gifts2017

Вирусы-шифровальщики

Опубликовал Анянов Михаил (insurgut) в раздел Администрирование - Системное

В последнее время набирает популярность разновидность таких вирусов, как шифровальщики. Очень часто объектами шифрования становятся и файлы баз 1С. Надеюсь эта краткая инструкция для ваших сотрудников поможет не допустить необратимого шифрования ваших файлов.

Небольшое лирическое отступление

Статья потихоньку превращается в своего рода «Курс молодого бойца» по борьбе с такой напастью, как «Вирусы-шифровальщики». Статья не преследует целей рекламы каких бы то ни было продуктов. Не утверждает, что описанные в статье методы являются 100% гарантией защиты. Все решения по настройке ОС, выборе антивирусного ПО - целиком и полностью зависит только от вас!

Принцип действия

В большинстве случаев вирус приходит по электронной почте в виде вложения от незнакомого вам человека, или же от имени банка или другой крупной организации, имя которой вам уже скорее всего известно. Письма эти приходят с заголовком вида: «Акт-сверки…», «Карточка предприятия…», «Ваша задолженность перед банком…», «Проверка регистрационных данных» и прочее. В письме содержатся вложения с документами, якобы подтверждающими факт, указанный в заголовке письма. При открытии этого вложения происходит моментальный запуск вируса-шифровальщика, который незаметно зашифрует все ваши документы, видео, изображения на всех дисках и восстановить их уже будет невозможно. Увидеть это будет легко - все файлы, которые имели до этого значки, станут с иконками неизвестного типа файлов.

Пример файла до и после работы вируса-шифровальщика 

Рис. 1. Пример файла до и после работы вируса-шифровальщика

Как определить?

Вложения этих писем чаще всего бывают в архивах .zip, .rar, .7z, .cab (в настройках многих антивирусов по умолчанию отключена проверка архивов). И уже внутри этих архивов находятся на первый взгляд безобидные документы.

Если в настройках системы отключена функция отображения расширения файлов, то вы увидите лишь файлы вида «Документ.doc» или «Акт.xls» или что-то подобное. Если же включить отображение расширения файлов, то сразу будет видно, что на самом деле это не документы, а исполняемые программы или скрипты, так как имена файлов будут немного другого вида, например, «Документ.doc.exe» или «Акт.xls.js». При открытии таких файлов происходит не открытие документа, а запуск вируса-шифровальщика.

Краткий список «опасных» расширений файлов – т.е. если вы достоверно точно не знаете, что вам прислали, то вероятнее всего за ним спрятан вирус-шифровальщик: .exe, .com, .js, .wbs, .hta, .bat, .cmd

Для того, чтобы включить отображение расширений файлов, необходимо…

… если у вас Windows 8/Windows 8.1

Наверху открытого окна перейти на вкладку «Вид» и установить галочку напротив «Расширения имен файлов»

… если у вас Windows 7

На клавиатуре нажать левый Alt. Наверху появится главное меню. В нем открыть меню «Сервис – Параметры папок». В открывшемся окне перейти на вкладку «Вид». В списке дополнительных параметров почти в самом низу снять галочку напротив «Скрывать расширения для зарегистрированных типов файлов».

… если у вас Windows XP

Все аналогично Windows 7 за исключением нажатия кнопки Alt для вызова главного меню. Оно обычно всегда отображается в Windows XP.

Как не допустить заражения

Конечно же никогда не открывать вложения в письмах от незнакомых вам людей. Всегда можно уточнить, ответив на письмо, кто он (отправитель) такой, и откуда он узнал адрес вашей электронной почты.

Если же желание открыть вложения у вас не убавилось – обязательно проверьте расширения вложенных файлов. Если они заканчиваются на указанные выше «опасные» расширения файлов – ни в коем случае не открывайте их. Проше попросить отправителя выслать файлы в другом формате. Помните, в большинстве случаев отправитель даже не подозревает, что от его имени отправлялись файлы вируса-шифровальщика, и скорее всего он ответит вам, что ничего вам не отправлял и знать вас – не знает.

Более-менее адекватное антивирусное ПО, которое ловит эти вирусы-шифровальщики, это, пожалуй, Kaspersky Internet Security. Список антивирусов, известных мне, которые точно не прошли проверки и не заблокировали этот вирус - это Avast! и Microsoft Endpoint Protection.

В любом случае 100% защиты от антивируса ждать не стоит. Так как живут вирусы 2-3 дня, и после добавления их в базу антивирусов, код их переписывается.

update 28.04.2015: Так же есть технология теневого копирования в ОС Windows 7, которая позволяет откатить файл до рабочего состояния. Вопрос только в размерах вашего жесткого диска и свободного места на нем.

update 21.08.2015: Недавно столкнулся с очередным "заражением" - файлы пользователя были зашифрованы. Сценарий - полностью идентичен. В архиве находился сценарий под видом документа Excel. Мы пойдем другим путем, решил я, и открыл оснастку Управления групповой политикой в домене (сразу уточню - я программист, системное администрирование - побочный род деятельности, поэтому реализовал задачу как смог).

Актуально для сети с использованием домена Active DirectoryПерехожу в объекты групповой политики и создаю новый объект "Запрет выполнения скриптов". Перехожу в конфигурацию пользователя - Настройки - Параметры панели управления - Параметры папок.

Добавляю 3 объекта для расширений hta, js, vbs с сопоставлением notepad.exe. Назначаю нужным группам пользователей созданный объект групповой политики. После перезагрузки все скрипты по умолчанию открываются через Блокнот и, как следствите, кроме недопонимания пользователя, не вызывают никаких других непоправимых последствий.

update 04.02.2016: Сегодня случилось очередное ЧП локального формата. Менеджеру по продажам пришло письмо с манящим заголовком Карточка предприятия с одноименным архивом .rar во вложении. И даже несмотря на то, что никаких карточек ни от какого клиента он не ждал - архив открыл. И увидев внутри Карточка предприятия.exe - не задумываясь его запустил... Встроенный в ОС Защитник Windows видимо не ожидал такой наглости злоумышленников и... спокойно пропустил запуск .exe файла из этого архива. Результат само собой на лицо - все файлы пользователя оказались зараженными.

