Вирус-вымогатель CryptoBot


DikiySan

Уважаемый пользователь
Форумчанин
Регистрация
22.02.2014
Сообщения
672
Репутация
2 093
Стоит лицензия kaspersky internet security 2015
Всё дело в настройках:

wmv - 10.0.4 win7 pro x64
30.01.15 KIS 15.0.1.415abru_7126
Настройки по умолчанию - новая версия Off - Запуск обновлений в ручном.
параметры внешней защиты (KSN) - Off другие программы - on
5.exe -

31.01.15 wmv 10.0.4 win7 pro x64
kis 15.0.1.415ru-ru_6841 установка без сетки!!!
ksn - off:новая версия - off:обновление - ручной - не обновляю!! :ЦП - Off:
по умолчанию "Поверхностный" поднимем до среднего

5.exe - распаковка - скан - проверен один файл,угроз не обнаружено.
запуск от админа - не успел

поднимем до "Глубокий"
5.exe - распаковка - скан - проверен один файл,угроз не обнаружено.
запуск от админа - без изменений

Оставим "Глубокий" - Действия при обнаружении - "Блокировать"
5.exe - без прилюдий запуск от админа причина лучше,но не то

изменим - Действия при обнаружении - "Лечить - неизлечимую удалять"
5.exe - печально но факт

изменим - Действия при обнаружении "Удалять"
5.exe -

Только в режиме Блокировки
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 104
Репутация
8 226
Заплатили, другого варианта мы не нашли.
Сейчас поздно уже что-то говорить, но всё-же скажу:

1)По мойму зря заплатили, т.к. во первых если сохранилось письмо, то можно попробовать было "Дёрнуть" пароль прям из вируса, да даже если письмо не сохранилось, то тоже шанс есть вытащить данные разными способами, это первое;

2)Второе, раз-уж пользуетесь ЛК, так и обратились-бы к ним, обрадывали-бы может вирусного аналитика, а-то как не прочитаешь интервью, все с кислыми лицами, типо "скучно" и т.д., а тут реальная работёнка-бы была...

К тому-же сами спецы ЛК рекомендуют неплатить шантажистам (Ведь не факт что пароль вообще пришлют, или что кстати не редкость, глючный вирус тупо несможет расшифровать файлы...), а обратится к ним за помощью, большая вероятность что решили-бы проблему (То-же касается и про другие АВ), всё-же раз заплатили деньги за защиту, а защита не справилась, пусть помогают и отрабатывют (ИМХО) !

3)Тем не менее, я-бы на вашем месте не стал всё так оставлять, какая вероятность, что злоумышленники не попробуют опять, ведь платят-же ?смех-смех!!!

Какая вероятность что кто-то другой что-то подобное не провернёт опять ?

Рекомендую провести расследование, либо самому, либо обратится в ЛК (Что наверное для вас лучше) !

Ну и если ЛК вас пошлёт, или захотите провести расследование сами, вот наводящие вопросы:

1)Сохранилось таки письмо ? Нужно проанализировать само "тело" вируса, во первых шифрует-ли только базу 1С, или вообще всё.

Если только базу, то большая вероятность, что атака шла конкретно на вашу организацию, тут опять-таки нужно думать, а не связан-ли тут кто-то из сотрудников и т.д.

2)У письма можно много-чего узнать, айпишники злоумышленника раз, адрес от куда пришло письмо два + как вы отсылали деньги, какие-то там счета, как вам прислали пароль расшифровки... Вся эта информация может в этоге привести к физической поимке злоумышленников...WinkSmile

3)Самый главный в этой ситуации пункт, как в дальнейшем избежать такой атаки ?

Ну во первых понять почему пропустил каспер, хотя я не удивлён, ибо шифровальщики хрен задетектишь, даже при мега-крутых настройках...WinkSmile

Тем не менее, первое что нужно, это нужен беккап, праввильно сказал Антоха !

Но не просто беккап, а защищённое хранилище, которое будет регулярно (раз в день-два) обновляться !

Также если на рабочем компе не нужны права админа, можно-же "Ограничить" права сотрудников до учётки обычных пользователей, а сами например базы хранить на диске С, тогда доступ к базе будет-же только у программы 1С, а у подобных вирусов не будет доступа, как-то так в кратце !WinkSmile
 
A

anricool

Гость
Мда если приходиться платить то да. А так в таких случаях я бы советывал переходить на виртуалку. А если денег нет тогда хоть бэкапы белать баз данных - скриптом или прогой на отдельный NAS или файловый сервер. После выплаты надеюсь в управление K обратились - таких уродов надо наказывать. И если каспер стоит - сразу гневное письмо с телом вируса в архиве что бы смотрели и алгоритмы разрабатывали по дешифровке.
 
Верх Низ