Long - Alarm!

[Long]

Мой компьютер попал под вирус CTB-Locker !
Потеряна вся почта и много чего ещё.

Кому не отвечаю - плз, пишите и звоните !!!

Администрация, прошу не удалять и не ругаться!
Тупик полный.
Если не по теме - то уж и не знаю, где разместить,
чтобы увидели...

 

[progulca]

@Long,Вы получили с письмом ? антивирус был? Какой?
Можете ли подробнее?

 

[Long]

Антивирус - Аваст, как эта гадость попала в машину - то неведомо.
Работал на другой машине, вернулся - и обалдел.
Сам собой поставился последний Файрфокс (???!!!!)
и с ним пришел этот вирус.

Читайте, ЭТО ждёт и вас!!!! (Только ВНИМАТЕЛЬНО прочтите !!!)
http://malware.dontneedcoffee.com/2014/07/ctb-locker.html

Подробнее о самом уё.ище:
http://it-sektor.ru/ctb-locker-vredonos-shifroval-schik-rabotauschiyi-cherez-ano...uu-set-tor.html
http://news.drweb.ru/show/?i=9245&c=5&lng=ru&p=0

 

[Leee]

Михаил, не хотел вас тревожить так как купил дисамп с рук.. но у кого не спрашиваю никто толком не может обьяснить, как использовать его как дибокс? там надо джамперы перекидывать внутри или я просто чтото туплю? работает если в aux только гитара, но насколько я понимаю это не дибокс получается.. спасибо

 

[progulca]

@Long, а Вы пробовали
http://bedynet.ru/вирус-ctb-locker/
?????

 

[megamediacreative]

@Leee, http://www.long.ru/qda/qda.html

 

[Leee]

@Leee, http://www.long.ru/qda/qda.html

Да ,я читал. У меня звук идет только если гитару в аукс вставлять.. Если во вход джэк, где микрофон, звука нет.. В ауксе, как я понял, пред не работает в качестве дибокса- это возврат.. Один из пользователей сказал что у него работает во входе где микрофон, насколько я понимаю это правильный вариант..по джамперам внутри, я не понимаю в схемотехнике поэтому и спросил..

 

[project71]

Читайте, ЭТО ждёт и вас!!!!

Михаил, это вряд ли. Работаю на макоси) Почта зафильтрована от вложений. Тайм-машина каждый день)

А по поводу файрфокса - с аддоном noscript это самый безопасный на данный момент браузер. С ним ни разу ничего не приходило. Рекомендую.

как эта гадость попала в машину - то неведомо

Кто-то любопытный открыл вложение в спам-письме, пока Вас не было) А там "скринсейвер", подгрузил трояна, который через эксплоит получил админа.) Все весьма банально.

 

[Gerain9]

@Leee, http://long.ru/qda/qdasc.jpg

 

[stas_ugnivenko]

Похоже на эпидемию. Уже неделю, как я восстанавливаю работоспособность компьютера после заражения т.н. шифровальщиком.
Большинство файлов теперь зашифрованы и имеют расширение .better_call_saul.
На системном диске появился README файл следующего содержания:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
B4C957691620068AD0F7|0
на электронный адрес files2549@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.

Восстановить данные специально обученным людям пока не удалось, даже за деньги.

 

[Long]

-- И не удастся. 256-битный ключ не расшифровывается даже на "Эльбрусах".
Где-то на ссылках было...

@project71, я был - но на другом компе.
А без меня его никто не трогает.

P.S. Давайте лучше спросим @stas_ugnivenko, как он его подхватил.

 

[Воеводин]

Спрашивается, сколько он будет бушевать. Месяцок - другой чтобы на айфонном тырнете посидеть.

 

[stas_ugnivenko]

Всё очень просто!В спешке открыл вложенный файл (.doc) о неоплаченном счёте, в письме якобы от своего бухгалтера (коим оно ессно не являлось).
Написал ради интереса этим "архаровцам" - запросили 15000р.
P.S. Вчера на другой ящик пришло письмо от Мгтс о задолженности по счёту с вложением...

