Шифровальщики в засаде

Закодировать всё

добавить в избранное

Шифровальщики в засаде

Прочитали: 18920 Комментариев: 108 Рейтинг: 123

26 июля 2018

Шифровальщики вроде успокоились в последнее время.

Мнение сотрудника сервисного центра по лечению компьютеров,
высказанное на обучающем вебинаре для партнеров «Доктор Веб»

Нас часто спрашивают: а как дела с шифровальшиками, как мы справляемся с ними на сегодняшний день?

Увы, авторы шифровальщиков в последнее время стали учитывать замечания экспертов, разбиравших троянцев и указывавших на недоработки. Более того, вирусописатели еще и издеваются, благодаря за помощь:

Авторы GandCrab любят делать отсылки к различным экспертам, компаниям и сайтам. В этот раз они поблагодарили профессора Дэниэла Дж. Бернштейна, который изобрел алгоритм Salsa20.

@hashbreaker Daniel J. Bernstein let's dance salsa <3

https://www.anti-malware.ru/news/2018-07-04-1447/26718

Но все не так плохо! Приведем свежий случай из трекера нашей технической поддержки:

Пострадал мой домашний NAS, конечно же, как наверное и многие, я хранил там и рабочие данные, важные не только для моего отдела, но и некоторых других.

Шифровальщик Trojan.Encoder.25389, проникший на пострадавший компьютер, по каким-то причинам нацелился на данные, которые хранились в сетевом хранилище, поэтому пользователь и не обнаружил его своевременно. Хитрый ход, позволивший полностью зашифровать действительно важные файлы (другие в хранилище, как правило, и не кладут).

Пользователь оказался технически грамотным и к своему запросу сразу приложил файл троянца, требование о выкупе и три образца зашифрованных файлов. Ему повезло: мы умеем расшифровывать файлы, зашифрованные этим троянцем. Пользователь поблагодарил нас:

Сказать, что ваша программа помогла мне не только как физическому, но и как юридическому лицу, – ничего не сказать.

Действительно приятно!

Кстати, Trojan.Encoder.25389 – это наследник Trojan.Encoder.94, о котором мы писали аж в 2012 году. История Trojan.Encoder.94 для нас интересна еще и тем, что борьба с ним проходила в условиях международного сотрудничества: одной из организаций, обратившихся в компанию «Доктор Веб» с целью обмена опытом в борьбе с этим троянцем, было словенское отделение CERT (Computer Emergency Response Team).

Антивирусная правДА! рекомендует

Если вы не пользуетесь каким-либо ресурсом, отключите его.
Выполняйте резервное копирование от имени пользователя, отличного от того, под которым вы обычно работаете.
Не забывайте о резервном копировании – данные удается расшифровать далеко не всегда.
Шифровальщики все еще с нами! А Dr.Web, как и всегда, – с вами ☺

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

ka_s
15:49:24 2018-10-13

Хорошо, когда все хорошо. А еще лучше, когда Dr.Web рядом!

BorisAC
14:57:17 2018-08-18

Мне как- то помог случай. Хорошо что, у меня не было открытых проектов. Помогла от троянца- вымогателя простой "Reset" на системном блоке и дальнейшее лечение Drweb LiveCD.

Денисенко Павел Андреевич
13:19:27 2018-08-05

Dr.Web всегда будет с нами (если только купить его).

Вячeслaв Собкор
14:29:04 2018-07-31

@Andromeda, есть с ответом вам проблема. Выпуск пишешь на основе тикета, потом эту информацию обезличиваешь и с чистым сердцем забываешь номер тикета :-(

Любитель пляжного футбола Собкор
21:35:44 2018-07-30

@razgen, @Вячeслaв, ок, спасибо, похоже, у меня проблема. Щас письмо составлю и направлю в техподдержку.

Вячeслaв Собкор
18:00:57 2018-07-30

@Любитель_пляжного_футбола, я думаю лучше в техподдержку. У меня три машины всегда с нашим антивирусом, причем одна виртуальная, сегодня были запущены. Скрины снимал в настройках. Нормально было.

razgen Собкор
00:25:49 2018-07-30

@Любитель_пляжного_футбола, у меня описанная вами загрузка происходит при нажатии в указанном вами окошке на "Создать копию" и далее после нажатия ОК в следующем мини окошке "Введите описание для новой копии".
А для того чтобы выбрать интервал создания копий, этого не надо делать.
Для этого надо в окошке "Защита от потери данных" нажмать на "Копировать файлы в С:\DrWeb Archive" и после этого выскакивает окошко "Параметры создания копий" где среди других настроек присутствует выбор временного интервала для создания копий. Не знаю как у других, но у меня всё это работает нормально. Неделю назад всё перенастраивал, проверил сейчас также все настройки в окошке "Параметры создания копий" работают.