Ограничивать политиками список разрешенных программ конечно дело неблагодарное, поэтому решил пойти другим путем... Возможно для многих будет приятной неожиданностью, но Касперский выпустил наконец бесплатную версию антивируса, с сильно урезанным функционалом... но и оставшегося хватает для большинства рабочих мест. Вот как-раз его и удалось протестировать на клиенте. Само собой расшифровать зашифрованное никакому продукту не по силам, интересен был лишь факт блокировки шифровальщика (по моему скромному опыту - Avast! с этой задачей не справляется, может что-то изменилось уже - но доверия к этому антивирусу уже нет).

Итак, после установки и запуска без изменения настроек Kaspersky Free - вообще никак не отреагировал на запуск .exe файла вируса-шифровальщика, что конечно-же обескуражило - надежды не оправдались :( Однако, решил поиграться с настройками и, только после того, как выставил высокий уровень защиты для файлового антивируса, добился желаемого результата - файл с вирусом-шифровальщиком был заблокирован в момент запуска!

Насколько надежна далее будет эта версия антивируса от Касперского - покажет конечно же время.

См. также

Подписаться Добавить вознаграждение

Комментарии

1. Юрий Гуреев (Gureev) 05.11.14 11:24
Поймать этих вирусописателей, и поотрубать им пальцы.

И это еще гуманно...
vakham; puzakov; sergio199; amon_ra; +4 Ответить 2
2. Елена Пименова (Bukaska) 05.11.14 11:28
Вы показали как раз одну из последних версий. От которых нет ключа расшифровки. И сразу скажу, что сейчас чаще всего используется тип шифрования RSA1024. Достаточно почитать что это такое, когда нужно разделить на множители и сомножители. Тут ключ расшифровки поискать - не каждый программер справится. Так что с данными в большинстве случаев приходится и прощаться.
Если тип шифрования AES256, то тут чуток полегче ситуация)
3. Александр Лыткин (TrinitronOTV) 05.11.14 12:13
"Более-менее адекватное антивирусное ПО, которое ловит эти вирусы-шифровальщики, это, пожалуй, Kaspersky Internet Security" -- походу ещё и скрытая реклама...
В целом спасибо за предупреждение
StBender; Silenser; nikaleks; LavinVadik; +4 Ответить 2
4. Дмитрий (kofr1c) 05.11.14 12:20
пффф...а не пробовали сажать юзеров за камп без админских прав? это не больно ;)
Ivan-r777; madonov; trickster; Зеленоград; RAMZEZzz; nikaleks; the1; amon_ra; +8 Ответить 7
5. Cooler (Cooler) 05.11.14 12:33
(4) Видимо, вы еще не сталкивались с этой заразой: шифруются как раз пользовательские файлы, на которые у юзера есть все права.
ut2k5; Cupuyc76; dimajak; Stradivari; +4 Ответить 1
6. Анянов Михаил (insurgut) 05.11.14 12:36
(3) TrinitronOTV, не преследую никаких рекламных целей, много антивирусного ПО, но все попробовать - ни времени ни желания нет. Привел конкретное антивирусное ПО, потому что все они "пообщались" с письмами, вложения в которых содержали эти вирусы-шифровальщики. Только Касперский заблокировал. Остальные даже не моргнули и не шелохнулись, как будто так и надо. В любом случае антивирус - не панацея. Самое сложное - донести до пользователей, чтобы не открывали все, что ни попадя.
ivnik; Анатолий50; +2 Ответить 2
7. Анянов Михаил (insurgut) 05.11.14 12:37
(4) kofr1c, как (5) уже ответили, прав администратора выполнения шифрования пользовательских файлов - не нужно. UAC тоже никак не реагирует на них.
8. Анянов Михаил (insurgut) 05.11.14 12:41
Если кому интересная цена вопроса - просят вредители перевести на счет N "всего-навсего" один bitcoin :) Сейчас это примерно 15т.р. Гарантий соответственно - никаких. Может и вышлют дешифратор, а может и не вышлют.
9. Юрий Гуреев (Gureev) 05.11.14 12:53
(8) insurgut, теперь понятно для чего ЦБ запретил биткоины

такие вот сволочи поганят хорошие идеи(
10. Александр Лыткин (TrinitronOTV) 05.11.14 13:04
(6) insurgut, полностью с вами согласен
11. Юрий Гончарук (yukon) 05.11.14 13:08
(4) kofr1c,

Можно еще попробовать делать резервные копии. По описанию похоже, что тоже безболезненная процедура.

