Полигон-2

Начальник снабжения открыла письмо "Счет на оплату...", сработал вирус, зашифровал все файлы, придав им расширение .vault, и выдал текстовый файл, что надо зарегистрироваться на каком-то там сайте, скачать безопасный браузер Tor, найти на компе файл-ключ, и следовать инструкциям.
На компе стояла Avira - то еще д...мо! Сколько раз убеждали шефа поставить Касперского. Уже у всех дома стоят свои Касперские, а на работе - такая вот фигня.
Сисадмин, он же проектировщик, он же пуско-наладчик-слаботочник, ему некогда, занялся я.
Естественно скачивать браузер Tor и следовать инструкциям я не стал. Я зашел на сайт Касперского, скачал бесплатную проверялку. При этом вирус выдал уже на рабочем столе заставку с инструкцией, эта заставка-баннер перекрывала пол рабочего стола.
Проверялка Касперского нашла вирус, убила его, затем я с сайта скачивал две разных утилиты для расшифровки файлов. Те утилиты просят указать любой зараженный файл, затем ищут сами уже остальные.
Но расшифровано 0 файлов.
Что еще можно попробовать?

DRWeb посылает аналогично

---

К сожалению, в данном случае расшифровка не в наших силах.

Собственно шифрование файлов выполнено общедоступным легитимным криптографическим ПО GPG (GnuPG)
Криптосхема на базе RSA-1024.
Подбор ключа расшифровки, к сожалению, невозможен.

Восстановление данных - из резервных копий, если велось резервное копирование.

Основная рекомендация:
обратитесь с заявлением в территориальное управление "К" МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates

Поскольку это RSA-1024, без содействия со стороны автора/хозяина троянца - вольного или невольного (арест соотв. людей правоохранительными органами) -
расшифровка не представляется практически возможной.

С уважением,
служба технической поддержки компании "Доктор Веб".

---

Ничего нельзя сделать, используйте бэкапы.

Я в шифровании чуть больше, чем не очень: в детстве игрались в разные шифры, и я легко их подбирал.
Но! Я понимаю, что если и DrWeb, и Касперский не могут расшифровать, значит, они не смогли никак взломать шифр. А наверняка они бы на своих компах запускали вирусы, смотрели, как они себя видут.
Ключ шифрования почти наверняка переменный. И почти наверняка привязан к компьютеру, раз на компе появился файл .KEY. На такие простые приманки, как у Tronix-а вирус клюнет и схавает, и не подавится. И везде ключ шифрования будет разным.
----------
На предложение написать заявление в подразделение "К" и т.д., шеф сказал примерно следующие: "Они изымут комп и накопают там столько, что потом ты сам будешь сидеть в подразделении К или еще где подальше. :-)

sanders написал:

[q]

Я в шифровании чуть больше, чем не очень: в детстве игрались в разные шифры, и я легко их подбирал.

[/q]

Ну в общем, современное шифрование продвинулось достаточно далеко, и современные общеизвестные алгоритмы вроде RSA устроены так, что если ключ имеет длину 128 бит, то на его подбор уйдут годы на лучших компьютерах, если 256 бит, то в два раза больше... ну а тут 1024 бита.


sanders написал:

[q]

На предложение написать заявление в подразделение "К"

[/q]

Есть второй вариант - скачать броузер Tor и следовать инструкциям. Чесслово, вполне возможно, что цена вопроса 500 рублей.

alecv написал:

[q]

DRWeb посылает аналогично

[/q]

Подождите. Возможно у вас свежая вирусяка. Придумают как дешифровать. Дайте время.

Раздел один, объем 100-200Гб, 7я винда, файлы именно те, что Вы написали по расширениям.
Зачем переставлять винт, если вируса уже нет? Можно на этой машине установить PDR?
PDR - это такой мощный дешифровщик? Как он поймет, что именно мне надо дешифровать?