Любитель пляжного футбола Собкор
22:43:33 2018-07-29

@admin, видимо, какой-то глюк в связи с обновлением "Доктора". Ещё в день выхода данной статьи я заходил в настройки Dr.Web (Инструменты - Защита от потери данных), чтобы проверить, какой минимальный интервал можно выставить для создания копий. Но при заходе туда само окно было белёсого цвета, как бывает, когда поверх окна загружается другое, которое и становится активным. И в середине окна стилизованный значок из четырёх зелёных ромбиков (аналог песочным часам, когда что-то висит или загружается). Проверял в течение дня, проверил и сегодня, вчера был у родителей в другом городе, к них то же самое (лицензия на два ПК). Проверьте, пожалуйста, у вас всё ли в порядке. Если проблема у меня, то напишу в техподдержку, приложив собранные утилитой sysinfo данные. Ответить смогу уже только вечером после работы.

anatol
22:30:09 2018-07-27

спасибо учту: выполнять резервное копирование не от своего имени

Неуёмный Обыватель Собкор
01:37:28 2018-07-27

@Sasha50, так закончился аукцион-то 1,5 часа назад:
https://www.drweb.ru/web-iq/project/news/?i=12657&c=36&lng=ru&p=0
Он же был до 26 июля включительно.
Ждем результатов завтра.
Ну а в разделе аукционов действительно, какой-то сбой со ссылками на аукционы.

Sasha50 Собкор
01:20:28 2018-07-27

@razgen, А точно, куда это подевался @Biggurza? Видать в отпуск на море уехал. Но @Неуёмный_Обыватель, тоже продолжает нас радовать свои творчеством. Кто следующий попробует стихами нести свою мысль в массы?

razgen Собкор
00:52:04 2018-07-27

@Sasha50, действительно в разделе "аукционы" ВебIQметр-а указано: "Следующий аукцион состоится 28.06.2018". Видимо технический сбой.

razgen Собкор
00:41:55 2018-07-27

Прочитал выпуск и комментарии, чувствуется чего то не хватает. Думаю чего же всё таки?
И понял я, что не хватает уже привычного поэтического комментария от @Biggurza.

Sasha50 Собкор
00:38:58 2018-07-27

А почему в личном кабинете ВебIQметр написано, что следующий аукцион состоится 28,06,2018 г.? Я думал, что июнь уже прошел, ан нет - лето только начинается.

Sasha50 Собкор
00:36:21 2018-07-27

@Шалтай_Александр_Болтай, Спасибо за реплику. Посмеялся.

razgen Собкор
00:31:25 2018-07-27

Согласен, копировать данные на внешний диск надёжнее. Только вот актуальность этих данных будет быстро устаревать. Не будем же мы постоянно копировать информацию на внешний диск каждые 3 часа, не говоря уже об 1 часе или создании копий файлов каждые 30 минут, а возможности функционала "Защита от потери данных" имеющегося в Dr.Web Security Space позволяют это делать при соответствующих настройках и без дальнейшего нашего отвлечения на это. Один раз настроил и забыл.

Sasha50 Собкор
00:31:16 2018-07-27

@kva-kva, Присоединяюсь ко всем поздравлениям! Мирного блуждания в сетях интернета!

razgen Собкор
00:07:31 2018-07-27

Затишье бывает перед бурей. И если даже "Шифровальщики вроде успокоились в последнее время", то пользователям всё равно нельзя терять бдительность.

razgen Собкор
23:52:31 2018-07-26

@robot, с Днём рождения! Всего наилучшего.

aleks_ku
21:54:55 2018-07-26

"Выполняйте резервное копирование от имени пользователя, отличного от того, под которым вы обычно работаете" - очень неожиданный совет!

levkovichdo
21:36:35 2018-07-26

Явно кто-то в курсе был...

orw_mikle
21:35:47 2018-07-26

А ещё лучше делать резервное копирование на съемных диск, и отключать его после процедуры.

