SAD@FIREMAN Вирус переименовал файлы DBF и частично побил заголовки

@Дима Артёмов · Регистрация: 16.10.2009

Студворк — интернет-сервис помощи студентам

Сегодня один из юзеров приволок вирус, который оставил ему на рабочем столе пугалку, похожую на знаменитый FBI, только более наглую.
Заявляет об удалении файлов через 35 часов
С вопросами просит обращаться сюда:
SAD@fireman.net

Вирус не определился ни Каспером, ни ДрВебом, ни Авастом.
Переименовал все dbf, который только нашел, в том числе на сетевом диске, добавив в имя файла SAD@FIREMAN.NET_AM102, кроме того у некоторых побил заголовки.
У нас до сих пор кое-где используются программы, писанные еще на FOXpro 4, соответственно все они потеряли боеспособность.

Есть ли средство против такой заразы?
Спасибо.

@kyty30ff · 09.09.2013, 13:47

Такая же ерунда, у пользователя и на сетевом диске в расшареной для него папке файлы стали не читаемые и добавилось к имени SAD@FIREMAN.NET_AM102. Пострадали файлы MS Office. Пока не нашли решения как восстановить. Антивирусное ПО на АРМе пользователя TrendMicro.

09.09.2013, 14:52

Аналогичная ситуация как и у kyty30ff. Если можно уточните версию OS, терминальным режимом пользуетесь или нет

@Shaman_2010 · 09.09.2013, 15:56

Тоже самое. В сетевой папке пользователя, к расширениям файла прибавилось .SAD@FIREMAN.NET_AM107. Похоже совсем свежий зверек. Касперским не определяется. Не могу сказать с какого компа прилетела зараза, много в сетевой структуре АРМ-ов. ОСи разные, от WinXP SP3 до Windows 8. Но точно не с Windows 8, потому как, у пользователей с Win 8 есть отдельные папки расшаренные, в них все нормально.

Sanya · 09.09.2013, 17:22

А обратиться за помощью к аналитикам антивирусных компаний как бы не судьба наверное.

Если зверек неизвестный науке ... то им как раз будет интересно его вскрыть и проанализировать

@kyty30ff · 10.09.2013, 09:44

в том то и дело что зверек известный http://forum.kaspersky.com/ind... pic=270612, http://forum.drweb.com/index.p... 315142&hl= просто у нас модификация другая, но вот как его отловить на стадии заражения я так и не понял. файлы для расшифровки послали спецам из трендмикро(так как от них у нас антивирус корпоративный) ждем ответа. сетевые папки были подключены на полный доступ, ОСи XP и WIN7.

@Дима Артёмов · 10.09.2013, 11:34 **[ТС]**

[QUOTE=kyty30ff;5036975]в том то и дело что зверек известный http://forum.kaspersky.com/ind... pic=270612, http://forum.drweb.com/index.p... 315142&hl= просто у нас модификация другая, но вот как его отловить на стадии заражения я так и не понял. файлы для расшифровки послали спецам из трендмикро(так как от них у нас антивирус корпоративный) ждем ответа. сетевые папки были подключены на полный доступ, ОСи XP и WIN7.[/QUOTE

Известный, причем, давно. Эта модификация пока неизвестна. Из саппорта Dr.Web (наше предприятие- корпоративный клиент) я получил письмо со словами сожаления и надежы, что МВД, если мы заявим, разберется и вытрясет со злоумышленников ключ для дешифрования зараженных файлов

@gazlan · 10.09.2013, 15:23

Сообщение от Дима Артёмов

письмо со словами сожаления и надежды

Если в базе есть индексные файлы и они не пострадали, часть информации можно восстановить из них. Заголовки можно восстановить, если известна структура базы. Если имеются какие-либо снегерированные по этой базе отчеты итп, тоже может помочь делу. Попорченные текстовые строки часто можно "угадать" итд.

Вопрос, настолько ли ценна информация, чтобы оправдать подобную работу?

Для примера, полная расшифровка группы .DBF-файлов, зашифрованных с 16 Kb ключом (XOR), потребовала, в свое время, около 2-х месяцев. Причем, две недели ушло только на выяснение метода шифрования и размера ключа :-).