Помимо шифрования такие зверюги, обычно, отрывают первые 1024 (и до 4096) байт файла и заменяют их своим кодом. В лучшем случае - огрызок держат где-нть в потаённом месте, в худшем - скока-б монет ты ни платил, скока попыток-б ни делал, скока "декриптор-прог" ни получал - своей инфы более не увидишь.

La Forge landesk вам в помощь (вроде бы так), что бы кто попало не сувал что попало куда попало, правда компы тормозят с ландеском сильно, это как в свое время, установить на пень второй -третий каспера 5-6 версии.. в итоге получить пень первый по производительности... ну, я отвлекся, с ландеском никто, без особого разрешения ничто не воткнет ни в один комп

Да никакой распространитель никаких декрипторов присылать не будет, деньги конечно возмет и привет.

alecv написал:

[q]

Да никакой распространитель никаких декрипторов присылать не будет, деньги конечно возмет и привет.

[/q]

Однако есть случай когда файл распространитель дешифровал,
причем еще денег с жертвы не смог получить.

DrPass написал:

[q]

Обычно просто шифруют каким-либо образом, а ключ у распространителя. Этого достаточно.

[/q]

Рискну предположить, что сам файл не шифруется, только информация о нем. Что происходит когда перемещаешь файл из папки в папку, меняется информация о файле. Когда удаляешь файл, удаляется информация о файле, сам он остается на жестком пока не отформатируешь, полным форматированием, или не произведешь дефрагментацию, или еще что нибудь в этом роде. Шифровщик просто уродует инфу о файле не трогая его, только так я могу объяснить то что восстановил данные PDR'кой.

Piligrim, хорошо что наши админы не читают наш форум Сотрите лучше название этой вашей проги (а то вдруг всё же читают!). От такой проги вреда больше чем пользы.

La Forge написал:

[q]

А у нас локальная сеть отделена от интернета. Но пользователей это не остановило Тетка получила такие файлы - опс, не открываются, взяла флэшечку и давай ее совать во все компы подряд в отделе В итоге вирь полез по сетке куда только возможно, ибо ни один антивирь его в тот момент не ловил. Всё это безобразие продолжается, а тётку собираются уволить.

[/q]

Тетушка тут не причем, с бабы спроса нет .
А вот что админ разрешил USB - молодой, никогда не восстанавливал деловую сеть с 000000 ...
В контроре, где я иногда бываю, ковырялочкой на матери выведены из строя все USB. Клавы и мыши - ПС/2 .
Всем под угрозой лишения премии ( все, что свыше минималки - премия ) запрещено ставить любой софт, диски в контейнерах съемные, для наискорейшего бэкапа, слот под диски - 1 шт.
Некотрым разрешено иметь свои диски в контейнерах.
Сети нет и разъем сети разрушен аппаратно. На компах - пломбы.
Проигрыватели дисков под крышечками с замочком, ключик - у админа ( ну это скорее для острастки, на ключике табличка из фольгированного стеклотекстолита с надписью "применять только в присуствии админа" ).
Однако, народ ходит на работу со своими ноутами для соцсетей, с сотовыми модемами.
На компах отсуствуют :
Оффис ( да, не фонтан... ),
Продукты Адобе ( кроме ПДФ-пидера )
...Еще много чего отсуствует.
Винты у всех маленькие, бэкапятся каждую неделю явочным порядком у админа.
Перез такими зверствами был потерян проект размером в полгода всей рабочей группы, по сети кодировщик распостранился...
У бухгалтерши рабочий комп без интернетова, все счета перебирает ручками с экрана ноута - и не ленится, т.к. после пары перестановок W с гарниром ей предложили услугу "лечение компа от вирусов" проводить по коммерческим расценкам в счет её зарплаты. Для успокоения подарили новый ноут - но только для работы и интернета.

La Forge написал:

[q]

... И охранники с овчарками наверное?

[/q]

Насчет сохранности железа - поступили очень просто :
Каждая железка, стоимостью от $10, имеет свой инв. номер и записана на конкретного чела.
Говорят, иногда попадаюся аппаратики без номера - тогда начальство решает, что делать - или пронумеровать/приписать, или сдать в пункт приема железа .

Доступ на ЮСБи был у меня (для фоток и прочего), у безопасника, и у начальника

La Forge Да, у меня не столько машин, но и те 30 компов на момент внедрения программки (не буду вслух говорить) были прескоты на 478 с 512 мб, или с гигом - это в лучшем случае, и я убедил начальство на апгрейд, и то , не "сразу", а постепенно, по 4-5 машин

Fe-Restorator написал:

[q]

Паранойя заразна.
Чем плоха схема с ежедневным централизованным бекапом и отсутствием локальных винчей на хостах?
Позапрещать локальные усб-соскИ тож можно, при необходимости. А коль нужно сливать например рабочие фотки, выделить под сие отдельный комп, он-же "сервер входящих".

Если к сети предприятия нельзя подобраться через общие сети, значит можно пробраться средствами социальной инженерии. Не сработает социальная, можно воспользоваться экономической инженерией или тупо силовым подходом...

[/q]

1. Работать без винтов в каждой машинке - это кошмар. Даже с резиновым ОЗУ. Софт, кстати, весьма требователен к размеру - некотрые рисунки почти не работают на 4 гб.
2. В том примере, который я привел, имеется защита только от субъекта, извесного в некотрых средах как "ТП" и лиц, имеющих не много различий с такой тетушкой.
3. Художники подобраны таким образом, что каждый рисует свой участок Картины, и если он в упор не справляется - или приглашают знающего , или всем коллективом стараются обойти сложное местечко. Кстати, рисование весьма длительно по времени, не меньше года или типа того.
4. К головному предприятию пытались некотрое время назад подобраться - но кое-кто решил не экономить на мелочах.

Звиняй, не вполне понимаю, что означает "рисунок". По-определению, это небольшая по площади роспись, выполненная вручную.

Без винчей работать можно, для локальной ОС приспособлены флешкарты, на манер SSD. Нешустро, но только на чтение - вполне приемлемо. Да и "ремонт" компа опосля вир-атаки сводится лишь к замене карточки на такую-же, из заранее заготовленного админом комплекта. BigBoss доволен - ремонт занимает всего 7 минут, 5 из которых - доехать на лифте на нужный этаж... Покалеченная флешка внимательно изучается, и ежли ТП действительно бродит по злачным секс-жопам, штраф ей неминуем (поначалу возбухали, но после пары "залётов" притихли и нежужьжьат ).
Шифровать данные - не получится, на-запись открыт только текущий файл, если порубится, то только он один, ибо зараз можно открыть на запись только один сетевой файл... (Как вариант - только 2, или только 3, одним словом - с ограничением на сессию).
Ежедневный бэкап, аврально-аварийный бекап, автоматическое резервирование открытых файлов средствами сервака - всё это в помощь.
В корридоре поставлен "USB-мат", то-бишь неттоп с USB-хабом и картридером. На него сливаются все флешки и карточки сотрудников, попутно проверяемые антисифом. Поскольку половина сотрудников - аутсорсеры, такой "мат" весьма полезен, особливо, когда везётся "куча документации от заказчика/клиента". Или кады надо слить инфу из сети предприятия для того-ж клиенту.

На компах сотрудников USB разъёмов нет, точнее - есть, но с +12В питанием и без сигнала. Был случай, коды бумкнуло, заискрилося и задымилося - пришедший клиент решил втихаря что-то слить себе на флешку...
Права поговорка: "на воре и флешка горит!".

MM написал:

[q]

сказать немогу - давал подписку о неразглашении, но по секрету

[/q]

Много пыли - толку нету. Ежли у тя всё посто раз перезасекречено, так и скажи, не стану вопрошать подробностей.