Неуёмный Обыватель Собкор
21:32:18 2018-07-26

Чтобы чудище GandCrab
Ваш компьютер не опутал,
Сразу делайте back up.
Нет сильней редута!

НинаК
21:04:11 2018-07-26

о резервном копировании все помнят и все откладывают...

В...а
20:37:09 2018-07-26

"Dr.Web, как и всегда, – с вами" - золотые слова!

Сергей
20:09:51 2018-07-26

Никогда не стоит забывать о шифровальщиках.

vla_va
20:07:05 2018-07-26

"25389 – это наследник Trojan.Encoder.94" - чудовищный прирост!

L1t1um
19:59:44 2018-07-26

Надеюсь на защиту Dr.Web! Также периодически делаю бэкапы фоток и нужных программ и документов.

Damir Собкор
19:55:12 2018-07-26

Систематически провожу резервное копирование.Спасибо за предупреждение.

Шалтай Александр Болтай Собкор
19:51:49 2018-07-26

@ek, Кто к нам с мечом придёт, тот отстал в плане вооружения!

Дмитрий
19:50:28 2018-07-26

Dr.Web с нами! Не забываем о резервном копировании.

Шалтай Александр Болтай Собкор
19:50:04 2018-07-26

— А вы моё письмо разве не получили? — Да кто ж твой почерк разберёт?! Мы носили его в аптеку расшифровывать, нам феназепам выписали!

ek
19:44:28 2018-07-26

Главное всегда быть вооруженным!

Шалтай Александр Болтай Собкор
19:41:51 2018-07-26

@Sasha50, ...Я как-то давно не встречался с шифровальщиками. Думал - "приутихли". Ан нет - живы зловреды...
А я вообще не встречался с шифровальщиками!? Думал их не существует!? А нет ... :)

Шалтай Александр Болтай Собкор
19:36:01 2018-07-26

@robot, С Днем рождения! Желаю Вам всегда оставаться Человеком!

Шалтай Александр Болтай Собкор
19:34:45 2018-07-26

@kva-kva, С Днем рождения! Всего самого наилучшего!

kva-kva
19:12:24 2018-07-26

Спасибо, ребята!
Наивно полагать, что шифровальщики уйдут в историю быстро и потихоньку...

Dvakota
18:57:54 2018-07-26

Радует фраза-"А Dr.Web, как и всегда, – с вами"!

Неуёмный Обыватель Собкор
18:50:35 2018-07-26

@a13x, отличный подкол ))) Правда, непонятно, при чем тут официальный или неофициальный софт. Любой хакер может зарегистрировать ИП за 800 руб и выпустить хоть тысячу официальных приложений. Задача антивируса не ориентироваться на какие-то регалии софта, а делать свою работу без учета прошлых достижений какого-либо софта или орденов и званий его создателей.

Sasha50 Собкор
18:50:10 2018-07-26

@Вячeслaв, Спасибо за ссылку. Хорошая старья. Рекомендую всем.

mk.insta
18:47:35 2018-07-26

Вовремя принятые меры - залог успеха!

a13x Собкор
18:44:42 2018-07-26

Доктор Веб вообще свирепствует. По умолчанию убивает процесс в официальном софте, что даже добавление в исключения не помогают.
А тут какие-то шифровальщики-вредители. Пф. С ними и подавно Паук разберётся.

Sasha50 Собкор
18:39:01 2018-07-26

@robot, С днем рождения! Удачи во всем и всегда!

Sasha50 Собкор
18:37:35 2018-07-26

Я как-то давно не встречался с шифровальщиками. Думал - "приутихли". Ан нет - живы зловреды.

La folle
16:39:41 2018-07-26

Шифровальщики опасны, хорошо, что есть Dr.Web!

Andromeda
16:25:39 2018-07-26

Если не секрет, то какую антивирусную защиту использовал пострадавший пользователь?

Альфа
16:13:15 2018-07-26

Я представляю радость пострадавшего, когда сотрудники Dr.Web смогли восстановить зашифрованные файлы! Побольше бы таких приятных моментов!

Владимир
16:13:00 2018-07-26

Да, кстати, что-то о шифровальщиках давно ничего не слышно, скоро что-то будет.

Zserg
16:00:12 2018-07-26

Выполняйте рекомендации Dr.Web и будите в шоколаде.

I23
15:55:22 2018-07-26

Копируйте свои данные чаще на съёмные носители.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Шифровальщики в засаде

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей