Последние комментарии

Ёжик: Согласна...
Украина Донбасс Россия. Война с (5757)

Ёжик: По-моему, все началось...
А что у вас на ужин ? ) Часть 3 (1652)

reor: Написано же , приостан...
Роспотребнадзор снял введенные и (1)

Лукер: Знаем мы вас, сантехни...
Беседка (3793)

Владимир: #1192 Это их отравила ...
America, America... (1198)

Сергей Никол: Всем спасибо, всем отв...
АНГЛИЦИЗМЫ (20)

Лукер: Да, у меня там была да...
Водяная скважина. (11)

Nicolett: КГБ Беларуси внес осуж...
Нужна ли России Беларусь? (720)

Посетительни: Ааааа супертанцы https...
Какую музыку слушаете? (2871)

Айс: Меняю полный газовый б...
Расскажи анекдот :) 18+ (8717)

Все комментарии

3g   aдмины   iphone   it   авиа   авто   автобус   автомобилисты   автомойка   автосалон   автосервис   автостоянки   автошкола   администрация   алиев   алкоголь   анапа   аптека   аптеки   аренда   армия   ателье   афиша   аэропорт   балкон   банки   баня   бензин   бизнес   билеты   благотворительность   бусырев   бюджет   вакансии   велосипед   ветеран   ветлосян   видео   власть   вода   водный   вуктыл   выборы   гадалка   газ   газпром   гайзер   гапликов   гараж   гибдд   гололед   гостиница   госуслуги   граффити   грибы   грузоперевозки   грузопревозки   дальний   дата   дача   двери   двор   дворец   деньги   дети   детский сад   дизайн   документы   дом   дом и быт   домофон   дороги   дорожные знаки   доставка   досуг   дтп   егэ   еда   жд   жен.консультация   животные   жизнь   жкх   заведения   закон   заправки   запчасти   зарплата   зарубежом   здоровье   здоровье и экология   земля   зерюнова   зима   знакомства   игрушки   имена   инструмент   интернет   интернетмагазин   история   ищу тебя   казарцев   калининград   канцтовары   капремонт   каток   кафе   кино   киров   книги   компании   компьютер   конкурс   концерт   коронавирус   коррупция   красота   кредит   кризис   кружки   крым   культура   курение   курсы   кухня   леди   леонов   лес   лето   лифт   лицей   логопед   лыжи   льготы   люди   м+ж   магазины   магнит   маркет   маркетинг   мвд   мебель   милиция   мобильный   молодежь   мошенничество   мтс   музыка   мусор   налог   налоги   наркотики   наш город   недвижимость   новости   новострой   новый год   нпз   нужна помощь   образование   обращение   обращения   обувь   общество   одежда   одн   окна   олимпиада   оружие   освещение   отдам/продам/куплю   отдых   отопление   отпуск   охота   парк   парковка   паспорт   пассаж   пенсия   переезд   перепланировка   персоны   пешеходы   пиво   победа   погода   подарки   подарок   подъезд   пожар   пол   политика   полиция   полы   потолки   потолок   потребителю   похороны   почта   праздник   праздники   предприятия   природа   проблема   продукты   происшествия   прокат   промышленность   путин   работа   радио   реклама   религия   ремонт   репетитор   репетиторы   риелторы   ростелеком   рыбалка   садик   самолет   самооборона   сангородок   санузел   свадьба   свет   связь   семья   сигнализация   скидка   скидки   слухи   сми   смысл   снегоход   снять жилье   собаки   соседи   сосногорск   социум   спoрт   спорт   справка   стихи   стоматология   страховка   стройка   сувениры   суд   сыктывкар   такси   танцы   телевидение   телефон   тепло   техника   тиманская   транспорт   тсж   ттк   туризм   угту   узи   ук   украина   услуги   ухтажилфонд   учебники   финансы   форум   фото   футбол   хобби   храм   цветы   цены   цок   школа   шуба   шудаяг   экология   экономика   электрика   электричество   юмор   юрист   ютэйр   ярега   ярмарка   

 
Правила форума                                              
     

Форум  
Все темы форума

Тема: Троян-шифратор.