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@Дима Артёмов 2 / 2 / 1 Регистрация: 16.10.2009 Сообщений: 112

	SAD@FIREMAN Вирус переименовал файлы DBF и частично побил заголовки 09.09.2013, 13:23. Показов 3910. Ответов 7 Метки нет (Все метки) Сегодня один из юзеров приволок вирус, который оставил ему на рабочем столе пугалку, похожую на знаменитый FBI, только более наглую. Заявляет об удалении файлов через 35 часов С вопросами просит обращаться сюда: SAD@fireman.net Вирус не определился ни Каспером, ни ДрВебом, ни Авастом. Переименовал все dbf, который только нашел, в том числе на сетевом диске, добавив в имя файла SAD@FIREMAN.NET_AM102, кроме того у некоторых побил заголовки. У нас до сих пор кое-где используются программы, писанные еще на FOXpro 4, соответственно все они потеряли боеспособность. Есть ли средство против такой заразы? Спасибо. 0

@kyty30ff 0 / 0 / 0 Регистрация: 04.11.2016 Сообщений: 2
	09.09.2013, 13:47
	Такая же ерунда, у пользователя и на сетевом диске в расшареной для него папке файлы стали не читаемые и добавилось к имени SAD@FIREMAN.NET_AM102. Пострадали файлы MS Office. Пока не нашли решения как восстановить. Антивирусное ПО на АРМе пользователя TrendMicro. 0

krolik57
	09.09.2013, 14:52
	Аналогичная ситуация как и у kyty30ff. Если можно уточните версию OS, терминальным режимом пользуетесь или нет

@Shaman_2010 0 / 0 / 0 Регистрация: 09.09.2013 Сообщений: 15
	09.09.2013, 15:56
	Тоже самое. В сетевой папке пользователя, к расширениям файла прибавилось .SAD@FIREMAN.NET_AM107. Похоже совсем свежий зверек. Касперским не определяется. Не могу сказать с какого компа прилетела зараза, много в сетевой структуре АРМ-ов. ОСи разные, от WinXP SP3 до Windows 8. Но точно не с Windows 8, потому как, у пользователей с Win 8 есть отдельные папки расшаренные, в них все нормально. 0

Sanya 13178 / 4626 / 168 Регистрация: 25.10.2010 Сообщений: 9,413
	09.09.2013, 17:22
	А обратиться за помощью к аналитикам антивирусных компаний как бы не судьба наверное. Если зверек неизвестный науке ... то им как раз будет интересно его вскрыть и проанализировать 0

@kyty30ff 0 / 0 / 0 Регистрация: 04.11.2016 Сообщений: 2
	10.09.2013, 09:44
	в том то и дело что зверек известный http://forum.kaspersky.com/ind... pic=270612, http://forum.drweb.com/index.p... 315142&hl= просто у нас модификация другая, но вот как его отловить на стадии заражения я так и не понял. файлы для расшифровки послали спецам из трендмикро(так как от них у нас антивирус корпоративный) ждем ответа. сетевые папки были подключены на полный доступ, ОСи XP и WIN7. 0

@Дима Артёмов 2 / 2 / 1 Регистрация: 16.10.2009 Сообщений: 112
	10.09.2013, 11:34 [ТС]
	[QUOTE=kyty30ff;5036975]в том то и дело что зверек известный http://forum.kaspersky.com/ind... pic=270612, http://forum.drweb.com/index.p... 315142&hl= просто у нас модификация другая, но вот как его отловить на стадии заражения я так и не понял. файлы для расшифровки послали спецам из трендмикро(так как от них у нас антивирус корпоративный) ждем ответа. сетевые папки были подключены на полный доступ, ОСи XP и WIN7.[/QUOTE Известный, причем, давно. Эта модификация пока неизвестна. Из саппорта Dr.Web (наше предприятие- корпоративный клиент) я получил письмо со словами сожаления и надежы, что МВД, если мы заявим, разберется и вытрясет со злоумышленников ключ для дешифрования зараженных файлов 0