Внимание ! новый вирус!

[dima644]

Вчера пришел клиент и принес цифровую подпись на флехе.
Вроде бы обычное дело.
Но флешка открываться отказалась(секретарь работала, подробностей не знаю). Клиент ушел за другой флешкой. Она заметила что папки становятся прозрачными и переименовываются. Вырубила срочно(молодец).
Системный диск эта сволочь не трогает, шифрует диск D, антивирусник его не видит. Cureit ничего не находит(всю ночь диск подключеный к сервисной тачке сканился).
Сначала мы не сильно испугались, кроме ее диска Д ничего не пострадало.
Но с утра на серваке начали переименовываться папки...
Теперь о вирусе: имя папок - электронная почта..., дата создания 09.03.2018, время 10.--
При загрузке антивирусник (NOD32) что то вякает про невозможность запуска ядра и отключается(вручную запустить можно).
Как уже говорилось системные диски не трогает.
Пока ничего вразумительного более сказать не могу.

[mservis]

Эти антивирусники только ничего не видят. Касперыча надо попробовать.

[RDM]

Касперыча надо попробовать.

Ага, они же ночью-вирус, утром антивирус.
Ничего личного, бизнес.

[Alfa Dog Андрей]

В тему Нода. Сидел с ним с версии 4 до последней. И спокойно был послан на хер! Очень слабый антивирь! Пробовал и дешёвые версии и дорогие! Настройки выкручивал по максимуму. Один из последних случаев, дома. Смотрю у малого постоянно одно ядро проца (из 4-ёх) загружено на 100%. ПРи чём хоть под нагрузкой хоть в покое. Давай смотреть диспетчер. Что там грузит. Только открываешь. Херакс/ Все ядра на минимум. Вроде гуд. Только закрываешь диспетчер и опять. Ядро №1 на 100%. Ну думаю сидит падла! Нод 32 платинум там со всеми плюшками, запускаю макс проверку со всеми настройками. Шманаю бут - память и загрузку. Всё гуд у тебя хозяин. Угроз нет! Лан, делаем полною проверку. Всё чики пуки. Но Ядро висит. Качаю каспера (утилитку) и он бац мне три урода в памяти убивает! Комп ребут! Все ЯДРА отдыхают.  И так было по мелочи везде! Гуд бай нод короч!

[NikSmit]

Когда я сам запустил шифровальщик в почте (сообщение от службы судебных приставов) и комп был зашифрован, то мне объяснили - сам виноват.
Шифровальщик это не вирус, а программа вымогатель....

[Aleff]

Мне тоже притаскивали винчестер после вируса шифровальщика. Не один антивирус так и не помог расшифровать обратно. Хотя утилит для этого много. Проблема в том что кривыми руками влезают в вирус, и потом уже обратно фиг, хотя бывают и профи. Как мне сказали дешевле заплатить вымогателям, если просят не много...
Бесплатные утилиты: https://noransom.kaspersky.com/ru/

[SkaT]

А отключение в реестре автозапуска с внешних носителей, не решает проблему "чужих" (зараженных) флешек ?

[Tavriya]

dima644, а сам вирус остался где-то на флешке?

[ewgen]

Автозапуск- однозначно всегда надо отключать.
Еще я привык на всех своих флешках создавать скрытую папку autorun.inf Она как индикатор заодно работает- если стала видимой, значит была попытка создания такого файла системой.

[SkaT]

Автозапуск- однозначно всегда надо отключать.
...

Это понятно, что надо отключать.
Вопрос в том, помогает ли это отключение?

[dima644]

Tavriya, Флешку унес клиент. Сейчас появились сомнения о месте занесения этой гадости. Возможно это почта.

[SkaT]

... Сейчас появились сомнения о месте занесения этой гадости. Возможно это почта.

На почтовых сайтах, тоже кое-кто "бьёт себя пяткой в грудь", что якобы "всё проверено" ...
Или "они" на наличие/отсутствие "вирусов" проверяют, а это был "шифровальщик" ... значит "к ним" - ни каких претензий ...

[pavel_net]

Можно создать батиник , который будет отключать компьютер и засунуть его в планировщик, чтобы каждые пять минут запускался. Или тот же батник будет переименовывать папки. Вроде ничего такого, обычная программа, не вирус ведь, а неприятно. И тут только алгоритмы поведения проверять, потому что в самом коде батника все гладко. Да и алгоритмы шифрования мало ли где используются, на каждый крипто про ведь не наругаешся.

[SkaT]

Можно создать батиник , который будет отключать компьютер ... Да и алгоритмы шифрования мало ли где используются, на каждый крипто про ведь не наругаешся.

Только этот батник так и помрёт, там где родился... Должен быть механизм распространения. Если его намеренно рассылают по почте, то это одно, а если он сам может себя распространять, это уже совсем другое...

[geodile]

Системный диск эта сволочь не трогает, шифрует диск D, антивирусник его не видит. Cureit ничего не находит(всю ночь диск подключеный к сервисной тачке сканился).

винда какая? 7ка?

Мне тоже притаскивали винчестер после вируса шифровальщика. Не один антивирус так и не помог расшифровать обратно.

когда гуляли шифровальщики, не помню точно др.веб вроде для тех у кого лицензия делали: отправляешь им пару файлов зашифрованных образцов, они присылали через несколько дней утилиту для дешифровки. на нескольких зашифрованных компах все восстановилось

[dima644]

geodile, Винда 7-ка и сервер 2008.
Вроде отбились стандартными процедурами(читка темпов, загрузок, систем вольюм...)