Kirill   13 октября 2014, 17:36   
Будьте бдительны, не открывайте не знакомые файлы с расширениями .exe .com .bat .cmd. Даже если они пришли от известного вам источника которому доверяете.

Интервью с создателями этого траяна  http://apps.plushev.com/2014/08/14/2829/

  добавить фото

Метки: компьютер

Посетителей:16987

 
Общая оценка темы  2 Хорошая Плохая


 

Комментарии: 23   Сортировка по дате:      #Комментировать       
Поделиться:

Страницы:  1 

Twin  13 октября 2014, 18:23   #1
Хороший комменарий  10 Плохой комменарий
Непонятные ссылки наверное тоже лучше не открывать )

Kirill  13 октября 2014, 19:06   #2
Хороший комменарий  7 Плохой комменарий
Лучше вообще интернет отключить )

kkt  13 октября 2014, 19:13   #3
Хороший комменарий -2 Плохой комменарий

будьте осторожны! если ударить себя ножом в сердце - можно таки умереть! проявляйте бдительность и да прибудет с вами сила. аминь


ЛТ  13 октября 2014, 19:28   #4
Хороший комменарий  1 Плохой комменарий
Спасибо за предупреждение.

Kirill  13 октября 2014, 19:54   #5
Хороший комменарий  0 Плохой комменарий
Пол дня "плясали с бубном" вокруг компов. Практически все файлы зашифрованы. Хорошо есть бэкапы, а многим приходится платить так как расшифровать файлы совершенно невозможно без уникального ключа. В корне диска С появился файл с инструкцией что и как, и куда кидать деньги за возможность обладания этим уникальным ключом.

Панкрат  13 октября 2014, 20:48   #6
Хороший комменарий  1 Плохой комменарий
Антивирус не среагировал на троян? Лицензионный Касперский вроде не пропускает подобное.

Kirill  14 октября 2014, 07:59   #7
Хороший комменарий  0 Плохой комменарий
#6 антивирус не среагировал, так как это всего лишь скрипт запускаемый вручную. Нужна программа, способная проанализировать поведение процесса. К сожалению не знаю может ли это делать Касперский, но в техподдержке Доктора Веба просто ажиотаж в очереди на помощь от специалистов, а не от их программы.

Phantom  14 октября 2014, 08:03   #8
Хороший комменарий  0 Плохой комменарий
страшные байки

Клуб "Уникум"  14 октября 2014, 08:44   #9
Хороший комменарий  0 Плохой комменарий
А вот интересно узнать мнение специалистов. Тут была необходимость оказать помощь. Я впечатлилась, обратилась ко многим друзьям и дала сслыку, где это сделать. Все, кто захотел, перешлли по ссылке и оставили свой голос. Я, проверяя кол-во голосов, тоже заходила много раз с разных компов по этой ссылке.
А одна женщина открыла, и, по её словам, у неё там вылезло то ли порно, то ли казино, точно не знаю. И комп у неё важную информацию какую-то потерял, что ли. Ссылку ей переслал один мой знакомый, не изменяя её. В общем, обвинила меня, что я рассылаю какое-то порно с целью диверсии. Вопрос.
Возможно ли такое, что множество, тысячи, людей заходят по ссылке, и ничего, а у одной женщины - проблемы?

ekspert  14 октября 2014, 09:18   #10
Хороший комменарий  0 Плохой комменарий
чет не хочется рисковать) напишите текст интервью сюды)))

Kenwood  14 октября 2014, 09:53   #11
Хороший комменарий  0 Плохой комменарий
Здесь могут помочь с подобными зловредами
http://virusinfo.info/content.php

21099i  14 октября 2014, 09:58   #12
Хороший комменарий  1 Плохой комменарий
Хы... Да в Ухте чуть эпидемия с этим трояном не началась))) В IT работаю, сталкивался. Приходит бухгалтеру (к примеру) на почту письмо с названием "Счет-фактура от "..название фирмы..."". Там файлик, ярлык - Экселевский. Бух это дело пытается открыть - и вуаля))) Дешифратора к этой гадости в сети нет)) А вариантов с названием и мимикрией файла может быть множество))) Если на компе стоит Каспер - то последствий от запуска исполняемого файла - как правило нет. Считайте - пронесло.... А если не пронесло - передавайте привет важной информации))

