Карта сайта

Это автоматически сохраненная страница от 13.05.2013. Оригинал был здесь: http://2ch.hk/b/res/48057292.html
Сайт a2ch.ru не связан с авторами и содержимым страницы
жалоба / abuse: admin@a2ch.ru

Пнд 13 Май 2013 08:58:44
НЕ КОЧАЙТЕ ТАМ ВИРУС
Бля посоны, сервак подхватил вирус. "Все зашифрованые файлы имеют формат .STOP" Кто решал данную проблему, подскажите что делать??


Пнд 13 Май 2013 09:05:16
>>48057292
установи антивир

Пнд 13 Май 2013 09:05:55
>>48057292
/Thread

Пнд 13 Май 2013 09:06:01
>>48057292
Пропатчить KDE2 под FreeBSD.

Пнд 13 Май 2013 09:06:28
>>48057292
РЕШЕТО!

Пнд 13 Май 2013 09:08:00
>>48057453 Там 2008 сервак стоит.

Пнд 13 Май 2013 09:09:43
>>48057501
У кого-то неудачное начала понедельника. Удачи, оп.
Скучающий, нихуя не делающий ИТ-специлист

Пнд 13 Май 2013 09:10:02
Уволиться с не по праву занимаемой должности и пригласить хотя бы посредственного специалиста на неё.

Пнд 13 Май 2013 09:11:28
>>48057501
Нод хуита, работаю в компании разрабатывающей одну очень большую и известную программу, мы пару раз писали в ESET, когда после очередного обновления их говновирус ни с того ни с сего начинал считать нашу прогу вирусом и блочил у всех клиентов.
У меня у самого пару лет назад он один известный весьма вирус пропустил и упорно не хотел его удалять, в итоге перешел на каспера.

Пнд 13 Май 2013 09:12:04
>>48057574
>очень большую и известную программу
СТАЛКИР?

Пнд 13 Май 2013 09:15:33
>>48057545

Да я вообще обычный инженер. Я нихуя не айтишник. Так получилось что никого кроме меня никого нет в офисе. А 1С не работает.

Пнд 13 Май 2013 09:16:56
>>48057672

Пичалька. Время твоему дирехтуру утереть кончу с усов и завести специалиста.

Пнд 13 Май 2013 09:18:31
>>48057709
Так дело в том, что этот директор мне себя дохуя специалистом в этом деле, хотя на деле нихуя не так. Так что никого он не будет нанимать.

Пнд 13 Май 2013 09:19:19
>>48057755
мнит

слоуфикс

Пнд 13 Май 2013 09:20:11
В ручную переименовать не пробовал?

Пнд 13 Май 2013 09:24:17
>>48057803
Ты вообще представляешь СКОЛЬКО файлов мне надо переименовать? Но это тщетно всеравно.

Пнд 13 Май 2013 09:24:32
>>48057534
Я всегда растягиваю проблемы на всю неделю. Каждый день решаю по одной. Сегодня например буду восстанавливать сайт своей конторы.

Пнд 13 Май 2013 09:26:17
>>48057917
Ну мне с порнухой помогло как то. Но там всего 5 фильмов было.

Пнд 13 Май 2013 09:27:50
>>48057917
А скрипт для этого дела написать разве нельзя?

Пнд 13 Май 2013 09:28:01
>>48057917
А вообще это же план работы на неделю. Чтобы не доебались "а хуле этот весь день двачу капчует с работы"

Пнд 13 Май 2013 09:28:13
>>48057917
Бэкапы не пробывал делать?

Пнд 13 Май 2013 09:30:37
>>48058005
Я не айтишник, я не знаю как это делать.

Пнд 13 Май 2013 09:31:31
>>48058074
>Я не айтишник, я не знаю как это делать.
ДА я и сам не знаю. Может кто подскажет тебя.

Пнд 13 Май 2013 09:33:53
>>48058074
>Вообще думал, но как я хуй знаеет. Вообще в серверах не понимаю нихуя.
Так же как и с пастами Ctrl+C/Ctrl+V всей директории на другой комп в самом примитивном случае. Я уж не говорю о скриптах и прогах которые могут делать это за тебя по расписанию.