(8) insurgut,

Говорят, высылают. Но 15 тыс. рублей это многовато, конечно, для проверки.
12. Cooler (Cooler) 05.11.14 13:09
(6)
Только Касперский заблокировал. Остальные даже не моргнули и не шелохнулись, как будто так и надо.
Можно уточнить: Касперский среагировал на вирус, известный ему (получается, только ему?) или на сам факт запуска приложения (неизвестного) из письма?
13. Анянов Михаил (insurgut) 05.11.14 13:21
(12) Cooler, на вирус, известный ему. Просто оперативность у команды Касперского - повыше будет. Насколько понимаю - сигнатур у шифровальщиков нет, и код постоянно разный.
14. Tindir Mindir (tindir) 05.11.14 13:21
ДетективнаяИсторияМодеОН
Есть контора, которая ональ...очень хорошо огорожена от всякой бяки. Приходил "мальчик ИТС" прикинувшись сотрдником их франча и подкинул им пару таких веселых штук. Участвовал в "загоне дичи". весело. Последнее что видел, как ребята в страйкбольной форме под омон выводи парнягу и сажали в "воронок". думаю надолго парень запомнит урок.
ДетективнаяИсторияМодеОФФ
15. Елена Пименова (Bukaska) 05.11.14 13:22
(12) Cooler, у одной из наших клиенток касперский среагировал, и удалил часть файлов(но не все), во всяком случае процесс шифрования он остановил, но..
Вирус успел зашифровать файлы, находящиеся в папке мои документы, из чего делаю выводы, что базы нужно располагать не на системном разделе, так как вирус в первую очередь шифрует системные папки пользователя, и файлы в них)
Ключ расшифровки с 13 октября ждем у доктора веба - пока дело темное
16. Анянов Михаил (insurgut) 05.11.14 13:23
Еще очень славится на этом поприще Dr.WEB. Они еще и дешифраторы для старых шифровальщиков предоставляют "бесплатно" для обладателей лицензией Доктор ВЭБа. Где-то даже предположения видел, что написание шифраторов Dr.WEB и спонсирует. Но правды мы никогда не узнаем.
17. Елена Пименова (Bukaska) 05.11.14 13:24
(16) insurgut, Бугага.. от старых шифровальщиков.. а от новых - ни у кого мозгов не хватает)))
18. Елена Пименова (Bukaska) 05.11.14 13:27
(4) kofr1c, Скорее наоборот..
Нужно папку с важными данными сделать атрибуты только на запись.
Насколько я понимаю, шифровальщику нужно сначала прочитать информацию, а потом уже шифровать.. соответственно , если он не сможет прочитать, не факт что он будет шифровать там что-то)
19. Анянов Михаил (insurgut) 05.11.14 13:33
(17) Bukaska, как понимаю от новых сидеть и ждать, пока он свой "урожай" соберет, а потом алгоритмы генерации ключа для дешифровки отдаст заказчику. Как-то так наверное :)
20. Анянов Михаил (insurgut) 05.11.14 13:34
(18) Bukaska, а как вы будете открывать файлы сами? Единственная панацея пока - это голова на плечах ну и бэкапы. Только на рабочий машинах настраивать резервное копирование - накладно.
21. Анянов Михаил (insurgut) 05.11.14 13:35
Да, забыл, еще можно использовать альтернативную ОС (*nix, macos). Может кто-то подскажет еще какие-то простые методы защиты от такого рода вирусов?
22. Елена Пименова (Bukaska) 05.11.14 13:43
(21) insurgut, По мне так как минимум это иметь систему с последними обновлениями, полноценный антивирусный продукт(именно решение Интернет Секьюрити), а не мизер домашний. Ну и в первую очередь - это не открывать что попало. А с этим как раз главная проблема..
У меня только за это лето приходило три раза письма от суда, ено я как-то не клунула, сразу удалила с глаз долой)))
23. Наталья Медведева (masik85) 05.11.14 13:51
Предупрежден- значит вооружен!..у нас пролетал такой вирусняк, благодаря настройке прав у пользователей, ничего не повредил, но я испытала его на своей шкуре :) надо же было увидеть действие ..на компе ничего особо ценного не было, по сети он не лезет ни с какими правами(это спасло) , шифрует все офисные файлы, jpg и ВНИМАНИЕ! .cf
все пробные , тестовые базы были зашифрованы
Кстати Kaspersky Endpoint Security 10 не поймал его, даже намека не сделал
24. Cooler (Cooler) 05.11.14 13:51
(15) А сами не пробовали? Какая разновидность вируса была? Мне недавно te94decrypt.exe очень хорошо помог. Если затрудняетесь, то могу подсобить, нужен любой зашифрованный файл, желательно doc, xls или zip, хотя проверять расшифровку удобнее всего по txt, но кто их использует?

И крайне желательна любая информация по вирусу, начиная с адреса электронной почты для связи со злоумышленниками.

(16) Не верю: у них и без того очень неплохой бизнес. Я, в свою очередь, где-то читал, что продаются вирусы-конструкторы: покупаешь "комплект разработчика", вводишь свои данные, компилируешь - и начинаешь отбивать инвестиции.

(20) Ограничение прав на чтение подразумевается как раз к папке для бэкапов: записать в нее новый архив можно, а прочитать и зашифровать старый - низзя!
25. Елена Пименова (Bukaska) 05.11.14 14:03
(24) Cooler, RSA1024 осилишь? Дохтур веб с 13 октября осилить не могут.. всё ждемс.
Народ уже восьмерочные базы почти 10 организаций перевбивал всё ручками, так как время сдачи отчетности)
тельце вируса у меня тоже есть.. но.. я ж говорю.. что Каспер не дал до конца ему доработать.и комп уже перезагружался.. думаю дохлый номер. Хотя поделиться тушкой и логом могу, но не жду гарантий)
26. Сергей Илларионов (BlackCors) 05.11.14 15:07
Kaspersky Endpoint Security 10 не поймал его, даже намека не сделал

(23) masik85, у Каспера есть безопасный режим, который позволяет открыть подозрительные файлы в западне.
Но разве им кто пользуется? ;)
JohnConnor; masik85; Bukaska; +3 Ответить 1
27. Maxim Kolkin (the1) 10.11.14 12:59
Попадали пару раз, пришлось листать по 10 тыр
28. Анянов Михаил (insurgut) 10.11.14 13:33
(27) the1, сценарий заражения отличался? Или так же открывались вложения писем электронной почты от неизвестных людей?
29. Елена Пименова (Bukaska) 10.11.14 13:51
(28) insurgut, Зачем их открывать.. когда у вас в письме типа: посмотреть информацию или прочитать - в виде ссылки..
Нормальный суд не будет кормить ссылками, а притащут в руки вам нужные документы.
А народ как всегда.. ай да я залезу посмотрю, что там такое..? и тут же: Аааа.. спасите, помогите..
да бугага: поздняк пить боржоми, когда почки отказали)
30. Анянов Михаил (insurgut) 10.11.14 13:57
(29) Bukaska, причем тут ссылки?
31. Maxim Kolkin (the1) 10.11.14 14:02
(28) insurgut, открывали вложение.
32. Анянов Михаил (insurgut) 10.11.14 14:07
(31) the1, пока эта схема работает, менять они (злоумышленники) ее вряд-ли будут. Поэтому единственный более менее проверенный вариант - включать настройку отображения расширения файлов и не открывать файлы, с расширениями исполняемых файлов (*.exe, *.com) или скриптов (*.js, *.wbs).
33. Елена Пименова (Bukaska) 10.11.14 14:29
(30) insurgut, При том))
Версия вируса 4.0.0.0
Версия 4.1.0.0 и выше)
Конечно я привела чуть более другую разновидность вируса, но из той же категории.
По части моих ссылок - ключа разблокировки не существует, так что остерегайтесь подобных писем)
34. Анянов Михаил (insurgut) 10.11.14 14:55
(33) Bukaska, я к тому, что обычно заражение именно через вложенные файлы происходит, потому что "не ходить по непонятным ссылкам" люди хоть как-то немного научились. Хотя предела человеческой глупости конечно нет.
35. Елена Пименова (Bukaska) 10.11.14 15:25
(34) insurgut,
Хотя предела человеческой глупости конечно нет.

и никогда не будет)))
36. Николай Полубаров (prolog) 11.11.14 17:26
(1) Gureev, Отрубить им пальцы ног по самые уши
37. DAnry (DAnry) 12.11.14 19:03
Спасибо за статью. Предупрежден - значит вооружен. У нас ещё такой бяки не было, но думаю это дело времени...
38. Пабло (CaptainMorgan) 12.11.14 21:32
Вообще все в мире взаимосвязано.
Чаще всего бывает так.
При первом обрушении информационной системы руководитель понимает, что фирме нужен системный администратор. При втором - понимает, что Сисадмин должен получать зарплату. После очередного инцидента в фирме создается ИТ служба с начальником и подчиненными.