Kirill  14 октября 2014, 10:15   #13
Хороший комменарий  0 Плохой комменарий

№10 Текст по той ссылке )
"Так как я сам попал под это мошенничество, у меня накопилось множество вопросов к «разработчикам». Не поленившись, я нашел контакты этой хакерской группы, и задал их им. Если вы хотите тоже у них что-нибудь спросить, то вот их адрес: BM-NBQtPZpj4vKeGfSNq4em8j8zjcHRPTKf (BitMessage), гарантии, что они ответят нет.

Я понимаю, что после публикации этого материала, вероятно, ко мне будет множество вопросов от правоохранительных органов. Все мои контакты есть в моем блоге (ссылка в конце поста), но я уверяю вас, все что здесь опубликовано, эта вся информация которая у меня есть.

Итак, поехали. Полужирным шрифтом выделены мои вопросы. Орфографию ответов сохранил.

- Артем, логично полагать, что на большинство вопросов мы не ответим в полной мере, так как это может нести некого характера слив информации.

-Как мне вас называть?


-Как угодно. Господа злоумышленники. Вы.

-Вы один человек или группа людей?

-(пусто)

-Откуда вы? (хотя бы страна или континент).

-Вопрос в том, откуда или где находимся. К сожалению для пользователей, мы не новички, а это означает большой нанесённый ущерб. Адекватно оценив ситуацию, находится на одном месте не есть правильным. Путешествуем, скажем так.

-Что такое keybtc?

-Для восстановления данных по факту нужны две составляющие. BitCoin и Private.key. «Получи ключ за btc». После оплаты ключи отправляются. Иногда с задержкой, так как есть фактор загрузки работы робота-автоответчика.

-Правильно ли называть этот вирус bat.encoder.23? Это ваша разработка или вы ее где-то позаимствовали?

-Многократно был опубликован его открытый код, любой может его под себя отредактировать. Господа злоумышленники специально код не прячут, так как для правоохранительных органов будет гораздо сложнее найти начальную точку отправления зловреда.

-Объясните обывателям, что делает вирус? На собственном опыте могу сказать, он изменил все документы (Word, Excel) на 2-х компьютерах, точнее поменял расширение и как-то зашифровал их. Теперь их невозможно открыть.

-Исходя из детальной инструкции, которую получают наши «клиенты» цитирую:

1.3. Проведем паралель работы вируса-шифровальщика на примере материального предмета (=Вашего файла)

Вирус берет Ваш чемодан с документами.

Используя 1024 битный ключ выполняет его шифрование(это не кладет его под замок-оболочку, нет).

Вирус перетирает содержимое в пыль, фактически затирая и перезаписывая каждый байт данных

Вы сможете из пыли собрать чемодан с документами? Нет.

Восстановить данные можно имея только специальный ключ.

Взломать/подобрать/восстановить данный ключ невозможно

Представьте себе архиватор WinRar или 7-zip. Архивируя данные под пароль, Вы используете симметричный ключ. Им шифруете данные, им же и дешифруете их.

Ассиметричное шифрование основано на принципе Публичного ключа и Приватного ключа. Зашифровывается одним, дешифровывается другим. На этом построен весь принцип работы.

Главный Приватный ключ находится только у нас, а на подбор его не хватит человечеству времени. К тому же он 2048 битный. Итого мы имеем нулевые шансы на восстановление данных без приватной части ключа.

-Интересна работа антивирусов. Avast пропустил ваш вирус, читатели так же пишут, что и NOD 32 поступает так же. А вот dr.web и Kaspersky заблокировал ссылку. Это случайность, или какие-то антивирусы лучше работают?