Пнд 13 Май 2013 09:34:20
А чо, при запустке этих файлов не выдаёт табличку - ололо ты попячен, ваш корабль зохвачен. Если да, то у меня для тебя плохие новости.

Пнд 13 Май 2013 09:38:36
>>48058194
Скинь ка один небольшой файлик.

Пнд 13 Май 2013 09:38:49
>>48058194
Походу серьёзные ребята, лучше с ними не шутит. Оп, лучше заплати и живи спокойно.

Пнд 13 Май 2013 09:40:05
>>48058194
>Все данные зашифрованы
Ну сейчас-то уже поздно бэкапить. Это раньше надо было думать.

Пнд 13 Май 2013 09:48:39
>>48057755

Так пусть сам проблему и решает, делов то.

Пнд 13 Май 2013 09:49:07
Посмотрел в гугле, сообщения об этой хуйне появились 11 числа.

Пнд 13 Май 2013 09:49:59
Кстате поебота эта затронула только терминал, компы в сети все работают исправно.

Пнд 13 Май 2013 09:57:59
>>48057672
всегда так оправдываюсь когда приходится спрашивать какую-нибудь хрень на it-форумах :3
мимоспециалист

Пнд 13 Май 2013 09:58:00
>>48058194
была похожая херня, вылечить не удалось.


По информации из сети люди башляют денег и получают пас для дешифровки.

Пнд 13 Май 2013 10:00:51
>>48058763

исключено

Пнд 13 Май 2013 10:02:29
>>48058832
Скинь файл один, только не от БД.
48058264-кун

Пнд 13 Май 2013 10:10:34
http://rghost.ru/45961600
Держи.

Пнд 13 Май 2013 10:15:09
>>48058194
а потом окажется, что там пароль 1234

Пнд 13 Май 2013 10:16:36
>>48058194
Гуманитарий какой-то писал. Уж очень хороший у него слог. Респектище

Пнд 13 Май 2013 10:17:11
>>48059153

Ты же понимаешь, что такое невозможно.

Пнд 13 Май 2013 10:18:12
>>48059210 Почему?

Пнд 13 Май 2013 10:19:39
>>48059231

Как ты по гугловскому имейлу вычислишь?

Пнд 13 Май 2013 10:25:26
Я щитаю эти ребята настоящие тру хакиры-ананимасы, которые живут моллодостью и энергией и ебут некомпетентных рачков в роде опа в рот. Оп хуй наверно хуйню какуюто открыл на рабочей станции топо сосача за что и поплатился, все затраты по восстановлению информации должен нести оп, вплоть до уголовной оветственности.

Пнд 13 Май 2013 10:26:27
Все зависит от конкретной реализации. Возможно все и правда надежно зашифровано и брутить прийдется до тепловой смерти Вселенной, но это маловероятно, ибо кому вы нужны. А возможно сделано на коленке и победить можно, как здесь например

http://habrahabr.ru/post/168677/

мимопроходил


Пнд 13 Май 2013 10:29:13
>>48059265
Sdaite ih mentam. Googl vidaet dannye spokoino.

Mimo california without russian keyboard.

Пнд 13 Май 2013 10:33:35
копайся по ТОРу, на hackbb сходи. Может что-то найдёшь. А сейчас может и google будет сотрудничать с тобой, пацаны пропалились из за того, что там почтовый открыли. Это же в роде кибер-криминала, а их ни кто не будет крышевать кроме ТОРа, даже hushmail накрыли. Попроси юриста-куна составить письмо в google, и может даже скинь одну в ФСБ и интерпол. Сейчас кибер-криминальность серьёзная вещь. Не вздумай платить. На хуй ты каким-то пидарам быдло-скриптерам и ёбаным цыганам будешь платить выкуп? Хотят быть криминалом? Пусть караулят под домом и в заложники, по честному, а ни эти крысиные выебки.

>>48059398
>щитаю
Быдло

Пнд 13 Май 2013 10:33:55
>>48059051, похоже там конец файла поксорен с 0x40. Начало, кажется, чуть хитрее, но структура какая-то видна.
ОП, скинь какой-нибудь джипег или зип зашифрованный.

Пнд 13 Май 2013 10:34:00
>>48059489
Syka krisa mentovskaja iz presshati, tyt op vsem mirom nakazivayt za to 4to on rakuet .

Пнд 13 Май 2013 10:35:03
>>48059489

на translit.ru ебаш, пидар ты тупой.

Пнд 13 Май 2013 10:39:00
ОП, выходи на связь, блджад.

Пнд 13 Май 2013 10:43:53
>>48059779
Его уволили :(

Пнд 13 Май 2013 10:44:03
>>48059609

Ладно поробую. Но какая разница? Таблица не канает??


Пнд 13 Май 2013 10:44:50
>>48059598
Ебать дебил, в рашке всем похую на киберпреступления, если ты не миллиарды спиздил, а начальству опа проще с него взыскать по полной строгости.

Пнд 13 Май 2013 10:46:12
>>48059978

Я то причем? В суббту менеджера работали, пока я дома в танки ебашил.

Пнд 13 Май 2013 10:46:59
>>48059941
Ну можешь ещё одну таблицу скинуть заодно. Просто пека под рукой нет, расшифровываю в уме, и на зип-архиве мог бы проверить, так как структуру приблизительно помню.

Пнд 13 Май 2013 10:48:25
>>48060035
>танки
Еще и говноед, как там на вкус хуец Серба?

Пнд 13 Май 2013 10:49:53
>>48058194
Хуевые дела.
Зашифровано спец алгоритмом, без дешифратора нихуя не сделаешь. Знаю пару таких же как ты придурков, которые подхватили этот вирус, все башляли. Этому вирусу уже третий год пошел. Можешь погуглить дешефраторы, если версия старая, может и повезет, что найти.

Пнд 13 Май 2013 10:51:04
>>48060109

Кто это?? Я днище с 2к боев 48 винрейт

Пнд 13 Май 2013 10:51:06
>>48060109
Весь из золота и икрустирован брилиантами.

Пнд 13 Май 2013 10:51:46
>>48060035
Ну тогда выясни кто конкретно в там был в то время и сдай их ментам, чтоб по всей строгости, 100% с работы ктото это все устроил.

Пнд 13 Май 2013 10:54:48
>>48060238
верно грит. Какой-то уёбок запустил екзешник, пришедший на почту.

Пнд 13 Май 2013 10:56:36
>>48060347
Так может ты нам и экзешник этот скинешь?

Пнд 13 Май 2013 10:57:37
>>48060412

А надо??

Пнд 13 Май 2013 10:58:55
>>48060447
Можно будет отреверсить и расшифровать. Скинь его, и заодно ещё какой xls, сравнить надо.

Пнд 13 Май 2013 11:02:07
>>48060412
извиняй, история случилась пол года назад. Погуглил, понял что нет пути и восстановил всё из бекапа. Лишнее удалил.

Пнд 13 Май 2013 11:03:15
>>48060412
Но ты и сам можешь его вытянуть. Ищи в процессах.

Пнд 13 Май 2013 11:05:14
>>48060612

Бэкапы зашифрованы.

Пнд 13 Май 2013 11:06:13
>>48060732
Ищи файла на почте с расширением .hta

Пнд 13 Май 2013 11:08:37
>>48060775
Если его не удалили после всего произошедшего.

Пнд 13 Май 2013 11:11:49
>>48060943
Не xlsx, а xls, блджад! Разные форматы же.

Пнд 13 Май 2013 11:13:43
ОП ВНИМАНИЕ!

Была такая же хуйня у родных, первым делом отсылай деньги, не затягивай, потому что с этой хуйнёй ты никак не справишься (если касперыч ещё не решили эту проблему, но это врят ли)
Не переименовывай и не модифицируй файлы, иначе им песда.
Если во время не уложишься - файлы накроются, а этот хацкир может ещё и не сразу ответить.

Чтобы впредь такого не появилось - ставь СЛОЖНЫЕ (сука сложные ставь) пароли на RDP (удалённый доступ).
И на будущее, делай бэкапы, пёс


Пнд 13 Май 2013 11:14:27
>>48060990

ой! Секунду.

Пнд 13 Май 2013 11:15:52
>>48061066
Иди нахуй.
ОП НЕ КОРМИ ПИДОРОВ
И хуевый ты админ, срсли.

Пнд 13 Май 2013 11:16:32
>>48061157 Но он же не админ.

Пнд 13 Май 2013 11:17:26
>>48061066
Мне кажется, что ты пиздишь. Тут шифрвание писал, судя по всему, студент-быдлокодер. Оно выглядит несложным.

Пнд 13 Май 2013 11:17:47
>>48061179
Тогда пусть админ напрягается.

Пнд 13 Май 2013 11:17:49
дурашка, глянь хоть в реестре что запускается

Пнд 13 Май 2013 11:18:20
>>48059609
Начиная со смещения 0x4000 просто проксорено с 0x40, граница явно видна. Ковыряю первые 16к.

Пнд 13 Май 2013 11:19:22
>>48061243
Там тоже проксорено с восьмибайтными значениями, но они через сколько-то байт меняются.

Пнд 13 Май 2013 11:21:59
>>48061157
Моё дело оповестить ОПа, делать или нет ваше дело.
Можете погуглить, там всё описано.
Оп пришел искать совета в /b/ и в итоге у него компот сдетонирует.
Потом будет рыдать что проебал базы за год (учитывая что бэкапов у
него я так понял нет) и ручками восстанавливать.

Пнд 13 Май 2013 11:22:05
>>48061157
Этих пидоров кормим мы все. Кто голосует за власть которая не сажает таких пидоров? Мы сами.

Пнд 13 Май 2013 11:24:01
>>48061289
Посоны, что идти гуглить, чтобы начать учиться такие задачки решать?

Пнд 13 Май 2013 11:24:07
http://rghost.ru/45962416

Пнд 13 Май 2013 11:27:14
>>48061474
HEX редактор гугли.
Отрывай известный, простой, тип файла, сравнивай заголовки итд.

Пнд 13 Май 2013 11:27:46
>>48061474
Японскую книжку про ассемблер, пенетрирование и прочее.
Boku no Pico, называется. Погугли, кароч.

Пнд 13 Май 2013 11:28:05
Не легче в ментовку написать?

Пнд 13 Май 2013 11:32:16
>>48061642
И что они сделают? Разведут руками и скажут "Ну хуй знает."

Пнд 13 Май 2013 11:34:39
>>48061821 двачую
Оп просто заплати им и все

Пнд 13 Май 2013 11:38:43
>>48061896
Нет, может ему сейчас дешифруют алгоритм, аноны.
Но вряд ли.

Пнд 13 Май 2013 11:39:39
>>48062055 это же антоны они все дебилы и пидорашки
а евро анон сюда не заглянет
Лучше просто заплати.

Пнд 13 Май 2013 11:41:33
>>48062089
Из твоего поста следует, что ты дебил и пидорашка.

Пнд 13 Май 2013 11:42:29
>>48062157 Я из англии. А ты из рашки или снг.

Пнд 13 Май 2013 11:46:34
>>48062191
И хули?

Пнд 13 Май 2013 11:46:39
>>48061474
Забей. При хорошем шифровании ты нихера не сделаешь. А при хуёвом... ну блядь предполагай всегда что файл заксорен каким-то постоянным значением. Если повезет, то расшифруешь. Но вероятность мала.

Пнд 13 Май 2013 11:49:35
>>48062341
Он заксорен постоянным значением. Где твой бог теперь?

Пнд 13 Май 2013 11:53:26
>>48062451
Но ты нихуя с этим не сделаешь, ну или проебешься недели две, когда все полимеры будут уже проёбаны. Где твой бог теперь?

