Вирус шифровальщик

[John Galt]

Несколько раз доводилось ликвидировать последствия работы шифровальщиков, но обычно я делал это довольно грубо-просто форматировал винт и переставлял винду и необходимые проги т.к. расшифровать файлы ни разу не удавалось.

В инете не нашел четкого ответа-опасность от вируса сохраняется после того как файлы уже зашифрованы, заразен ли комп, можно ли им пользоваться дальше без опасений что вновь созданные файлы так же подвергнутся шифрованию?

Антивирусниками почистил, но с одной стороны нет уверенности что комп уже безопасен, с другой очень не хочется переставляь все проги в случае переустановки винды. Вроде пишут что вирус делает свое дело и перестает быть опасным, даже типа самоуничтожается, хочу узнать так ли это?

[Борисыч]

Хе-хе... у нас недавно вот рабочая сеть дважды этой дрянью была поражена с интервалом в месяц-полтора. В первый раз ещё не страшные последствия были, а при втором заражении наш админ чота совсем скис.

[Анатолий]

Из собственного опыта:

 

Собственно это не вирус, а исполняемый файл.

Пользователь ПО СОБСТВЕННОМУ ЖЕЛАНИЮ, НЕВНИМАТЕЛЬНОСТИ, ЛЮБОПЫТСТВУ а может и по умыслу открывает файл который имеет в себе исполнимый модуль.

Задача создателя данного файла выполнена - Вы, пользователь, собственноручно (но ни как не "ОНО САМО") запустили программу. 

В последнее время такие файлы шифруют данные по маске, заложенной создателем в фоновом режиме, после перезагрузки Вы увидите результат этих действий.

Дальше, если это действуют вымогатели, они могут расшифровать данные, естественно не на безвозмездной основе.

Это НЕ ВИРУС, это исполняемый файл.

99% заражения происходит при открытии почты.

Как ни странно инициаторами запуска программы в большинстве случаев являются бухгалтера предприятий, которые увидев слова "акт сверки", "баланс", "арбитраж" и т.д. СРАЗУ открывают письмо НЕ ПРОВЕРИВ ОТКУДА ОНО ПРИШЛО.

 

Лечение обычно не нужно, так как исполняемый файл при запуске (в большинстве случаев) однократно выполняет свою задачу. Но если его запустить вторично, то он второй раз сделает то же самое.

Лучший вариант форматирование с переустановкой софта, подробная ручная чистка почты.

 

Профилактика только одна - не открывать письма из неизвестных источников.

[equinox]

Еще профилактика — установка SRP (Softwar Restriction Policies). Требует первоначальной настройки, но позже оправдывает себя полностью.

[John Galt]

То есть версия что лечить по сути уже нечего имеет место быть и с ирившись с потерей данных можно дальше работать на компе, предварительно проскарировав его парочкой разных антивирусов на всякий случай.

Просто переставлять винду сильно не хочется, комп бухгалтерский и там так просто не отделаешься установкой офиса и браузера как на любом обычном пользовательском компе

Всем спасибо за ответы!

[waldo]

@John Galt, опасность в данном случае только одна: что пользователь наступит на те же грабли еще раз. Источник нашли? 

[John Galt]

Почта похоже, как во всех предыдущих случаях. Я уже всех предупреждаю об таких ситуациях, но пока петух не клюнет, люди как правило не меняют своего поведения.

[John Galt]

Еще профилактика — установка SRP (Softwar Restriction Policies). Требует первоначальной настройки, но позже оправдывает себя полностью.

Есть всего одна маленькая проблемка- как правило на рабочих компах стоит не проф версия винды а хоум и такого функционала просто нет. Единственное что делаю это вхожу по умолчанию под юзером без админских прав, что и другим людям делаю/советую

[equinox]

 

 

Есть всего одна маленькая проблемка- как правило на рабочих компах стоит не проф версия винды а хоум и такого функционала просто нет.

Печально, а я уж подумал, что есть домен и про версии клиентов.

[waldo]

@John Galt, для понижения в правах пользователей на "хомяке" выручала утилита DropMyRights от Microsoft.

 

У Касперского вышел бесплатный продукт Kaspersky Free - у меня из Thunderbird выкусывает такие вложения, что называется "на ура". Ну, и бэкапы, бэкапы... На сервере запускаю резервное копирование по расписанию, от имени специально заведеного пользователя, архивы кладутся в папку, куда доступ есть только этому пользователю. Таким образом шифровальщик, будучи запущенным от имени кого угодно, не может добраться до архивов.

 

Что касается расшифровки, то здесь у меня более удачный опыт: из 4-х случаев в двух удалось расшифровать, с помощью сотрудников антивирусной лаборатории DrWeb.