-На самом деле, на момент начала распространения шифровальщика keybtc не обнаруживали его ни Kaspersky ни Dr. Web
Скрипты с открытым кодом легко поддаются обфусцированию. По факту через часов 15-20 начинаются понемногу реакции, но скажем честно, это никак не влияет на количество «установок», так как пользователи если и имеют антивирус, чаще всего он даже не активирован, даже в компаниях. А бывают случаи, когда письмо «от директора по поводу изменения распорядка рабочего дня» заставляет отключить антивирус.

-Это ваша первая «разработка» или вы давно этим занимаетесь?

-Да, это наша первая разработка.. Да, занимаемся этим давно ;-)

-Когда вы запустили в сеть bat.encoder.23?

-Подобная информация есть в антивирусных лабораториях. Конец июля.

-Мне интересно, сколько времени вы потратили на все это? Ведь вы подготовились очень хорошо, чувствуется, что делали не на коленке.

-Довольно долго. В любом случае, рынок настолько велик, что читать данный блог будут в основной массе только пострадавшие, поэтому скрывать нечего.

Основное время занимает грамотное составления писем, формирование адресатов, обход анти-спам фильтров. А обходятся все на ура. Яндекс пишет — «почта без спама». Как раз на Яндекс заходит лучше всего, труднее всего доставляется на mail.ru (не то что в спам падают, у них даже от легитимных адресатов письма часто не доходят. Почитайте о антиспаме mail.ru на хабре).

Вопрос не в сложности кода, а в его применимости в конкретной ситуации. В основном мы используем доверенные утилиты для меньшего обнаружения антивирусами. Так сложнее бороться с зловредом.

-А вы располагаете данными, сколько компьютеров вы заразили?

-Конечно, у нас подключена подробная статистика с графиками. Статистика формируется при работе вируса на компьютере жертвы. Статистика позволяет проводить анализ.

Статистика касается как установок, так и прочитавших/открывших вложения на разную тематику. Затем происходит анализ результатов, начинаем понимать какой рынок на что лучше реагирует. Иногда автораспространения вируса выходит за пределы целевой аудитории, на программном уровне это регулируется.

-Я понимаю, что вопрос некорректный, но все же задам. Сколько денег успели заработать?

-(пусто).

-Вы принимаете к оплате только биткоины. Получается наше правительство право, что хотят запретить эту валюту?

-Подобных форков много, криптовалюта не в интересах нашего государства. В интересах нашего государства полный контроль всего. Криптовалюта позволяет совершать анонимные платежи, которые не контролируются центральным органом. К тому же, разумно многократно использовать разные миксеры при выводе средств (прим. в сети Tor). Доказать что средства тебе пришли в результате подобной деятельности практически невозможно. Итого: правительство работает в своих интересах. К 2015 году планируют ввести уголовное за использование криптовалют.

-Меня поразило то, что за дешифровку, вы не берете деньги с тех людей, кто не в состоянии вам заплатить. Почему так?

-Есть свои взгляды и принципы. Вирус в основном нацелен на компании, а не частных людей. Глупо полагать, что во всем полностью виноват сотрудник. Виноват отдел или СЕО, так как не уделили должного внимания информационной безопасности. Ты можешь быть отличным бухгалтером, но не знать даже основ информационной безопасности — это нормально. Прискорбно читать, когда сотрудника увольняют за то, что он открыл письмо от их же зараженного клиента о просьбе выслать ему счет-фактуру. Платить должна компания, в любом случае. К сожалению, учитывая вышенаписанное письма на почте keybtc не читаются (жалобы что уволили и прочее). С писем на почте принимается к обработке только адресат и вложения. Затем вложения проходят многослойную фильтрацию, затем производится анализ, генерация счета, формирование письма, вносится в базу данных, формируется письмо и отправляется результат. Система паралельно проверяет платежи, как платеж поступил — автоматически отправляется ключи на дешифрование.

-А много таких людей? (У кого нет денег на дешифровку).

-На данный момент мы читаем письма только в сети BitMessage. В целом, подобных людей не много. В любом случае, мы имеем полную информацию о зараженных компьютерах, соответственно можем проанализировать владельца, ценность информации, иногда даже его платежеспособность. Индивидуальный подход позволяет существенно увеличить доходность.

