Никто не сталкивался с шифровальщиком gooddecrypt ****** banhu?

Question

[Norco-77]

В конторе открыли какое то письмо скорей всего и получили все зашифрованные файло, вот с таким расширением:
gooddecrypt@airmail.cc].banhu
Что посоветуете делать?

Comments

[shurshur]

Либо заплатить (без гарантий), либо всё форматнуть и поставить заново, данные взять из бэкапа или признать их утерю.

[d'Ivan]

shurshur, заплатить, только не тем, кто вымогательством занимается, а специалистам в информационной безопасности и компании антивирусов.

[shurshur]

Роман Мирр, современные шифровальщики шифруют так, что никакие антивирусные компании не могут это расшифровать. А вот подонки часто вполне себе присылают ключ для расшифровки, потому что если они будут всех так кидать - никто им не будет платить. Но это, как я уже говорил, не гарантируется.

[d'Ivan]

shurshur, ну я бы оставил выплату вымогателям как самый последний вариант.
Все-таки, в реализациях шифрования могут найти слабое место.

[shurshur]

Роман Мирр, это конечно. Ну и я думаю появится ещё один админ, который уже делает резервные копии.

[d-stream]

shurshur, это при условии что выплату вымогателям осуществят за его счёт)

[shurshur]

d-stream, вот за чей счёт надо бы осуществлять такую выплату, так это за счёт дурака, который открыл очень_важный_счёт.pdf.exe.

[d-stream]

shurshur, нет. Ибо юзверь - бездумная жывотинка, а вот админ - в общем-то получает деньги за то чтобы такого не было...

[shurshur]

d-stream, строго говоря, всяко может быть. Если админ провёл пользователям инструктаж под роспись и обязал всех сидеть с включённым антивирусом, а пользователи всё это проигнорили, то виноват в любом случае пользователь.

[d-stream]

shurshur, внятный админ обязан понимать что:
1. антивирусы несколько опаздывают за вирусами
2. антивирусы лишь снижают, а не исключают риск заражения

* впрочем это типично сисадминское: "ничё не знаю, с моей стороны пакеты улетели")

[shurshur]

d-stream, я насмотрелся пользователей и никакого пиетета по поводу их инициативно проявляемой глупости не вижу. Да, они реально знают, что файл нельзя открывать, но "а вдруг там что-то важное?" Они знают, что антивирус может защитить их от многих угроз, но "а вот я тут игрушку скачала, а она при включённом антивирусе не запустилась". Зато когда с документами что-то случилось, то админ, конечно же, виноват и обязан срочно родить из небытия эти файлы вот прям через минуту, а они даже на участвующую в ежедневном бэкапе сетевую шару документы не клали, ведь "на рабочем столе удобнее". Разумеется, если админ дурак, то он должен отвечать, но ответственность за ошибки и намеренные зловредные действия пользователя должна ложиться на пользователя.

[d-stream]

shurshur,

Зато когда с документами что-то случилось, то админ, конечно же, виноват и обязан срочно родить из небытия эти файлы вот прям через минуту, а они даже на участвующую в ежедневном бэкапе сетевую шару документы не клали, ведь "на рабочем столе удобнее".

Это говорит о некомпетентности админа. Он просто картриджеменятель.

[Norco-77]

d-stream, Конторы разные бывают, есть где 100+ компов и у них там штатный планктон сидит, который и экселенастройщик и менятель картриджей, а есть конторы с парочка-тройкой компов и все ознакомления для работающих, что нужно бэкапить пару раз в неделю туда-то не имеют смысла, пока сами не столкнутся

[shurshur]

d-stream, компетенция админа бесполезна, если нет поддержки административного ресурса. Можно сто раз всё сделать правильно, а потом за отключенный антивирус и запущенный шифровальщик лишат премии именно тебя.

[d-stream]

shurshur, умение добиться правильного регламента - это тоже компетенции админа. В отличии от землекопа компетентный администратор или может влиять на процессы в рамках его компетенций или же "эй ты, хакер, сходи секретарше мышку продуй".

[shurshur]

d-stream, часто руководство начинает прислушиваться к админу уже после того, как главный бухгалтер подхватит шифровальщика, а не до того. А до этого бухгалтерия - это священная корова, которую трогать нельзя.

[d-stream]

shurshur, это относится только к некомпетентным ит-таджикам, которые сами только после свершившегося факта узнают про бэкапы, антивирусы, srp, регламенты и т.п.

[shurshur]

d-stream, это относится к некомпетентным юзерам-"таджикам", которые считают, что быть дебилом - это невероятное достоинство. А ты так и будешь рассказывать, что наличие идиотов - это вина админа.

У нас было 500 подведомственных бюджетных учреждений, я такого насмотрелся в жизни, что мне не стоит рассказывать о том, какие юзеры бедные несчастные и ни в чём не виноваты.

Answer 1

[CityCat4]

- Вызвать на проработку того, кто открыл письмо.
- Данные восстановить из бэкапа, винду переставить.
Если бэкапа нет, то можно конечно написать бандюкам - вдруг ключ пришлют, но на это мало надежды - его (ключа) может вообще не быть.

Comments

[Norco-77]

Написали, что хотят 1000 баксов..

[CityCat4]

Norco-77, В смысле написали? По почте откликнулись? Ну, пусть руководство решает тогда, за чей счет будет банкет - для нормального бизнеса сумма невелика.

[Norco-77]

CityCat4, Ну да, написали, ради интереса им написали, чтобы узнать хоть что хотят


Руководоство сказали хрен им копейку дадим, да там то и контора на пару компьютеров)

Answer 2

[Dimonchik]

вызвать Каспера

Comments

[d'Ivan]

Евгения, что-ли? Дороговато выйдет.

[Dimonchik]

ну иногда срабытывает

кулхацкеры-то тоже друг друга форкают, может алгоритм известный и обратимый

мы-то с Вами понимаем, что не по расширению они это делают )))

[Developer]

Фууу, как пошло.
каспером только дегенераты пользуются

Answer 3

[BorLaze]

https://www.google.com/search?q=gooddecrypt

не пробовал?

Comments

[Norco-77]

Сцылку свою смотрели куда идёт?

[BorLaze]

Norco-77, на гугл
вся первая страница посвящена способам лечения banhu-криптера.
А что не так?

[Norco-77]

BorLaze, Если по ссылке перехожу, то :

Только потом, если клацаю на выделенное:

То уже попадаю на Хабр..

[BorLaze]

Norco-77, прикольно.
Какие-то разные у нас гуглы :-)))



Скопирую сюда первую страницы выдачи. Проверить эффективность лечения, как понимаешь, не могу :-)

https://howtofix.guide/banhu-file-virus/
https://www.pcrisk.com/removal-guides/19741-banhu-...
https://malwaretips.com/blogs/remove-banhu-virus/
https://www.besttechtips.org/remove-banhu-virus-an...
https://www.free-uninstall.org/how-to-remove-banhu...
https://adware.guru/remove-banhu-virus/
https://malware-guide.com/blog/how-to-remove-banhu...
https://cleanupallthreats.com/easy-way-to-remove-g...

[Вадим]

Вопрос в том, что нужно. Вычистить шифровальщик - легко и просто.
Расшифровать - скорее всего, никак.