Вирус шифровальщик df696522.exe

Обсуждение в разделе «Защита ОС: антивирусы, фаерволы, антишпионы», начал(-а) GAiN, 15.05.2017.

  1. GAiN

    GAiN Elder - Старейшина

    Регистрация:
    2.04.2011
    Сообщения:
    2 439
    Одобрения:
    157
    Репутация:
    57
    Всем привет. На несколько ПК с windows 7 попали шифровальщики, при этом рабочие ПК были включены с утра и никто ещё не успел поработать, файлы документов были зашифрованы.
    С виду ничего не поменялось, изменилась дата изменения всех файлов, и файлы не открываются приложениями. в директориях с файлами появился файл HELP_iISp4fhZ.html
    его содержимое редирект:
    Code:
    <meta http-equiv='refresh' content='0; url=http://190.115.19.190' />
    редирект на http://spora.biz/  и http://bdxgfrnyzrhqszyv.onion
    
    Шифровальщик без участия пользователя установился и выполнил шифрования, даже под правами юзера.
    Шифровал и файлы в сетевых папках, к которым был доступ у юзера, а так же на подключенных флешках.
    Антивирус не реагировал, Касперский 2017 и dr.web
    В папке юзера, на рабочем столе и на диске D были файлы df696522.exe.

    Непонятно каким образом он встал минуя всю защиту, и почему на него неотреагировали антивирусники ? что это за вирус, wanna crypt ?
    дешифровать файлы бесполезно или забекапить на время, если появится декриптор?
     
  2. Mumu

    Mumu New Member

    Регистрация:
    28.03.2017
    Сообщения:
    27
    Одобрения:
    18
    Репутация:
    0
    Вирус - Spora (в редиректе отсыл к нему).
    Вот его описание:
    https://serveradmin.ru/spora-ransomware/
    https://xakep.ru/2017/01/12/spora-ransomware/

    Ты не первый, кто его словил, и тебе не повезло, т.к. декрипторов нет и вряд ли будут.
     
  3. binarymaster

    binarymaster Elder - Старейшина

    Регистрация:
    11.12.2010
    Сообщения:
    3 124
    Одобрения:
    5 421
    Репутация:
    56
    Можно сказать, элитный шифровальщик попался. Вот правда не исключено, что в будущем он начнёт распространяться через MS17-010.
     
  4. DooD

    DooD Moderator

    Регистрация:
    30.09.2010
    Сообщения:
    1 142
    Одобрения:
    339
    Репутация:
    167
    кроме мс17-010 никак он не запустился бы, либо если юзает неизвестную багу.
    дешифровать не получится, либо плати либо забудь за файлы, увы
     
    _________________________
  5. wwalex101

    wwalex101 Member

    Регистрация:
    24.03.2009
    Сообщения:
    68
    Одобрения:
    4
    Репутация:
    1
    на хакере такие хвалебные отзывы прям как будто телефон купили, а не вирь схватили.
     
    Это одобряет Semwize.
  6. Semwize

    Semwize Elder - Старейшина

    Регистрация:
    30.11.2006
    Сообщения:
    491
    Одобрения:
    342
    Репутация:
    13
    А за отзывы там обещана скидка, как в лучших торговых домах, реклама же.
     
Загрузка...
Похожие темы
  1. Ответы:
    1
    Просмотры:
    1 725
  2. Ответы:
    64
    Просмотры:
    6 555
  3. Ответы:
    8
    Просмотры:
    866
  4. Ответы:
    3
    Просмотры:
    4 604
  5. Ответы:
    3
    Просмотры:
    2 011