August 20th, 2014

фига

Очередной криптолокер с нами...

в 11:45 начал работу с одной рабочей станции сети.
около 13:00 ещё одна рабочая станция начала такую же деятельность.
Около 17:45 мне об этом сообщили.
Восстанавливать из бекапа около 600 гигабайт, ага.

Лазит по ОТКРЫТЫМ с текущего компа шарам (доступные, но неоткрытые не открываает), все доступные на запись файлы с расширениями .jpg .xls .doc .mdb .rar не слишком большого размера (возможно какие-то ещё) прочитывает, шифрует начало файла (зависит от формата размер), записывает обратно, переименовывает, добавляя строку в хвост id-9650052106_decrypt@india.com

Все встреченные екзешники как-то анализирует, если они Self-extracted архивы - поступает с ними аналогично архивам, но полностью не анализировал результат. По крайней мере часть екзешников побитно совпадает с оригинальными.

Возможно ещё и рассылает спам (на файрвололе я это вижу), но это может быть не он сам, а их там большая тусовка уже. :)

При этом переименованные файлы становятся исполняемыми, и всякий нажавший на них Enter - продожает буйное дело распространения дерьма.

Свежее. AVZ, NOD32 не знают.
Садится на Windows 7, срущие раб станции мне не доступны, так что подробнее не знаю о нём ничего.

БЭКАПЬТЕСЬ, ТОВАИРЩИ!!!