Пнд 13 Май 2013 11:54:22
>>48062451
Это фартануло просто и не противоречит моему посту. Алсо, что-то я не вижу в треде дешифратора, который можно было сделать за полчаса в таком случае.

Пнд 13 Май 2013 11:55:22
>>48062451
Хуй там, первые 16к - циклический код блоками по 8 байт. Расковырять вполне реально, нужно только время.

Пнд 13 Май 2013 12:00:14
>>48062731
Пока ждать, инфы для расшифровки достаточно.

Пнд 13 Май 2013 12:08:15
>>48061066 прав
>Если во время не уложишься - файлы накроются, а этот хацкир может ещё и не сразу ответить.

Пнд 13 Май 2013 12:21:48
>>48063465
Ты хуй.

Пнд 13 Май 2013 12:22:34
>>48063685
Я знаю.

Пнд 13 Май 2013 12:46:27
Так что дешифровал кто файл?
капча 911

Пнд 13 Май 2013 12:53:43
>>48063724

Это лжеоп

Пнд 13 Май 2013 13:22:20
>>48057292
Оп, а тебя случаем не Антошка зовут?!

Пнд 13 Май 2013 13:29:23
>>48058194
Это не вирус, сбрутили рдп пас. Посмотри логи когда подключались, я уверен найдешь ночное подключение на пару часов. Файлы зашифрованы чем-то вроде блоуфиша, вскрыть- мало вероятно. Сколько просят узнай. Работал не робот. Плати, либо поднимай бэкап со стороннего носителя и дальше по первичке вручную восстанавливай, если есть такой, если нет будет тебе уроком.

Пнд 13 Май 2013 13:32:06
>>48066291
Лал, интересно какого сумма ущерба? И ОП о бэкапах не слышал?

Пнд 13 Май 2013 13:34:40
>>48066291
Бля, а у меня тоже рдп наружу торчит. Правда, не на стандартном порту. Мне пиздец скоро?
еще один недоадмин

Пнд 13 Май 2013 13:35:49

Пнд 13 Май 2013 13:41:25
Не обязательно РДП же.

В одной конторе локальный комп это дерьмо подхватил. И без всякого РДП паразит за пару дней зашифровал все доки и изображения.

Пнд 13 Май 2013 13:44:07
>>48066404
Ловили такую хуйню, 10к попросили- заплатил. Бэкап на съемнике был 3х дневной давности, контору в простой даже на день дороже было ставить. Документооборот большой очень, поднимать вручную -вообще пиздец.

Пнд 13 Май 2013 13:45:04
>>48066291
хуя ты даун, вот кому то нужно сидеть и пытаться взломать его говно что бы срубить бабла.
Ах, да какой долбоеб дает серверу прямой доступ в интернет?

Пнд 13 Май 2013 13:45:15
http://habrahabr.ru/post/159811/

Похожая кулстори.

Пнд 13 Май 2013 13:45:29
Вообще страшная хрень этот RDP. В трех конторах посмотрел логи ipfw, везде идет достаточно интенсивная круглосуточная долбежка извне по порту 3389.

Пнд 13 Май 2013 13:52:31
>>48066543
Ищи экзешник, который файлы шифровал, без него хрен что получится.

Пнд 13 Май 2013 13:53:38
>>48066907
> вот кому то нужно сидеть и пытаться взломать его говно что бы срубить бабла.
Да нихуя не нужно, троянчег брутит лог/пас адрес сервера.
К базе данных есть доступ у любого юзера 1С с правами создания/редактирования доков. Заходит под юзером и шифрует базу. Такие дела. А суммы там довольно большие за декриптер. Можно и повозится, 10-50к за пару часов работы ночью- довольно неплохо, а когда таких "клиентов" пару десятков уже хорошая сумма.

Пнд 13 Май 2013 13:58:00
>>48066930
> круглосуточная долбежка извне по порту 3389
3389- порт рдп по дефолту. В конторах юзера если с разных часовых поясов, так и будет.

