7 августа юзер поймала эту гадость. Практически все файлы (доки, таблицы, фото, аудио/видео, архивы...) оказались зашифрованными. У Касперского, Доктора  Вэба, Нод32, на ленте Вирус-инфо ничего внятного не нашел. Может не там ищу? Поделитесь есть ли решения этой проблемы. (отдать злоумышленникам вэб-мани не вариант).

У зашифрованных файлов расширение поменялось?

(4) Да. Добавилось milenium56m1@yahoo.com.
(3) дешифровщики
te94decrypt.exe
te225decrypt.exe
от заразы 7 июня не спасают. Фигня от Касперсконго тоже.

ну если и в моссовете...

Пиши на форум каспера

(5) Василий, набери в гугле milenium56m1@yahoo.com и увидишь все антивирусные форумы. Решение близко.

выложи один зашифрованный файл

Спецы от доктора поначалу с энтузиазмом пообещали лекарство (естественно сходу направил запрос в службу поддержки), но вот второй день у них вместо внятной картинки  вот такая заставка висит http://legal.drweb.com/encoder
(8) у меня эта картинка второй день развернута (результаты поиска)

(9) и один зараженный exe

На хабре была статья, где автор с помощью отладки и какой то матери, сумел таки от управляющего сервера вытащить ключи, но как бы руки у него росли из правильного места. И не факт, что у вас тот же случай http://habrahabr.ru/post/159811/

(2) лучше бы сразу начали переписку с мошенниками и параллельно заяву в полицию (правдо не помогут, но путь будет)

(10) вел переписку и с доктором и с каспером - пустое

если выложишь файл - скажу смогут ли тебе помочь доктор или каспер

(9) куда выложить?

(16) можешь на почту

текстовые файлы в папках появились с инструкцией ?

+ и закрой срочняком рдп

(15) Кстати (предвосхищая следующие рецепты) - подменя в зашифрованных файлах первых 5 байт тоже ничего не дала - шифрование оказалось серъезнее всех предыдущих случаев.

(18) Да, есть инструкция
(19) отрубил комп вообще от сети

Один пострадавший расшифровал важные файлы следующим образом: "Принесли мне в пятницу винт из другой организации с такой заразой для лечения. Погуглив нашел на тот момент только 4 ссылки, включая и этот форум(DRWEB). Т.к. лекарства на тот момент небыло и, я так понял, нет и сейчас, то решил поступить по другой схеме. Что бы зашифровать файл, вирус копировал их считывал с винта, шифровал, записывал под новым именем и удалял оригинал. Воспользовавшись прогами по восстановлению удалённых файлов востановил важную инфу, показал юзеру и тот пока остался доволен, то что було нужно восстановилось. Пробуйте, удачи.
Восстанавливал бесплатной утилитой PhotoRec".

(17) Отправил. Пароль на архив virus

(22) не помогло... Пробовал.

+ для 22 - это надо было наверное сразу сделать (и главное прекратить любые работы на диске). но увы... время ушло.

(0) трогательная история,
при чем здесь миста ни куя не понятно

(26) А ты не в курсе? - На Мисте быстрее всего можно найти решение проблемы (самый быстрый отзыв) и как показывает практика: если на Мисте решение не нашлось, то 90% за то, что и не найдется.

(26) места это не только форум по 1С. это коллективный разум (или коллективное бессознательное) способный(ое) помочь любому человеку в любой беде, ну кроме острого аппендицита.

С травмами, их лечением и хирургическими операциями своими руками тоже темы были.

Ковычки

http://forum.kaspersky.com/index.php?s=83b4fdc09ffd4bae48f9f762ec0e20b0&showtopic=266085

Запусти у себя и получишь пример зашифрованного файла.

(23)нет пока (

(30) это чо, если чо у меня примеров сколько вам и не снилося, нужен именно сабжевый

(31) 7.06 если не ошибаюсь как раз пятница и была

(29) Ага... Теперь они все на Ответах "практикуют".
Судя по первым постам, решения таки еще нет и можно сделать вывод, что многих сия участь обошла. Ну что ж.... придется видимо переустанавливать винду. Другим на заметку: строго настрого юзерам запретить принимать письма с арбитражного суда, аудиторских компаний и т.п., если юзер непосредственно с ними не работает.
(31) Странно... пришло уведомление об успешной доставке.

(32) может быть,позырим

(33) С хозяином червя уже связались? Вроде не много просит.

где-то с неделю назад продажница словила вирусяку. причем попалась где-то на обманку тривиально. хорошо что права обрублены были (выскакивал запрос на запуск от имени админиастратора - вообщем почему и обратилась продажница в техотдел) - но и то сисадмин потратил кучу времени на вычистку. Нод благополучно пропустил, другие антивири тоже не особо успешно...

я понимаю что смешно, но странно то, что куда смотрят правоохранительные органы..? пути оплаты известны - какие-то существенные проблемы...?

(35) да ну нах! пусть деваха по памяти восстанавливает доки , или сама платит. Аппетиты растут - поначалу такса 100 гривен, теперь уже цена вопросса 500. Приведу для наглядности цитату с одного форума:
"... инкриптили базу 1С
причем, сам декриптор лежал на зараженной машине
Короче, после торгов, база вернулась на 1500 уе"

(37) Уж пять дней прошло и то не все ловят.
https://www.virustotal.com/ru/file/cee2fd51cdbf5d6378eb05545308d9525925af007abf255f60912554405ad176/analysis/

Заколебался людям объяснять чем плохи AntiVir, Avast, AVG, Microsoft и прочие TrendMicro. Бесплатные, комплектные и со скидкой в 50%

(37) а толку от них? Это не поборами с бабулек, торгующих семечками, заниматся - здесь надо мозгами шевельнуть. Ну напишу... заберут комп, раскурочат и скажут, что так и было. Знаю я их...

(39) мне объясни. мой Avira лесом послал этот вирус

Да, по этому вообще ничего не скажу, шифрование не блоками по 8 байт, должно было долго работать

(41) Случайность. В следующий раз.

(38) было после нового года - все было согласно начальной цене 10 000 руб
декриптор найти думаю не трудно, трудно найти ключ

(0) а как обнаружилось - в виде окна или просто перестали открываться доки ?

(39) я хз, не могу точно сказать что за вирус был...

вместо всяких сколоков откатково и распилково занялись бы лучше проработкой вопросов системного противодействия злоумышленникам/вирусописателям... а тоя боюсь представить что в бюджетных (гос)конторах творится...

(39) совершенно обратная картина будет в другой раз и уже не единожды бывала

(42) Жаль... Как не прискорбно, но придется переставлять винду.
(0) Похоже она поздно спохватимлась - забила тревогу, когда уже ни одного дока, ни одной картинким не смогла открыть. Может и было окно предупреждения (у нее Панда стоит), но с перепугу она ничего вспомнить не может (сидит и ревет - много важных доков накрылось).

Это для (45) Похоже она поздно спохватимлась - забила тревогу, когда уже ни одного дока, ни одной картинким не смогла открыть. Может и было окно предупреждения (у нее Панда стоит), но с перепугу она ничего вспомнить не может (сидит и ревет - много важных доков накрылось).

Где вы серфите, что бы схватить вирус?

(48) Очень редко шаровые "нтивирусы" вперед нода, веба и касперского успевают. Наверное очень редко, т.к. я такого вообще не видел.

(50) Панда на утро понедельника не ловила
https://www.virustotal.com/ru/file/2ef59af039f4eb7f778886cafce4972d4db297487c730e6cd8e9e75de2323d2a/analysis/1370800282/
и сейчас не ловит.

(51) В данном случае пользователи по мылу получают доки якобы от своих контрагентов или госорганов.

http://forum.autoua.net/showflat.php?Cat=0&Number=7290286&page=0&fpart=3&vc=1
кстати некоторый samchik якобы получил дешифратор. И пропал.

судя по зашифрованным файлам шифровальщик довольно долго должен был работать, добивает 24 байтами

Венда не 7/8 ?

(53) могу выслать зашифрованный файл, декодер и ключ
(для другого раза)

(56) А мне зачем. Я не админю.

(51) Письмо по почте получила как бы с арбитражного суда. Ну и сдуру открыла...
(52) Она к нам из управления со своим компом пришла. И там уже панда стояла Обычно на такие слабые компы я ставлю Симантик, а на мощные Доктора лицензионного, но в этом случае перед отпуском не хотелось возюкаться и вот результат....

(52)
https://www.virustotal.com/ru/file/5e09a21bdf0748f3ca5f06ae74ca8049642904c4cf22f1cca8a61a4b66df522b/analysis/

венда всеж какая ?

Свяжись с мошенниками все же, если расшифруют какой ни будь файл, проси реквизиты их и девочке скажи, что бы шла оплачивала срочно там где дадут чеки, в связном например, и тут же высылай им скан чека.
(Все это конечно после того как они ответят и смогут расшифровать пару файлов)

(60) Да ХР - какая еще может на старом железе стоять...
(61) Она уже почти согласна, что файлам хана. Сейчас запущу установку. А платить террористам - не наш метод. :-)))

На самом деле, по поводу "шифровальщиков" ответ от антивирусных компаний был следующий: "Вы запускаете его сами - он получает доступ к пользовательским файлам и что-то с ними делает, после завершается. И ничем не отличается от обычной программы - то есть это не вирус."
Поэтому их очень сложно отловить.

А спасает, как всегда - своевременный BackUp.

Конечно, можно заблокировать пользователю запуск EXE-файлов, но это спорное решение.

если хп то только попытаться восстановить удаленные файлы, на сколько понял этот шифровальщик не шифрует исходный, а создает шифрованный и удаляет оригинал

(63) как заставить всех пользователей делать архивы ?

(64) какой хитры и злой :)

(64) Да. Именно так. Дата рековери ничего не дала.
(63) В том-то и дело , что по почтете был получен док (или ехе прикинуты доком, что вероятнее, и попвтка открытия вызвала срабатывание).

(0) радуйся

(68) Хохочу навзрыд.... Вот пепеустановлю виндяху и пойду догуливать отпуск.

(69) это же новый горизонт бизнеса
или ты ещё не понял ?

(65) Делать домен и папки пользователей на сервере - а далее, BackUp будет сам делаться. Если пользователи что-то где-то не там хранят, то чистить машины раз в неделю/месяц, чтобы помнили, что важное должно быть или в сетевой папке или на личной USB-флэшке.

+Фильтр корпоративной почты, чтобы все exe-файлы просто меняли расширение или удалялись - тогда явно никто и ничего не откроет.

(0)
что характерно - шифрование файлов процесс довольно долгий,
эт типа сидели ждали пока шло шифрование ?

либо как вариант - шифруется например начало файла - первая часть.

(73) в фоновом режиме, простой юзер заметит только притормаживания

а вообще (70) прав. Новая ветвь зарабатывать бабло из воздуха.
Хотел бы я глянуть на алгоритм шифрования

(51) Где серфите? Для примера, тут недавно гугл в своей выдаче по запросу "авито" выдавал сначала объявление со ссылкой на фишинговый муляж (типа авито.инфо), а только потом оригинальный сайт. Так-то.

(0) 10 тыщ - это налог на безответственность сисадмина. Платится один раз, как правило.
Бекапы, безопасность, мониторинг и еще раз бекапы.

Я бы предложил разделить 10к на три части - пользователь платил 3333 рубля за то, что лезет в порно и жмет всякую хрень, 3333 рубля с админа за (77) и 3333 рубля с конторы, за то что позволяет такой бардак.

(0) Да, решение есть, не качай порно с не проверенного сайта :)
И, Бесплатный сыр, только в мышеловке.

Так что будь готов к нежданчику, когда качаешь нелецнзионный софт и отключаешь проверку на вирусы у Кеy генов, когда антивирусник внятно писал, что там вирус :)
И не стоит верит сообщения типо - "Для установки нужно отключить антивирусник" :)
...
п.с. так что скорей всего, все ругалось, просто друган не стал заморачиваться на предупреждения :)

(0) сколько денег просят?

