там копий вообще не было, обошлось в 40к. Восстановили.
В другой раз раз 5 побольше вышло, дешифратор прислали но ничего не восстановилось...

Постоянно такие случаи ;(
А бэкапы да, причем не по самбе, а на ftp с паролем или еще как то.
А то они еще и все сетевые шары начали шифровать, даже меня успело по рдп зацепить, пока я его прибивал.
И бэкапы за несколько дней! Был случай - шифранули, а бэкап был уже после шифратора ;)

С (35) согласен, ключ еще может быть не потерян.
Если комп перегружали, наверное ключ потерян и платить бесполезно.
Хотя черт его знает, что там за ключ был...
   Winnie Buh
 
40 - 12.08.19 - 15:30
этой весной с конторы которую шифранули просили 2 биткоина, но там не вирусняк или письмо было, а целенаправленно их вскрывали, знали деньги у них есть
   Противный
 
41 - 12.08.19 - 15:31
(0) забей... восстанови что можно из архивов, остальное набивайте ручками...
Делайте нормальную защиту и не открывайте рдп наружу, по крайней мере на стандартном порту...
У мня недавность домашнюю торентокачалку открытую всем ветрам и с паролем 1234 по рдп типа хакнули... поржал... переставил систему усложнил пароль, убрал рдп из доступа извне... Причем прикол самый в том, что эта машинка пару лет так работала и никому не нужна была, а тут пришёл ростелеком и сразу дятлы полезли, хотя по идее сидим на серых ИП...
   Прохожий1С
 
42 - 12.08.19 - 15:44
(41) Это не вариант, увы :\
   gSha
 
43 - 12.08.19 - 15:47
мы однажды словили какой то другой ..
в общем с нас хотели 15 тысяч рублей ..
мы стали конючить что дорого , но у нас есть 7 тысяч ..
видимо понимая, что мы не их клиенты на третье письмо нам не ответили ..
   ПускинАС
 
44 - 12.08.19 - 16:04
(42) сколько просят то ?
   Прохожий1С
 
45 - 12.08.19 - 16:16
(44) Пока ещё не удалось связаться с гадами, настраиваю чёртов джаббер-клиент :\
   ПускинАС
 
46 - 12.08.19 - 16:20
(45) jabber.ru что его настраивать то, 3 минуты.
   ПускинАС
 
47 - 12.08.19 - 16:21
(45) домен жабера не обязательно должен совпадать ..
   isa2net
 
48 - 12.08.19 - 16:42
(42) https://noransom.kaspersky.com/ru/ здесь пробовали
   ПускинАС
 
49 - 12.08.19 - 16:46
(48) 09 Янв 2018, последняя версия, скорее всего не прокатит.
   isa2net
 
50 - 12.08.19 - 16:50
(49)  можно отправить запрос на расшифровку, у всех крупных производителей антивирусов есть эти сервисы
   Kigo_Kigo
 
51 - 12.08.19 - 16:52
(50) при наличии лицензии
   Kigo_Kigo
 
52 - 12.08.19 - 16:53
+и все равно шансы почти равны нулю
   isa2net
 
53 - 12.08.19 - 16:55
(6) так а выявить кто? Комп разблокирован? Планировщик смотреть.
   Глок 17
 
54 - 12.08.19 - 17:01
(0) Почему сразу дрянью? Очень полезный шифровальщик. Приучает делать бекапы.
   isa2net
 
55 - 12.08.19 - 17:03
По локалке пролез? все шифранул?
   Kigo_Kigo
 
56 - 12.08.19 - 17:06
(55) по локалке вроде шифровальшики еще не научили вроде лазить
   elCust
 
57 - 12.08.19 - 17:10
(56) Что ему мешает из реестра дернуть кэш проводника и поползать по этим путям. А поди еще C$ был открыт.
   Kigo_Kigo
 
58 - 12.08.19 - 17:42
(57)где то читал, Если он начнет лазить по локалке его будет легко поймать, по этому он этим не занимается, а тихо мирно шифрует и выпиливается
   ПускинАС
 
59 - 12.08.19 - 17:51
(50) единственный момент на расшифровку может уйти от 5 - **** дней
   Djelf
 
60 - 12.08.19 - 18:16
(55) Научились. У знакомого, но бестолкового админа с 3го раза шифровальщик все что было доступно по сетке убил.
А когда я полез эту хрень прибивать по рдп (потому как он не осилил такое действие) он и мои диски слегка успел покоцать.
Завел отдельный пустой диск для рдп ;)
   VKS
 
61 - 12.08.19 - 18:43
Как сейчас не знаю, но в прошлые годы несколько знакомых контор ловило шифровальщики, некоторые не по одному разу. Все платили, данные расшифровывали.
В одной конторе забавно вышло, шифровальщик сагрился на сетевую помойку где сотни пользователей хранили свои файлы. Чего там только не накопилось за 7 лет. В результате застрял там так, что уже пользаки сами заметили, что что-то не так с файлами, сказали админам, а те не спешно нашли комп с вирусом и отключили от сети. Вирус так и не успел все зашифровать.
   Глок 17
 
62 - 12.08.19 - 18:48
(60) >> У знакомого, но бестолкового админа

>> он и мои диски слегка успел покоцать

Ахаххаха! Два бестолковых админа :))))
   NorthWind
 
63 - 12.08.19 - 18:53
(58) там на его совесть рассчитывают что ли? Не вполне видно, в чем тут может быть проблема, кроме прав на запись в шару пользователя, из-под которого эта дрянь простартовала. Все что доступно на запись из-под оболтусов - должно бэкапиться, все файлопомойки и прочее подобное. Полезно и на случай саботажа, если кто-то решит нагадить и нужные файлы удалить.
   Djelf
 
64 - 12.08.19 - 19:14
(62) А я не админ, я программер! Мне заблуждаться в системах безопасности можно... Но не во второй раз ;)
   ShAV
 
65 - 12.08.19 - 19:36
Dr.WEB лицензионный. Определяет 50/50. Вроде бы есть еще превентивный механизм обнаружения (по характеру действия, а не по сигнатурам), но на него надежды мало. Регулярно мониторю шифровальщики, приходящие в письмах клиентам. Отправляю тех. службам Dr.WEB. Ответ всегда один: добавим в базы. На возмущение о дырявости их антивирусника - реакции никакой :)
   ShAV
 
66 - 12.08.19 - 19:41
По поводу расшифровки ответ соответствующего сервиса Dr.WEB на одном из форумов...

Александр Бролин, служба технической поддержки DrWeb
"Возможность полноценной расшифровки может появиться только в следующих случаях :
1) полиция поймает злоумышленников (разумеется, если не будет заявлений от пострадавших, то вымогателей ловить никто не будет);
2) кто-нибудь выкупит у вымогателей соотв. шифроключ и поделится этим ключом с общественностью;
3) случится революция в криптографии, и будут разработаны эффективные методы взлома RSA

В принципе, вы можете надеяться на то, что реализуется вариант (2)
Такой шанс есть - по имеющемуся опыту : процентов ~10 в течение месяца, и ~20 , что вообще когда-нибудь

Итого: некоторое время хранить зашифрованные файлы - смысл есть"
 
 Рекламное место пустует
   isa2net
 
67 - 12.08.19 - 20:11
(66)  А как она ключ закрытый запросила? Или генерит его на лету?
   Прохожий1С
 
68 - 15.08.19 - 12:52
Чудеса случаются.
Нашли свежий бэкап на другой машине.
Не повторяйте моих ошибок :\
   NikVars
 
69 - 15.08.19 - 13:39
(68) А в чем твоя ошибка?
   argus
 
70 - 16.08.19 - 09:55
Народ theone@safetyjabber.com КИДНЯК - не платите ни копейки. После оплаты первой суммы прилетит требование оплатить вторую. И так до бесконечности
   Прохожий1С
 
71 - 16.08.19 - 13:55
И что, даже для пруфа файл не расшифровывает?
   hhhh
 
72 - 16.08.19 - 14:01
(69) думаю, что основная ошибка, что бэкапы бывает тоже доступны для шифрования. И он гад сначала бэкапы шифрует, а потом уже базы.
   sitex
 
73 - 16.08.19 - 14:02
(72)Бекапы сделать без расширения
   Прохожий1С
 
74 - 16.08.19 - 14:04
(72) Основная моя ошибка в том, что бэкапить нужно ВСЁ :\
   hhhh
 
75 - 16.08.19 - 14:05
(73) ну это они обойдут. Они тоже развиваются.
   sitex
 
76 - 16.08.19 - 14:07
(75) Это понятно. Но те шифровальщики которые работают по списку расширений откуда будут знать к примеру такое расширение ._7_z_i_p ? или вообщем "рандомно" сделать расширение.
   sitex
 
77 - 16.08.19 - 14:08
(76) У себя к стати в хранилище так и сделал.
   Прохожий1С
 
78 - 16.08.19 - 14:17
(76) Вот этот конкретный урод зашифровал почти всё кроме txt. А файлы без расширения сдохли :\
   sitex
 
79 - 16.08.19 - 14:18
(78) Без расширений обычно затирает, без шифрования с подменой имени в туже папку
   Прохожий1С
 
80 - 16.08.19 - 14:18
(70) он вообше жив ещё? В джаббере онлайн так и не засветился ни разу :\
   sitex
 
81 - 16.08.19 - 14:19
(79) + та же прога dmde легко это восстановить.
   ПускинАС
 
82 - 16.08.19 - 14:51
(80) так он может быть в скрытом режиме
   hhhh
 
83 - 16.08.19 - 15:36
(81) ну вообще-то им проще всё подряд шифровать. Какая разница какое расширение. Если файл более менее большой, шифровать. Не понимаю, зачем им расширения.
   isa2net
 
84 - 16.08.19 - 15:48
Надо резать права на запись, стандартная виндовая архивация на диск, пишет через свою учетку, если на диск, то он даже в проводнике не виден.
   hhhh
 
85 - 16.08.19 - 15:56
(84) ну там у стандартной виндовой записи офигенный пароль придуман для ее учетки?  или просто пароль пробел?
   Krigal
 
86 - 16.08.19 - 16:03
(83) Чтобы система работала и была возможность прочитать их послание. И шифровать всё подряд тоже хлопотное дело. Особенно на слабых пк. Ведь могут и спалить в самый ответственный момент. Знаю контору у которой шифровальщик неделю(!!!!!) хозяйничал, пока базы 1с не сожрал. А они думали, что просто комп стал слишком старый и тормозит.
   isa2net
 
87 - 16.08.19 - 16:16
(85) Под встроенной в систему учеткой, пароли к ней вы не назначаете.
   Velman
 
88 - 16.08.19 - 16:19
Все не читал, но база походу файловая
   isa2net
 
89 - 16.08.19 - 16:30
(88) еще во время "плаксы" обсуждали преимущества клиент-серверного в плане безопасности. К единому мнению не пришли)


Список тем форума
Рекламное место пустует  Рекламное место пустует
Ошибка? Это не ошибка, это системная функция.
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.