Пнд 13 Май 2013 13:59:52
>>48067262
> брутит лог/пас адрес сервера.
лишь только с этого можно охуеть.

Пнд 13 Май 2013 14:07:50
>>48067429
Так я и говорю. Если у тебя наружу торчит рдп на дефолтном порту с логином Администратор и пассом 123 - то пекарне пиздец почти сразу. Алсо, на абсолютном большинстве быдлосборок винды так и есть.

Пнд 13 Май 2013 14:11:41
>>48067493
Ну нас так ебанули, один ебанутый манагер переустановил венду, антивирус, файрвол естессно нахуй не поставил. С почты прочитал письмецо от потенциального клиента, перешел по ссылочке и поймал 1 троян. Про венду и письмо с его слов рассказываю, 1 троян был обнаружен впоследствие на его компе. В воскресение в 3 ночи подключение с его логина, пиздык, в понедельник похожая хуета, разница тока в расширении файлов. Тут косяк одмина отчасти, что расписание подключений не отстроил, второй и главный от мегаменеджера. Тут-то я и понял- пришла пора дебиана! понял почему-то именно я, хотя я-то посути недалеко от манагеров ушел, так небольшим отделом командую, и к айти отношения никакого не имею, наверное виноват /s.

Пнд 13 Май 2013 14:11:58
Это какой-то гавноед на основе одного скрипта пишет вирусы и меняет коды и расширение. Рескрипты можно найти на форуме Доктор Веб. С предыдущими вирусами у клиентов подождал два дня пока вышел рескрипт.
http://forum.drweb.com/index.php?showtopic=313793

Пнд 13 Май 2013 14:16:54
>>48067967
>В воскресение в 3 ночи подключение с его логина
Подключение куда и откуда?

Пнд 13 Май 2013 14:26:04
А если вишней все снести и восстановить, я вернусь туда откуда начал??

Пнд 13 Май 2013 14:27:47
>>48068489
Попробуй, может что и выйдет :3

Пнд 13 Май 2013 14:28:02
>>48068160
С левого айпишника, так одмин сказал, как определил что он левый и почему доступ к таким "левым" не закрыл не ебу, уже уволился. Подключение к win сервер 2003, в среде которой работает 1с 8.2. Ойпи у филиала динамический был, видать поэтому ограничения наш одмин на ойпи не ставил. Вот и сели в лужу, кстати кочали дешифровщик с рыгхоста, скачано 84 раза за день. Так подумать по 10к с конторки почти мульт, заебись работают ребята. Себестоимость их бизнеса минимальна, поди займемся подобным?

Пнд 13 Май 2013 14:34:28
>>48066930
Лол, хорошо что напомнил, надо на скан поставить сервера, третий день забываю.

Пнд 13 Май 2013 14:36:53
>>48067976 этот говорит подождать.
Опять же сколько день простоя обойдется конторе?
Сумму какую просят сравни там и думай стоит ебаться или нет.

Пнд 13 Май 2013 14:44:26
Главное вирус не удалять, чтоб дескрипт мог работать.

Пнд 13 Май 2013 14:57:20
>>48068988

10к просят, и то это еще не 100 % гарантии что все разблочат

Пнд 13 Май 2013 15:04:40
>>48070068
Гарантии нет, но риск оправдан. Читал форумы и каспера и веба в том числе, про кидалово никто не отписывался. 2-3 часа с момента проплаты и вуаля декриптер, ключ к шифру на почте. Я не убеждаю платить, ни в коем случае, если справиться можешь сам или сумму космическую запросят, тут чисто вопрос денег. Что выгоднее? Думать о причинах будешь потом, хуета уже случилось и надо её исправлять.

Пнд 13 Май 2013 15:10:03
>>48070409
Раз деньги сняли, два деньги сняли. Если лежит троянец, то они еще не однократно будут доить сервер.

Пнд 13 Май 2013 15:19:17
>>48070667
Конечно будут, думать нужно о безопастности.


← К списку тредов