Николай Рерих:"Благословенны трудности, ибо ими растем"
39. Maxim Goncharov (maxx) 12.11.14 22:33
Вот что пишут эти КОЗЛЫ

Добрый день, если вы нам пишите то с 99% вероятностью файлы вашей\вашего фирмы\предприятия были зашифрованны
Сразу хотим сказать что угрозы в любом виде абсолютно не несут не какой смысловой нагрузки.
Ведем диалог только с адекватными льдьми.
Теперь к делу, ваш сервер был взломан по причине халатности\профнепригодности вашего системного администратора который должным образом не обеспечил безопасность сервера вашей фирмы.
Мы не говорим что мы хорошие и делаем только ради помощи, каждый зарабатывает как может ну а мы в свою очередь хотим донести фирмам что к обеспечению безопасности сервера если вы ведете предпринемательскую деятельность нужно относиться серьезно!
шифровку файлов не стоит принимать как повод горевать, растраиваться, опускать руки, это стоит воспринимать как урок и стимул задуматься на будущее.
Есть много хакеров которые делают на много более страшные вещи на взломанных серверах, сливают
файлы конкурентам, подменивают банковские реквизиты, достают ценную информацию, естесвенно все зависит от того какие файлы вы на сервере.
Ну и естественно ущерб при таких действиях кратно умножается (мы ваши файлы в своих корыстных целях не используем)
Так что не отчаиватесь, за льбой урок нужно платить.
Теперь что касается расшифроки,только у нас есть возможность востановить все файлы до единого включая базы данных 1с
С радостью продемонстрируем возможность расшифровки файлов дабы не быть голословными.
Можете прислать несколько небольших файлов, мы их расшифруем и вышлем вам.
Базы 1с до оплаты не высылаем, если вам нужны доказательства расшифровки именно баз 1с то мы можем вам выслать доступ к программе TeamViwer с помощью которой вы подсоединитесь к нам на пк и мы покажем расшифрованные базы.
Естественно мы покажем уязвимость на вашем сервере и дадим рекомендации по безопасности, если все правильно настроить и делать регулярные бакепы то в будущем волноваться будет не за что.
Теперь по оплате, цена вопроса 1000$, оплатить нужно на киви кошелек, оплату можно произвести через любой терминал qiwi или салон связи.
В качестве подтверждения оплаты нужно будет приложить фото чека\либо если же вы платите через онлайн банкинг либо переводите с платежной системы то выписку из счета.
Разумный обоснованный торг уместен.
После оплаты вышлем дешефратор, в нем нужно будет лишь сделать 2 нажатия клавишы, вабрать диск с зашифрованными файлами и нажать кнопку "расшифровать", как правило процедура востановления занимает не более полу часа.

Анатолий50; +1 Ответить 1
40. Андрей Козлов (RAMZEZzz) 13.11.14 00:27
(39) maxx, прикольно.
Тоже доводилось общаться, что то писали про помощь голодным детям африки в виде одного биткоина.
Из важных файлов пошифровалась только одна база 1cd
Но потом в итоге восстановил ее вручную, т.к. пошифрована была не полностью а частями, заголовок и по 1кб через каждые 10мб.
с помощью hex редактора, тестированием и исправлением и chdbfl.exe удалось вернуть ее к жизни с незначительными потерями в справочниках...
41. Сергей (Che) Коцюра (CheBurator) 13.11.14 01:03
статья ни о чем.
для многих пользователей все что они перед собой видят - это какой-то значок, который у них ассоцируется прочно и навязчиво с документом - потому как чаще всего с "документами" и работает основная масса пипла, которая допускает заражение компов. Документ и все. и о никаких расширениях они не думают и не подозревают.
.
совет "не открывать от незнакомых людей/адресов" - канает только там, если вы не работаете в конторе где куча персонла и куча внешних связей. как пример: на мою просьбу к своим менеджерам не открывать от незнакомых людей - ответ один - условно можно так: = пнх! мотивируется просто (и мне нечем возразить) - сетевые клиенты шлют свои письма с разных адресов, даже не уведомляя - с какого ззахотелдось с такого и послали. слать встречный вопрос - и ждать сутки ответа - поставить под срыв отгрузки, план продаж, премии и прочее.
.
поэтому единственный более-менее вменяемый рецепт: - это продуктивная и внимательная работа ИТ-отдела по предотвращению угроз.
но, как известно, от всего защититься нельзя..
вот сидим и ждем, когда "бабахнет"
madonov; Ibrogim; AlenaR; Trucker; Анатолий50; +5 Ответить 2
42. genx_350 genx_350 (genx_350) 13.11.14 01:39
Есть мнение что на сервере, где стоит 1С сервер не должно быть даже интернета, т.к.SQL не любит наличие антивирусов. Не знаю на сколько правда подскажите? А вообще для хождения по сомнительным сайтам и открытия странных файлов можно завести виртуальную машину и открывать всё на ней, а уж потом, если что открывать на рабочем компьютере.
43. Анянов Михаил (insurgut) 13.11.14 07:40
(41) CheBurator, ну на самом деле - самое действенное это обращать внимание на расширение файлов. Во всех известных мне случаях это были документы вида Важный.doc.js (последнее расширение по умолчанию скрыто). А в остальном вы правы - статья не поможет людям, которые не задумываются о том, что может прийти им по почте и с криками "пнх все" открывают все подряд. Только никакая IT-инфраструктура 100% не защитит в этом случае.
Можно конечно каждому пользователю выделить по персональному серверу, развернуть его работу на виртуальных машинах. Ежечасно делать снимки виртуальных машин. Но это мягко говоря - дороговато.
44. Анянов Михаил (insurgut) 13.11.14 07:45
(42) genx_350, в идеале так, достаточно поднять в сети сервер обновлений, чтобы сервер 1С получал их без подключения к интернету. Но в обычной жизни люди хотят подключаться напрямую к серверу из дома (если рассматривать мелкие организации). Потом руководитель спросит "почему это я не могу сделать то или то", в результате у него появляются права администратора. Это один из сценариев.
45. Анянов Михаил (insurgut) 13.11.14 07:47
Вот еще один вариант "письма счастья":

Ваши документы, фото, базы данных, а также другие важные файлы были зашифрованы с использованием криптостойкого алгоритма RSA-1024.

1. Проведем паралель работы шифровальщика на примере материального предмета (=Вашего файла)
- Вирус берет Ваш чемодан с документами.
- Используя Ваш ключ выполняет его шифрование
- Вирус перетирает содержимое в пыль, фактически затирая и перезаписывая каждый байт данных при помощи уникального ключа
- Вы сможете из пыли собрать чемодан с документами? Нет.
- Восстановить данные можно только имея специальный ключ, который содержится у нас в базе.

2.1. Каждый компьютер/пользователь имеет свой уникальный ключ (KEY.PRIVATE) и дополнительный файл-идентификатор (UNIQUE.PRIVATE)
2.2. Для восстановления всех Ваших данных нужны только эти два файла. Ваши файлы могут быть восстановлены только Вашим ключем.
2.3. Ваш случай - ассиметричное шифрование RSA-1024, используется в военной сфере. Подобрать/взломать его невозможно.
При шифровании, в разные места компьютера был скопирован 'KEY.PRIVATE' и специальный ID-файл 'UNIQUE.PRIVATE'. Не удалите их

3.1. У Вас есть 2 варианта:
- если данные важны - делаете запрос на дешифрование. Вполне разумное решение
- если данные не важны - форматируете диск
Не стоит ждать появления универсального дешифратора от антивирусных лабораторий.
3.2. Ваши ресурсы, необходимые для быстрого решения вопроса:
- KEY.PRIVATE
- UNIQUE.PRIVATE
- Несколько зашифрованных файлов с расширением .paycrypt@gmail_com для примера
3.3. Без вышеперечисленных составляющих восстановление не представляется возможным.

4.1. Инструкция и гарантии:
- С нами связь держать можно только по электронной почте paycrypt@gmail.com
- Мы демонстрируем, что Ваши файлы подлежат восстановлению. Каким образом?
Вы отправляете пару зашифрованных файлов с расширением paycrypt@gmail_com нам на почту, вместе с KEY.PRIVATE и UNIQUE.PRIVATE
В ответ, Вы получите два тестовых расшифрованных файла и инструкцию к дальнейшим действиям.
Тестовое дешифрование предоставляет Вам гарантию того, что файлы могут быть восстановлены.

- Вы получаете гарантии людей, кто уже работал с нами и восстановили данные.
В нашем Твиттер аккаунте мы выборочно публикуем e-mail покупателей.

4.2. При подаче нам запроса, для определения стоимости и предоставления гарантий, необходимо отправить нам следующее:
- вложение к письму без архива: KEY.PRIVATE
- вложение к письму без архива: UNIQUE.PRIVATE
- тестовый зашифрованный файл с расширением .paycrypt@gmail_com не более 3МБ
- по желанию 2-й тестовый зашифрованный файл с расширением .paycrypt@gmail_com не более 3МБ.
Более 2-х файлов не отправляйте. Для демонстрации дешифрования этого достаточно.

4.3. ВАЖНО. Вы должны подать системе запрос с KEY.PRIVATE и UNIQUE.PRIVATE в течение суток от даты ключа - для регистрации на будущее дешифрование. Дата ключа - 30.10
Вам не обязательно сразу оплачивать. Однако если Вы не зарегистрируетесь в течение суток, система имеет основание для повышения стоимости.

4.4. Тестовое дешифрование разрешено ТОЛЬКО следующих типов файлов: (JPG, JPEG, PDF, DOC, DOCX) и НЕ БОЛЕЕ 3 мегабайт за файл.
4.5. Если Ваша стоимость будет более 500 USD, мы дополнительно предоставим Вам гарантии восстановления других форматов (XLS, ZIP, CDR, DWG).
4.6. ВАЖНО. XLS, базы 1C и пр важные документы по понятным причинам не дешифруются для демонстрации.
После оплаты дешифратора они будут полностью восстановлены, как и остальные файлы.
4.7. АВТООТВЕТЧИК: paycrypt@gmail.com


5.1. Внимательно читайте инстукцию, которую Вы получите вместе с дешифратором.
5.2. После дешифрования все оригинальные имена файлов восстанавливаются
5.3. Во время работы Вы получите дополнительные инструкции.


6. FAQ (Вопрос-Ответ)

[-] Где найти KEY.PRIVATE и UNIQUE.PRIVATE
= При начале работы ПО, KEY.PRIVATE копируется в несколько мест, дабы Вы его не удалили случайно
= Без файла KEY.PRIVATE дешифровка невозможна. Он может находится по след. путям: Корни дисков, папка APPDATA, папка TEMP
= Программа дешифровщик будет идти вместе с ключем и детальной инструкцией

[-] Я не могу найти KEY.RPIVATE и UNIQUE.PRIVATE.
= Возможно это сетевой диск, поищите в папке APPDATA и TEMP или на компьютерах других пользователей, если такие есть.

[-] А если мне нужно только 1 файл дешифровать? А у меня 20 тысяч ненужных?
= К сожалению, у Вас есть выбор дешифровать все или ничего.

[-] ОЧЕНЬ ВСЕ СЛОЖНО КАК-ТО, я ничего не понимаю что происходит
= Процедура восстановления очень проста.
1. Ваши файлы зашифрованы. Отправьте нам письмо с KEY и UNIQUE в течение суток.
2. Нашли KEY.PRIVATE и UNIQUE.KEY на своем ПК, взяли пару зашифрованных файлов - отправили на почту paycrypt@gmail.com
3. Через некоторое время получаете ответ с гарантиями, инструкцией и стоимостью. Посетите наш Twitter. Посмотрите, что все получают ключи
4. После оплаты получаете ключ дешифрования, ПО и инструкцию по дешифрованию.

7. ГАРАНТИИ: http://twitter.com/keybtc
8. ПОЧТА: paycrypt@gmail.com

Время блокировки: 30.10 14:53
Регистрацию необходимо пройти до завтра.
46. Сергей Вн (EmpireSer) 13.11.14 12:47
(45) insurgut,
Письмо весёлое :-)

Кстати, я не видел пока вирусов/шифровальщиков, которые могли изменять профили безопасности у файлов.
Я к критическим файлам как раз меняю профили: удаляю наследованные, добавляю разрешение к группе "Все" с пометками только чтения и исполнения (т.е. файл удалить нельзя, записывать нельзя, читать разрешения нельзя, смена разрешений и владельца - нельзя), и меняю владельца на "кого-то" (например на систему).