+(0)Обязательно зашли Касперскому сей файл с вирусом :)
Если правда он уже не само уничтожился :)

(73) есть быстрый метод - шифровать по 8 байт блоки
но в сабже либо большие блоки либо целиком, тогда долго

(70) этому горизонту как минимум 10 лет

(82)
( шифровать по 8 байт блоки ) времена dos прошли :)

я просто делал программу шифрования файла на пурбэсике(можно сказать что на ассемблере) - по скорости как архивирование.

могу сказать что если ключа нет - бедолаге в (0) можно только посочувствовать ибо помимо шифрования отсутствует часть ключа по определенному алгоритму
короче если программа не фейк - бесполезно туда лезть

если прога быстро что то "шифрует" - то скорее просто запутывает, либо шифрует часть файла

(84) Я бы ещё дополнительные потоки у файлов посмотрел.
А то, может быть, внутри файла мусор и закодированное имя потока с данными, а данные - в альтернативном потоке.

(85)
потоки...  говорят же тебе долго - любые операции с файлами довольно медленные даже копирование
или вот - сделай прогу которая просто тупо строит дерево диска и иди чай попей :)

(86) Скорость чтения диска - 10-30 Мб/с обычно.
Файлы пользователя не такие уж и большие, чтобы быть загруженными в память, зашифрованными, и записанными обратно.
Конечно, за 1-2 секунды не сделать, но время между ловлей вируса и его обнаружением может быть несколько дней.

(87)
тогда бесполезно

(87) Неважно, это вирус, ему не надо шифровать весь файл, только заголовок, может быть еще выборочно части тела файла, в зависимости от размера файла.
Ведь самое главное в вирусе, это скрытность :)

+(87) >>> быть несколько дней.

Тоже не вариант, его могут увидеть, по тому, что некоторые файлы перестанут быть доступными.
Ведь корзину шифровать нету смыслу, за мусор никто не заплатит ;)

(79) Ерунду говоришь. Юзер по порно не лазила - получила письмо как бы с арбитражного суда и пыталась открыть вложение. Это было в пятницу. В понедельник стала замечать что-то неладное, но не отдуплилась. Вызвали меня только во вторник, когда уже все, даже коврик мышки, были зашифрованы. Подождал от доктора обещанного дешифровщика - не дождался... Форматнул все и переставил винду.
(80) просили 500 гривен (курс где-то 1 к 8)
У нас в одной фирме (Черкассы) по такой же технологии зашифровалась 1С, сторговаться не смогли - слишком много запросили. Ребята начали работу с нуля. Кипишу было выше крыши, но увольнений избежали, хотя втыкон получили все от директора до уборщицы (фирма частная - хозяин из Киева).

Яндекс советует http://forum.drweb.com/index.php?showforum=35

не имея на руках сам вирус который зашифровывал расшифровать не удастся это точно, как вариант попытаться выяснить кому принадлежит кошелек на вебмани, но не знаю можно ли такое сделать.

2(84) Сказки не рассказывайте турбобейсик по скорости как ассемблер! Оборжаться.
Когда я писал на Ассемблере шифрование файлов и программ, то пользователь даже не замечал что у него при открытии происходила дешифровка контента.

(94) там вродь не про турбобейсик

2(95) слово бейсик все портит ) быстрее ассемблера ничего не нет, ну если конечно мы не начинаем говорить о микропрограммах , машинных кодах и остальной железячной начинке.

А PURE BASIC wiki:PureBasic, ну как он может сравниться в скорости с ассемблером.

Эта ссылка была? Если была - не грех и повторить
http://news.drweb.com/?i=3628&c=5&lng=ru&p=0

(96) сейчас хороший компилятор генерит лучший код чем средней руки прогер, а конкретно про PureBasic ничего и сам не знаю

(93) А если у меня есть файл до шифрования и этот же файл после шифрования ? Какая вероятность дешифровки ?

(99) 0%

Оно уже в Киеве. Одни из моих клиентов поймали. Как водится - архивов нет. Бухгалтерша чуть не поседела. Не знаю, сколько нейронов сгорело у сисадмина, но к вечеру все расшифровал. Говорит ДрВебом.

(101) это не оно

а если попробовать восстановить? он уже удалял оригиналы