Вопрос в том, что многие люди не испытывают особого доверия к нашему ценообразованию.

-По сети гуляют разные суммы, одни пишут, что вы высылаете дешифратор за 1000 рублей, другие, что за 150$. У вас фиксированная ставка, или решается в индивидуальном порядке?

-Нет, подобных сумм в 1000 рублей или 150 долларов никогда не было. Цену формирует робот. Он анализирует компьютер пострадавшего, в зависимости от этого выставляется стоимость.

Стоимость формируется по 17-ти разным факторам. Уникальные случаи проверяются человеком. Цена не берется с потолка — это точно.

-Вы используете CRM для учета “клиентов”? Бывают ли сбои, что люди платят, а в ответ ничего не получают?

-Ведем базу данных. Нет, не бывает подобных случаев. Вполне логично полагать, учитывая большое количество зараженных машин, большой объем проделанной работы, автоматизированная система будет отправлять ключи. Если бывают некие казусы, мы сами заинтересованы в их решении, обычно казусы обсуждаются в BitMSG.

Вполне логично полагать, что если 1 человек, заплативший 200 рублей за дешифровку всему интернету расскажет что мы обманщики. Поэтому это не в наших интересах.

Человек в любом случае получает после оплаты ключ и необходимое ПО, а если не получит — он вправе рассказать это всей сети Интернет. Абсолютно согласны. Мы никак не реагируем на остального рода угроз.

-А вам не стыдно заниматься таким “бизнесом”?

-Подобным занимаются и политики и большие бизнесмены — вытягиванием денег с населения. Только их никто не винит. Президент США продает оружие на млрд $. Он способствует убийству миллионов людей и при этом его в этом никто не обвиняет

Как найдется один человек, скрыто производящий оружие, тут уже все новости кричат, что он способствует убийству сотен наших детей и его нужно наказать. Тут вопрос в сравнении с чем? Вы представляете, люди у нас просятся на работу, что бы работать и получать больше. Вот до такого состояния наше государство доводит население. Вы думаете, если анонимно предложить получать 50 тыс $ в месяц определённой группе людей, при этом не делать того, что наносит непосредственный урон здоровью другим, они не согласятся? Да больше 90% будут согласны, вопрос в том, в состоянии ли они это делать. Наши идут за меньшие деньги убивать людей.

-Вероятно, что после публикации этого интервью, ко мне придут из соответствующих органов. Не боитесь разоблачения?

-(пусто)

-Если я правильно понимаю, можно не платить вам, достаточно дождаться дешифратора от антивирусной компании? Если они его сделают.

-Некие товарищи опубликовали в открытый доступ те самые приватные ключи для дешифрования KEY.PRIVATE от почт paycrypt и еще каких-то. Это предоставило отличную возможность антивирусным лабораториям (таким как Dr Web & Kaspersky) подзаработать на лицензиях при обращении в ТП. У keybtc подобных планов (отправка приватной части) нет и не будет.

-Как часто Вы обновляете/дополняете вирус?

-Сейчас стоит вопрос в автораспространении, учитывая таргетинг на аудиторию. keybtc@gmail.com довольно устаревшая версия, есть гораздо новее версии, они выйдут в свет чуть позже и не там, где их ждут.

-Есть какой-то способ обезопасить свои компьютеры от вас? Вирус работает на Mac?

-Резервные копии, облачные хранилища, антивирусы, минимальное ознакомление работников, правильная конфигурация оборудования. Нет, вирус не работает с Mac. Оболочка Windows есть оболочкой для вирусов.

-У вас есть что сказать простым людям?

-Убеждать и агитировать к спонсорству нашего бизнеса никто не будет. Вопрос заключается в принятии решения для конкретной особи. Вы должны установить баланс между затраченными усилиями на информацию, соответственно её ценности, и заплаченными средствами. Возможно стоит просто всю информацию восстановить путем повторной работы, хотя при этом можно потерять много нервов и времени (соответственно тех же денег). Иногда стоит принимать свои недочеты и ошибки в работе, нежели полностью сбрасывать вину на остальных.