Вернуть возможность изменения файла можно только в несколько муторных этапов, но только если будут права администратора (удаление разрешений тоже идут под правами администратора).

Когда у нас в конторе делали механизмы шифрования для своего ПО (на Delphi), то я как-то залез в мануалы Microsoft по этому вопросу... после двух дней головной боли я плюнул на это.
Может поэтому мне не попадались вирусы/скрипты которые могут изменять настройки безопасности для файлов :-)))
AllexSoft; bandru; +2 Ответить 1
47. Анянов Михаил (insurgut) 13.11.14 18:29
(46) EmpireSer, я таким образом флешку рабочую защитил :) Но для обычных пользователей это, увы, дремучий лес. :(
48. Сергей Вн (EmpireSer) 14.11.14 01:25
(47) insurgut,
А я даже не представляю как другие программисты/администраторы разговаривают с этими "дремучими" пользователями...

Ведь в реальности хватит одного часа, что бы написать "топорный" шифровальщик (если не меньше). И ни какой антивирус его не распознает.
А вот если использовать ещё дополнительную систему шифрования исполняемого файла и разными алгоритмами - то вообще можно "кучу бабла наварить" :-)))

P.S. Что бы написать вирус получше следует почитать про Metasploit (Секреты Metasploit) и его прекрасный модуль Meterpreter

(1) Gureev, (36) prolog,
Не согласен. Я считаю, что пользователи не должны быть хуже "баранов" работая за компьютером. В реальном мире даже от разукрашенного и красивого волка баран убежит и не будет любоваться и ласкаться к нему :-) Большинство же компьютерных пользователей поступают как раз наоборот... им только напиши красивые фразы и покажи интересные картинки - они и откроют что тебе нужно, и скачают с "левого ресурса"... они даже и антивирус отключить могут...
49. Андрей Овсянкин (Evil Beaver) 14.11.14 11:26
(11) yukon, если высылают, то можно отследить. Имхо, имеет смысл подключать прокуратуру и попытаться сделать "контрольную закупку".
50. Анянов Михаил (insurgut) 14.11.14 12:36
(49) Evil Beaver, нет, это (по крайней мере у нас) - бесполезно. Вся почта злоумышленников, по которой ведется переписка, заводится на зарубежных серверах. Оплата производится так же на обезличенные сервисы, либо сервисы, находящиеся так же за рубежом. Прокуратура из-за 15 тысяч запросы в зарубежные страны точно делать не будут.
51. Юрий Гончарук (yukon) 14.11.14 17:57
(49) Evil Beaver,

Дохлый номер. Оплата в биткоинах, письма от какого-нибудь 10minutesmail. Вообще, если отбросить мораль, то они правы:

Теперь к делу, ваш сервер был взломан по причине халатности\профнепригодности вашего системного администратора который должным образом не обеспечил безопасность сервера вашей фирмы.
Мы не говорим что мы хорошие и делаем только ради помощи, каждый зарабатывает как может ну а мы в свою очередь хотим донести фирмам что к обеспечению безопасности сервера если вы ведете предпринемательскую деятельность нужно относиться серьезно!


А мораль в предпринимательстве она такая, скажем так, гибкая. В данном случае явно действовали адресно, и знали на чей сервак залезли. Так что в IRL их следы отыскать можно, но, как заметили выше, за 15 тыс доблестные стражи особо напрягаться не будут. Но заявление написать стоит - рано или поздно эти граждане попадутся, так хоть срок могут получить побольше.
52. Николай (nipil) 14.11.14 22:42
Столкнулся с такой заразой. Победил "...восстановить предыдущую версию" (для общих папок).
Заражение прошло от секретаря. У нее есть доступ "на запись" ко многим общедоступным папкам.
Заранее было настроено "сохранение предыдущих версий файлов" для общих папок.
После инцидента пересмотрел права пользователей на запись данных. Разделил на большее количество групп доступа.
53. Гусен Халилуллаев (Afandi) 15.11.14 20:45
У товарища буквально позавчера зашифровывали базу 1с... За дешифровку попросили 15тыс. рублей.
54. Сергей Вн (EmpireSer) 17.11.14 09:53
Думаю я нашёл несколько способов оградить файловые базы 1С от таких вирусов используя механизмы NTFS.
Но написать статью (а я их не писал ни разу) очень тяжело :-( Особенно с примерами...

P.S. Точнее саму файловую базу - только один способ, а вот выгрузки - несколько можно применить.
55. Сергей Вн (EmpireSer) 17.11.14 10:15
(52) nipil,
В твоём случаи есть администрирование и ресурсы на хранение версий файлов. Видимо у других с этим гораздо хуже.
56. Алексей Белоусов (AllexSoft) 17.11.14 10:40
Интересно, можно ли жестко сопоставить расширения файлов с конкретными программами? ну например .doc, .xls сопоставить с офисными приложениями, 1cd, .dt сопоставить с 1С.. именно по доступу, чтобы другое приложение не могло получить доступ к файлам с таким расширением. Что такое возможно написать - 100%, а вот есть ли готовое ? для подобных шифровальщиков причем любых это бы стало отличной защитой. Может кто возьмется написать?
57. Сергей Вн (EmpireSer) 17.11.14 14:14
(56) AllexSoft,
Жёстко нельзя. Такое написать... кхе... это уровень антивируса, т.к. только перехватывая обращения к файлам на уровне ядра ОС можно заблокировать кому-то доступ. Это очень сложный путь, но единственный надёжный.
58. Алексей Белоусов (AllexSoft) 17.11.14 14:27
(57) EmpireSer, я в свое время такое писал в ring0 уровне ядра.. в принципе ничего сложного там нет, я бы и сейчас взялся если бы не 1С
59. Василий Пупкин (wildskiff) 17.11.14 15:02
Если шифровальщики лезут по почте, то как вариант можно, почтовый клиент запускать от другого пользователя, у которого прав ноль. Если почту открывают, через браузер, то и браузер можно запускать с такими же правами. Если вложение сначала сохраняется, а потом запускается из проводника - тут уже клинический случай, раз пользователь не видит, что он запускает. А выгрузки файловых баз 1с должны хранится с доступом для одного администратора. И еще не стоит подключать файловые ресурсы сети как сетевые диски, если это не требуется каким либо софтом. Лучше вместо них использовать ярлыки.
60. Алексей Белоусов (AllexSoft) 17.11.14 15:07
(59) wildskiff, боюсь что при таком варианте пользователи не смогут работать с нормальными вложениями..
61. Сергей Вн (EmpireSer) 18.11.14 19:30
(58) AllexSoft,
Я С++ не знаю, а на Delphi писать мне показалось муторно. Ну C#, Java и т.п. тут тихо курят в сторонке.