 

[project71]

@stas_ugnivenko, Ребят. Сколько уже копий было сломано по поводу обязательной проверки и фильтрации входящих по spf и DKIM. Один раз настройте и не будет больше никаких поддельных писем. Вся зараза как правило не доверенная/не подписанная. 99.9% отсекается.
[DOUBLEPOST=1455980338,1455980060][/DOUBLEPOST]

Authentication-Results: mxfront3j.mail.yandex.net; spf=pass (mxfront3j.mail.yandex.net: domain of ebay.com designates 66.211.184.76 as permitted sender) smtp.mail=ebay@ebay.com; dkim=pass header.i=@ebay.com

Вот пример заголовка легитимного письма. Как видите - все с ним в порядке. Ко мне во входящие только такая почта приходит. Без дким, но с правильным спф - в папку сомнительные, а если все провалено - в спам, также, как и со спам метками.

 

[Gerain9]

а где это настраивать? я не очень грамотен в таких вопросах

 

[stas_ugnivenko]

project71, спасибо! Изучу вопрос

 

[sunet]

Моя жена весь день получает письма по работе. Вот в пятницу и пришло письмо от филиала их фирмы, все как обычно...открыла и...как у Лонга...

 

[Jak]

Моей маме "подарок"30 декабря 2015 года пришел. Письмо якобы от налоговой о задолженности. Она его тоже без задней мысли открыла и тут понеслась. А надо последние платежи сделать, док-ты отправить, ну и т.д. В общем - хорошо, что то, что нужно было где-то сохранено: что-то по почте отсылалось, что-то скопировано на флешку...
А лечил я это дело уже 2 января 2016 г. перезаписью нулями всего HDD и переустановкой всего.
З.Ы. Ну зато систему обновил - стояла XP SP3, теперь 7 SP1. Как гриться, начинаем всё с нуля
Вот такой вот НГ 2016 у меня был

 

[Long]

>Спрашивается, сколько он будет бушевать.

-- Если этот вирус - то прочтите таки мою первую ссылку.
@sunet, @Jak, сочувствую от всей души!!!!!
К сожалению, не всё восстановимо - даже при ежедневном бэкапе
почты всегда есть вероятность безвозвратно потерять что-то
очень важное....

 

[Jak]

@Long, инет говорит, что вирус начал набирать обороты с 2007 г. Ну вот я например столкнулся с ним только в 2015.
Основа кодирования одна. Факт в том, что ни одна из компаний (Др.Веб, Каспер и т.д.) расшифровать это не могут, о чём можно прочитать на их форумах.
Лишнее напоминание пользователю о том, что нужно делать резервные копии и не открывать подозрительные вещи. Хотя и это еще ничего не гарантирует.

 

[Long]

-- Невозможно.

256-битный ключ не расшифровывается даже на "Эльбрусах".
Где-то на ссылках было...

[DOUBLEPOST=1456152838,1456095394][/DOUBLEPOST]

в пятницу и пришло письмо от филиала их фирмы, все как обычно...открыла и...

-- Вопрос: если кто пользуется Outlook Express, и тоже "попал", то КАК это произошло?
При наведении \ выделении письма в списке, который в окошке, или таки именно
при открытии вложения?

 

[sunet]

Почта у них идет через IncrediMail. Письмо было в формате .doc или .docx

 

[Long]

через IncrediMail

-- Увы, легче не стало...

 

[sunet]

Ну, в общем все решилось - отформатировали хард...куча документов пропало...

 

[Electric]

Symantec Endpoint Protection в последнем обновлении добавил защиту от этой дряни.

 

[Long]

-- Говорят, снаряд дважды в одну воронку не попадает?
Не знаю, как снаряд - но локер наехал второй раз.
Может, его статический IP сильно интересует?....

 

[H-ron]

@Long, мда, круто... Соболезнования.

Пользуюсь Гуглом много лет - может специализированные онлайн сервисы станут панацеей?