Что делать с вирусом Ishtar?

Question

[smithana]

Добрый день,

так получилось, что доверчивое начальство открыло архив из какого-то письма.
Итог - все файлы на компьютере человека, открывшего письмо (windows 7) и на сервере (server 2012) стали зашифрованными и называются с приставкой ishtar_*.
В корне лежит файл ReadMe с инструкцией по оплате через биткоины.

Поисковики рассказали только что это очень свежий вирус. И что касперский, доктор веб и т.д. в этом случае ничем помочь не могут.

Соответственно вопрос:
1. Есть какие-нибудь варианты борьбы с этой гадостью?
2. Файлы на сервере довольно важные, начальство подумывает заплатить денег вымогателям. Есть статистика оплат? Расшифровывают или кидают ещё и на деньги?

Спасибо

Answer 1

[Алексей]

Если сервер с важными файлами так бэкапы должны быть. По оплате 50 на 50.

Comments

[smithana]

бэкапы есть, но после последнего бэкапа появилась куча новых файлов, которые ещё не успели забэкапить.

За статистику спасибо, будем иметь ввиду.

[smithana]

я догадался)

Answer 2

[smithana]

Борьба с ними очень простая

это борьба не с последствиями, а их предотвращением. Ситуацию приняли к сведению и будем закручивать гайки.

На данный момент обратились в компанию по расшифровке данных. Обещают по удалённому доступу всё расшифровать.

Comments

[Алексей]

Сравните сколько запросят с тем, что просят вымогатели :) 90% таких контор просто проплачивают им же, беря свой процент.

[smithana]

на данный момент контора запросила 5-6 тыс руб. Вымогатели пока вообще молчат. Но судя по потерпевшим просят обычно в районе 15 тыс.

Answer 3

[Amigo-A]

smithana
На данный момент нет средства для бесплатной дешифровки файлов, зашифрованных шифровальщиком Ishtar. Вся публичная информация собрана изначально в одном месте. Ссылка. Если появится возможность бесплатной дешифровки, то на этой же странице появится ссылка на дешифратор. Если у вас имеются зашифрованные файлы, их надо сохранить в том виде, в каком они сейчас находятся - не переименовывая и не архивируя. Дешифровка для пострадавших от криптовымогателей априори БЕСПЛАТНА.

Answer 4

[spellman003]

А есть информация о том как гарантированног удалить его без переустановки ос?

Comments

[Amigo-A]

Рекомендаций по удалению шифровальщика не создавалось, т.к. он по большей части самоудаляется. Если вопрос восстановления файлов не стоит, то можно проверить наличие модулей вредоноса среди известных файлов, связанные с Ishtar Ransomware, см. в статье в блоге.
Если восстановление файлов необходимо, хотя бы в будущем, то нужно выполнить "Первые шаги после атаки шифровальщика", а затем обратиться в специальную тему на форуме. Без этих шагов восстановление вряд ли получится, как показывают предыдущие обращения.