Если возьмёшься за такое дело, то получится ещё и реализовать другой "финт", который можно использовать что бы спрятать настройки 1С и базы :-)
62. Алексей Белоусов (AllexSoft) 19.11.14 10:18
(61) EmpireSer, времени нет к сожалению, да и уже сколько лет ничем кроме 1С не занимался, уже мозг в сторону бд повернут, системное программирование забывается ( так что это так, предложение может кто осилит.. или может кто знает уже существующее
63. Андрей Акулов (DrAku1a) 21.11.14 10:03
Всё классно написал автор - одно забыл сказать: ОБЯЗАТЕЛЬНО ВСЕ ВЛОЖЕНИЯ ПРОВЕРЯЙТЕ АНТИВИРУСОМ ПЕРЕД ОТКРЫТИЕМ!!!
Если антивирус по-умолчанию настроен не проверять архив - то если его заставить принудительно проверить файл, то он внутрь архива всё-же залезет. И касперыч и аваст это делать умеют.
А в архив всё это пихают - чтобы не мозолили надписи типа "Файл может быть опасен!!!" если просматриваешь письмо через веб-браузер или скачиваешь вложение хромом, например.
Еще иногда, правда реже - архивы запароливают, а пароль указывают в письме в виде картинки - это уже чтобы антивирусы не смогли архивчик открыть.

ЗЫ: Бородатая шутка, которой лет уже как 15: "Записки сисадмина: Это же каким надо быть идиотом, чтобы получив по почте пустое письмо с одним только файлом f@@king_kill.exe - сразу запускать этот файл на исполнение?!!"
Bukaska; insurgut; +2 Ответить
64. Равиль Каримов (karaw) 23.11.14 23:45
Чтобы обезопаситься от подобного закидываете в автозагрузку скрипт по созданию Точки восстановления системы при каждом запуске компа (архив с вариантами скриптов для различных ОС прикладываю). Но для того чтобы это работало должна быть включена защита системы в свойстве системы с параметрами восстановления "Восстановить параметры системы и предыдущих файлов". В случае зашифровки данных можно восстановить целую папку на любой из предыдущих дней через свойства папки/предыдущие версии.
Прикрепленные файлы:
Точки восстановления.rar
denisk37; insurgut; +2 Ответить 2
65. Анянов Михаил (insurgut) 24.11.14 16:18
(64) karaw, а о принципах работы теневого копирования и предыдущих версий рассказать можете? Много ли место съедает? Что попадает в теневые копии?
66. дима беляков (aferrer) 25.11.14 02:08
(3) TrinitronOTV, У меня BitDefender (правда 2013 года) не смог заблокировать такого шифровальщика с расширением *.js
Пришлось качать DrWeb CureIt и чистить заразу.
67. InWith 25.11.14 10:05
было такое, к сожалению помог только откат данных (бэкапы с восстановления системы) ОС и файлов, с пере установкой ОС.
68. Галина ГГГ (gigagr) 03.12.14 17:56
Спасибо за статью. Предупрежден - значит вооружен! У нас такой был на одной пользовательской машине, зашифровал доки. А вот что 1С базы шифрует узнала от Вас, за что и респект...
69. sv-bambr Капустин (sv-bambr) 15.01.15 12:17
Как по мне, так лучшая защита - это ограничение интернета пользователям через прокси. Ну, и как правильно сказали, пользователи должны быть Пользователями, максимум Опытными...
70. Елена Пименова (Bukaska) 15.01.15 15:07
Уважаемые форумчане, один из новых вариантов шифровальщика, распространяемого через емейлы, это варианты письма: Ура! Вы попали на бабки!
будьте пожалуйста более осторожными при открытии подобных писем!
71. Сергей Илларионов (BlackCors) 19.02.15 09:33
(43) insurgut, например, в почте gmail.com запрещена пересылка исполняемых файлов, даже в архиве. насчет скриптов точно не помню. Так что иногда все гораздо проще.
72. Анянов Михаил (insurgut) 19.02.15 11:02
(71) BlackCors, только исполняемые файлы. Скрипты соответственно пропускает спокойно.
73. дима беляков (aferrer) 27.04.15 22:05
Кстати, очень часто шифровальщиков присылают к концу кваратала или перед сдачей деклараций в налоговую. Пишут в теме "Акт сверки" или "Договор поставки" или "Уведомление из налоговой инспекции". На многих бухгалтеров эти фразы магически действуют и они смело открывают запакованные в архив скрипты. Нам как-то присылали со взломанной почты одной компании такие письма, благо мы сразу заподозрили неладное.
74. Елена Пименова (Bukaska) 28.04.15 10:33
(73) aferrer, если начинают кормить ссылками.. сразу ясно.. что-то тут не так...
75. Илья Андриянов (StBender) 28.04.15 10:56
В некоторых почтовых клиентах (на вскидку the bat) есть список запрещенных расширений для открытия. Настройте и будет вам счастье.
76. wermah 28.04.15 10:57
Как выташить зашифровонные файлы:
Если у вас виндовс xp можно воспользоваться по типа Recuva так как некоторые шифровальшики удаляют файлы, а шифруют копию
Был случай когда эта прога помогла восстановить все зашифрованные файлы
Если у вас виндовс 7 и выше(и включено теневое копирование - я покрайней мере всегда включаю его) то ПО ShadowExplorer восстанавливает файлы без проблем
Решил поделиться может кому пригодится
77. Анянов Михаил (insurgut) 28.04.15 11:14
(76) wermah, да, все верно - теневое копирование - единственный пока что действенный вариант, одно только не ясно - как оно работает с файлами (базами 1С) по несколько Гб.
78. Андрей Козлов (RAMZEZzz) 28.04.15 16:17
Cobian Backup отлично "тень" копирует, в т.ч. и базы в несколько гиг.
У меня забирает все базы, пакует в 7z с паролем, переименовывает в что-то наподобие "база.СемьЗе", кидает на другой сервак в папку, которая с облаком синхронизируется. ни один шифровальщик (известный) не возьмет...
79. Анянов Михаил (insurgut) 28.04.15 16:55
(78) RAMZEZzz, не будет обычный пользователь настраивать такие схемы, а вот типовое теневое копирование и просмотр предыдущих версий думаю ему по силам :)
80. Александр Уваров (3d_killer) 20.08.15 18:51
(4) kofr1c, пфф а не думал головой что шифрование это просто изменение файла, пользователи без админских прав могут редактировать файлы Excel word и др., так вот вам новость что и шифровальщик запущенный от пользователя тоже сможет это делать так как он не устанавливается в системе и не требует админских прав, пфф знаток блин
81. Сергей Пшеничников (Зеленоград) 20.08.15 19:15
Про Касперского давно ходят слухи, что он давненько пойман на том, что антивирус под какой-то вирь появился раньше, чем сам вирус в других базах. Что намекает на создание заразы этим человеком со сложной судьбой (из кгб выгнали, активы жена забрала, ЕМНИП уйдя к Ашманову, сотрудники сорцы слили, сына похитили).

