qkowlew (qkowlew) wrote,
qkowlew
qkowlew

Очередной криптолокер с нами...

в 11:45 начал работу с одной рабочей станции сети.
около 13:00 ещё одна рабочая станция начала такую же деятельность.
Около 17:45 мне об этом сообщили.
Восстанавливать из бекапа около 600 гигабайт, ага.

Лазит по ОТКРЫТЫМ с текущего компа шарам (доступные, но неоткрытые не открываает), все доступные на запись файлы с расширениями .jpg .xls .doc .mdb .rar не слишком большого размера (возможно какие-то ещё) прочитывает, шифрует начало файла (зависит от формата размер), записывает обратно, переименовывает, добавляя строку в хвост id-9650052106_decrypt@india.com

Все встреченные екзешники как-то анализирует, если они Self-extracted архивы - поступает с ними аналогично архивам, но полностью не анализировал результат. По крайней мере часть екзешников побитно совпадает с оригинальными.

Возможно ещё и рассылает спам (на файрвололе я это вижу), но это может быть не он сам, а их там большая тусовка уже. :)

При этом переименованные файлы становятся исполняемыми, и всякий нажавший на них Enter - продожает буйное дело распространения дерьма.

Свежее. AVZ, NOD32 не знают.
Садится на Windows 7, срущие раб станции мне не доступны, так что подробнее не знаю о нём ничего.

БЭКАПЬТЕСЬ, ТОВАИРЩИ!!!
Tags: windows, безопасность, лытдыбр
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 13 comments