Также стоит понимать, не стоит ждать от нас некой лояльности в работе (из за этого интервью). Все проходят один и тот же процесс. Работает система.

Конец.

Поделитесь этим постом с друзьями. Возможно это спасет их данные."


Kirill  14 октября 2014, 10:16   #14
Хороший комменарий  0 Плохой комменарий
Ох как его растянуло...

alex666  14 октября 2014, 10:20   #15
Хороший комменарий  0 Плохой комменарий
12 ставьте нормальный антивирус и никаких проблем. вот что drweb пишет :В общем случае без наличия приватной части мастер-ключа расшифровка файлов, пострадавших от действия BAT.Encoder.23, невозможна, однако при наличии ключа возможность восстановления информации не исключена.Распространяется с использованием загрузчика JS.Downloader.300- ну это может только авасты бесплатные пропустят)))

alex666  14 октября 2014, 10:21   #16
Хороший комменарий  0 Плохой комменарий




Подтверждаю, приехал в офис, а там та же история, зашифрованные файлы и расширение keybtc@gmail_com, NOD32 пропустил даже не пикнув







21099i  14 октября 2014, 10:32   #17
Хороший комменарий  0 Плохой комменарий
По началу его все антивири спокойно пропускали - т.к. сам по себе исполняемый файл шифратора вполне легитимен и вирусом в прямом понимании этого слова не является. Другие антивирусы не проверял, но после запуска файла на компе с актуальным Каспером - "заражения" не произошло...

alex666  14 октября 2014, 10:42   #18
Хороший комменарий  0 Плохой комменарий
дык как его можно пропустить? защиту вырубить??? -JS.Downloader angel

Phantom  14 октября 2014, 10:43   #19
Хороший комменарий  0 Плохой комменарий
целая ветка шляпы голимой

alex666  14 октября 2014, 10:44   #20
Хороший комменарий  0 Плохой комменарий
ява скрипт кто не понял))

alex666  14 октября 2014, 10:46   #21
Хороший комменарий  0 Плохой комменарий
19 реально шляпа ветка! люди покупая просто дорогущие компы , жмотятся на достойную защиту!

alex666  14 октября 2014, 10:49   #22
Хороший комменарий  0 Плохой комменарий
кстате (из статьи) открытый код этого шифратора в инете есть ))) все срочно переписывать под себя его))

Aven  14 октября 2014, 13:03   #23
Хороший комменарий  0 Плохой комменарий
Ставьте Касперского, ничего не пропускает :)

Обращайтесь к нам, мы официальные партнеры в г. Ухта, установка для корпоративных заказчиков - БЕСПЛАТНО.

Страницы:  1 

 

Комментировать:

Оставлять сообщения могут только зарегистрированные пользователи
войти   зарегистрироваться


  

 


Ваш профиль:

ник  Нажмите на свой ник в правом верхнем углу сайта


Игнорировать пользователя:

  Нажмите на ник
  данного пользователя
  в любом из его постов,
 пройдите по ссылке


Тема, которую вы создали, исчезла:

профиль  Скорей всего она перенесена в схожую по смыслу тему. Нажмите на свой ник в правом верхнем углу сайта, пройдите по ссылке "Мои последние комментарии"


Как вставить в пост картинку:

картинка  Читайте здесь


Не могу оценивать посты:

  плюсомёт 
Оценка постов включится автоматически, зависит от даты регистрации на сайте и количества ваших комментариев


Не работают кнопки оценок постов в Iphone и Ipad:

плюсомёт Как включить кнопки читайте здесь



0.025641918182373

 


Обратная связь   Контакты  Реклама      Твиттер Ухта24  Ухта24 ВКонтакте  Ухта24 Фейсбук  Ухта24 Телеграм
 

Uhta24.ru   18+

©2007 Студия "Луна"
При использовании материалов сайта обязательна ссылка на источник.
Администрация не несет ответственность за информацию, размещенную пользователями сайта.
Ответственность за содержание рекламных материалов несет рекламодатель.
Предложения по работе сайта присылайте на е-майл info@uhta24.ru
Погода от Гидрометцентр России

Top.Mail.Ru   
  
  0.025921821594238