Так что я бы не стал ЭТО использовать, вдруг неудачи заразны.

А по теме статьи: "Кто не сделал бэкапы, тот и платит".
82. Анянов Михаил (insurgut) 21.08.15 09:32
Добавил вариант, как предотвратить заражение (шифрование) в доменной сети.
83. Вячеслав Галкин (gal_75) 15.09.15 06:15
Попадался на этот вирус.
Теперь использую такой способ.:
Создаю пользователя например (АдминБекапа)
Создаю папку BeckUp с правами на запись и изменения только для пользователя АдминБекапа, нужно еще обязательно изменить владельца папки на АдминБекапа
Бекап запускаю от пользоваля АдминБекапа , никакой другой пользователь (надеюсь что и вирус ) не сможет изменить эту папку.

и второй способ также убераю все права для всех пользователей на папку с базой 1с
создаю пользователя с правами на эту папку user1c (но под ним в винду заходить и работать нельзя )
запускаю 1с от имени пользователя user1c с помощью команды "runas"
получается что 1с имеет права на паку а пользователь винды нет.

Не знаю сможет ли вирус зашифровать базу, но проверять не хочется :)
Надеюсь что понятно объяснил.

84. ПодОпытный (mihenius) 21.01.16 11:27
Если Windows Pro или Ent намного удобнее использовать

Software Restriction Policies

https://www.anti-malware.ru/reviews/Software_Restriction_Policies

И к расширениям, как минимум добавить нужно *.scr
Правда не будут работать заставки ...
85. Анянов Михаил (insurgut) 21.01.16 12:32
(84) mihenius, тут уже на любителя, кто ручками прописывать привык, кто через специализированное стороннее ПО.

P.S. Кстати Касперский выпустил Free версию. Ее может быть достаточно для большей части компьютеров.
86. a s (dimajak) 21.01.16 22:55
(11) yukon, Говорят не высылают.
87. a s (dimajak) 21.01.16 22:56
(4) kofr1c, Шифруются файлы, доступные юзеру.
Думайте, прежде, чем комментируете.
88. a s (dimajak) 21.01.16 23:00
(64) karaw, ваша точка восстановления системных файлов никак не спасёт от шифрования юзерских файлов.
Видел зашифрованный комп - зашифрованы все документы MS Office, документы OpenOffice не затронуты, зашифрованы все доступные базы 1С и прочее.
89. a s (dimajak) 21.01.16 23:02
(75) StBender, В таких письмах часто дают ссылки на файлы, так что ваш метод бесполезен.
90. Анянов Михаил (insurgut) 04.02.16 11:31
Вышел Kaspersky Free, который после небольшой настройки успешно прошел боевое крещение :)

P.S. Самое приятное, что лицензионным соглашением не ограничивается использование этой версии на компьютерах организаций!
91. Сергей (Che) Коцюра (CheBurator) 04.02.16 21:15
А то что лежит на доступных шарах в сети и эти шары видны в сетевом окружении локального компа подвергшегося шифрованию - шифровальщики могут шары попортить?
92. Анянов Михаил (insurgut) 05.02.16 05:37
(91) CheBurator, теоретически - да, могут :)
93. Вячеслав Галкин (gal_75) 06.02.16 04:46
(91) CheBurator, Да у меня копии баз зашифровали, копии делались на другой комп в расшаренную папку
94. Pavel (tatoil) 05.03.16 17:10
В феврале тоже был в почте подобный вирус {Vegclass@aol.com}.xtbl. Понижение прав не помогло, зашифровал на сервере расшаренные папки а также 1с, Не могли бы выслать вашу экземпляр для проверки защиты (свой был удален пользователем) - tatoil1@mail.ru
95. Евгений (asdasd) 10.03.16 15:26
1. Ни один сегментурщик не поймает шифровальщик в первые пару часов распространения.
2. Касперсий - унылое говно, по сравнению с Авастом, который просто делает свое дело и не позиционирует себя как панацею от всего.
3. Забрать локальных админов.
4. Поднять SRP.
С грамотно настроенным SRP про антивирус вообще можно забыть. Какой-нибудь script-safe прикрутить к браузеру и спать спокойно - ни один юродивий сотрудник тебе к утру геморроя не создаст.
96. Анянов Михаил (insurgut) 10.03.16 19:37
(95) asdasd,
1. Пока оно дойдет до твоего компьютера, в базе антивируса он с 99,9% вероятностью уже будет (при постоянном обновлении)
2. На одном и том же шифровальщике Аваст молчал как рыба и допустил шифрования всех файлов. Касперский - не допустил. В чем унылость его? :)
3. Причем тут административные права, если шифруются файлы пользователя?
4. SRP - дома разворачивать домашним пользователям? Из пушки по воробьям. Проще запретить запуск всех приложений кроме разрешенных.
97. Юля Иванова (ЮлияМ) 16.05.16 08:39
Каспер пропустил da_vinci_code.. Зашифровал базы 1С 8.2. Архивов не делали.. Кто-то может сталкивался с таким шифровальщиком и есть лекарство??? Что делать?
98. Анянов Михаил (insurgut) 16.05.16 12:27
(97) ЮлияМ, можно только предупредить, последствия "вылечить" можно только заплатив злоумышленникам (ни в коем случае не призываю к этому, но если вариантов нет - это единственная надежда). Вероятность того, что после оплаты они вышлют дешифратор, который к тому же отработает (часто на больших файлах они у них не работают) - примерно 50 на 50.
99. Лариса Бугаева (65lora65) 16.05.16 12:58
(98) insurgut, Добрый день! У меня такая же проблема, зашифровались базы 1 с. Так надежды никакой нет?
Для написания сообщения необходимо авторизоваться
Прикрепить файл
Дополнительные параметры ответа