Вирус-шифровальщик на винде - поиск решения

[andrey.nk]

Ребята, кто найдет безболезненное решение по вирусу, который положил всю Винду по стране - поделитесь.

Сейчас ковыряюсь, похоже что МБР заменена, признаков шифрованых файлов не вижу пока что.




Тема для поговорить: viewtopic.php?f=16&t=177410

[alex_sul]

anatolikostis
логично.

[anatolikostis]

alex_sul
от wannacry в основном пострадал тот, кто спит и думает, что лишенный привилегий пользователь без антивиря+файер неуязвим (читайте отдельных персонажей на програмное обеспечение - антивирусы - там корок много), практика доказывает, что это не так и механизмы атаки хоста по методе wannacry все еще актуальны, потому что обновить парк машин в супермаркетах, банкоматах, офисах - это дорого и некогда, а платить за расшифровку - дешево.
мелкософт вообще мог забить на всех этих win XP но все равно выпустил для убогих заплатку - однако, пока петяух не клюнет, конечный юзер не почешется.

[vltk]

в сущности они пока "заработали"/им наплатили 1,5 битка (2400х1,5=3600у.е.), не густо, но все продолжает раскручиваться и стоимость дня корпоративного простоя как минимум офисников.....
https://blockchain.info/address/1Mz7153 ... dzaAtNbBWX

[Scoffer]

1. Це модифікований WannaCry з таймером до думсдея, приуроченого до завтрашнього свята, тому так різко і масово заявив про себе саме сьогодні в один і той же час. WannaCry був простою репетицією, що пояснює наявність в нього запобіжника. Походження хробака самі здогадаєтесь.
2. Не можу казати з 100% гарантією, але скоріш за все великі і не дуже кантори заразились через одного і того ж майже монополіста-посередника в податковій звітності.
Оскільки не можу гарантувати що все було саме так, не буду називати.
Чому таке припущення? По-перше цього посередника самого зламали, а по-друге в як мінімум одній канторі зі списку під роздачею все досить серйозно з безпекою, знайомий з їх інфраструктурою, це було б найпростіше пояснення.
3. І все таки тотальна параноя і вирізання прав у всіх по самі працює: під 3 тисячі компів різного сорту розмазаних в просторі, тьху-тьху політ нормальний А нашій команді часто дорікали, що своїми параноідальними вимогами ускладнюємо роботу

[anatolikostis]

Scoffer
MeDOC detected!

[Jumper007]

anatolikostis
Scoffer
Кстати да.

[Adamantium]

alex_sul
от wannacry в основном пострадал тот, кто спит и думает, что лишенный привилегий пользователь без антивиря+файер неуязвим (читайте отдельных персонажей на програмное обеспечение - антивирусы - там корок много), практика доказывает, что это не так и механизмы атаки хоста по методе wannacry все еще актуальны, потому что обновить парк машин в супермаркетах, банкоматах, офисах - это дорого и некогда, а платить за расшифровку - дешево.
мелкософт вообще мог забить на всех этих win XP но все равно выпустил для убогих заплатку - однако, пока петяух не клюнет, конечный юзер не почешется.

И ведь многих опыт WannaCry ничему так же не научил.2 основных "тезиса" - заплатка от Мелкомягких на эксплуатируемую вирусом уязвимость при попадании из вне и закрытие 2-х или 3-х (не помню) на внешку портов - и все, спи спокойно.
А то, что юзверей в правах ограничивать - так это вообще не должно обсуждаться.

[anatolikostis]

andrey.nk
давайте я угадаю, когда вы последний раз обновляли систему?

[welcom777]

Держу в руках винт. Мбр снесена. Ничего не помогает. Фикс бут и тд не помогает

[sinner]

Вопрос к тем кого зацепило. У кого то есть машины с двумя HDD на втором MBR тоже затерт?

[Mozes]

У нас в бухгалтерии сегодня вирус уложил комп на котором стояла бух.программа Медок, переустановили виндовс, а на диске D пропала папка с рез.копиями медка, бухгалтерия в шоке!

[dav2]

А если есть бэк ап, получится востановить систему с помощью Acronis True Image Home 2011, у меня бэк-ап на другом разделе диска не на системном, а Acronis True Image Home 2011 на флэшке, уже несколько раз таким способом востанавливал систему, процес занимает минут 15-20.

[Dagger_LG]

Зацепило на 7-ке. Автообнова стояла. ДрВэб стоя последний. Вовремя отрубил на скандиске. Подключил к другой машине. Не прочитался только первый логический диск (с виндой). Остальное было без шифровки.

[Jumper007]

sinner
Вин серв 2008, 2 диска, системный ссд (С) и хдд(Д) для разного, полетел только ссд, нет мбра, хдд работает, файлы на месте, открываются читаются.

[sinner]

Jumper007
Ок, спасибо

[acm_fan]

Я напишу сюда, ибо во флуде (флейме) по линку из первого поста один треш.

У меня два вопроса.
1. Шифруется до перезагрузки, верно?
1а. Требование для перевода появляется сразу?
2. Исчезает MBR/модифицируется. Как же тогда быть с 1а? Загрузки в ОС уже нет...
2а. Если на машине GPT, требование остаётся по перезагрузке?

Можете пульнуть ответ ссылкой.

P.S. Вирусописатели не сильно креативные.
Были рансомы. Были майнеры. Были шифровальщики. Никто не додумался сделать до сих пор 3 в 1 Пока вы ищите способ расшифровки, все ресурсы системы идут на майнинг Посему очевидно, нынешний рансом-шифровальщик чистый заказ. Разрабы уже получили погоны денюжку.

[anatolikostis]

acm_fan
нет, шифруется после и во время перезагрузки - поэтому машину выключать нельзя
ransom=шифратор, подтягивай матчасть.

[deserteagle777]

Панове , такой вопрос , даже если вирус положил систему , на работоспособность ссд или хдд в дальнейшем он влияет или нет ?

Имею ввиду можно ли его ( накопитель) форматнуть и заново установить все ?

[Fishnya]

на работоспособность ссд или хдд в дальнейшем он влияет или нет ?

каким образом?

[Scoffer]

Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения).