Сегодня, коллеги по цеху сообщили, наткнулись на очередной вирус, который приходит в виде запороленного архива по почте, а рядом с архивом написан пароль для разархивации, ну пользователю естественно интересно, что там такое и открывает архив введя пароль, тем временем на его ПК запускается скрипт *.hta который шифрует все файлы приписывая к ним расширение *.FTCODE.
Пример письма с вирусом FTCODEер
[stextbox id=»black» image=»null»]Добрый день, Меня зовут Александр я представляю ООО «Амбулатория». Мне дали задание отправить благодарственное письмо на компанию ***** за работу в сфере «****************». Мне нужен Ваш почтовый адрес, из моих данных только:
г. Москва, ********
Если Вас не затруднит дополните и уточните данные.
————————————————————-
С Уважением, Александр Юдин
Менеджер по связи с общественностью
ООО «**********»
115114, г. Москва, ул. Летниковская, д. 2, стр.4
Телефон: +7 (496) 2-**-90-** доп
потом архив с файлом благодарственное письмо.rar и паролем 12345. В нем и был зловредный файл.[/stextbox]
Потом на рабочем столе появляется файл read_me_now.txt в котором написано, что все файлы зашифрованы и для расшифровки нужно заплатить 10000 рублей.
Текст файла для примера:
[stextbox id=»black» image=»null»]Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована
с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо
Перейти зайти на страницу в интернете по адресу <ссылка> и следовать инструкциям
Если ссылка выше не работает перейдите по резервным адресам <ссылка> или <ссылка>
При попытке расшифровки без нашей программы файлы могут повредиться!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы![/stextbox]
Во первых, хочу еще раз всех предостеречь: Будьте внимательней при работе в интернет, и не открывайте подозрительные файлы из почты, аськи, скайпа, соц сетей. Кто Вам станет присылать некий архив с паролем? Если не знаете что там — не открывайте, иначе можно потерять много своих данных.
Во вторых, если Вы вдруг уже словили данный вирус и не знаете что делать, для начала можно почитать вот эту тему на сайте касперского, там, уже много людей, которые заразились этим вирусом, отписались о своей проблеме, некоторые даже нашли решение.
Вот описание лечения, которое некоторым помогло:
[stextbox id=»alert» image=»null»]
PS: если вы заразились и у Вас ни чего не получается, лучше обратиться к специалистам, если Вы в Нижнем Новгороде советую их (Компьютерная служба спасения — Нижний Новгород):
У них как раз сейчас идут акции на удаление вирусов
[/stextbox]
Как временное решение, для того чтобы больше не заразиться, у одного из участников форума появилась гениальная мысль:
[stextbox id=»custom» caption=»Пользователь — widmo» collapsing=»false» collapsed=»false» image=»null»]советую всем, у кого домен, на всякий случай создать политику ассоциации hta с блокнотом…
Настройка
Параметры панели управления
Параметры папок
Открыть с помощью (расширение: hta, программа: %WINDIR%\notepad.exe)
hta (порядок: 1)
Общие
Действие Обновить
Свойства Расширение файла hta
Связанная программа %WINDIR%\notepad.exe
Использовать по умолчанию Включено
Общие параметры
Параметры Остановить обработку элементов на этом расширении, если на этом элементе возникает ошибка Нет
Запуск в контексте безопасности текущего пользователя (параметр пользовательской политики) Да
Удалить этот элемент, если он больше не применяется Нет
Применить один раз и не применять повторно Нет[/stextbox]
Если компьютер не в домене, т.е. домашний то нужно сделать следующее (windows7, 8):
Пуск > Панель управления > Все элементы панели управления > Программы по умолчанию > Задать сопоставления
Тут находим в большом списке расширение .hta, выделяем его, справа сверху нажимаем кнопку «Изменить программу», в появившемся окне раскрываем список «Другие программы», находим там «Блокнот» и выделяем его, нажимаем ОК, произойдет ассоциация файлов таких скриптов с блокнотом и они перестанут выполнятся — будут просто открываться в блокноте.
Удачи, будьте здоровы!
0 Комментарии。