Вирус-шифровальщик на винде - поиск решения

Общие вопросы по настройке и разгону. А также прочие околокомпьютерные вопросы
Автор
Повідомлення
andrey.nk
Member
Аватар користувача
Звідки: Николаев

Повідомлення

Ребята, кто найдет безболезненное решение по вирусу, который положил всю Винду по стране - поделитесь.

Сейчас ковыряюсь, похоже что МБР заменена, признаков шифрованых файлов не вижу пока что.




Тема для поговорить: viewtopic.php?f=16&t=177410
andrey.nk
Member
Аватар користувача
Звідки: Николаев

Повідомлення

anatolikostis
обновлял давно - каюсь. У меня основное всё на линуксе, а вот юзерам "досталось на орехи" :gigi: Благо на всё есть бэкапы и большая часть уже восстановлена. А есть линк на заплатку от микрософта?

На всех уцелевших системах не было установлено ни одного обновления ОС, но был установлен ESET Antivirus 9 с актуальными базами. Может это он уберёг, а может нет. Источник заразы так и не выявили?


acm_fan
Там особо не шифруется. У меня почти везде файловую систему в RAW переделали. Судя по тому, что читал в инете - шифрует файловые таблицы, поэтому происходит это почти мгновенно.

Отправлено спустя 3 минуты 31 секунду:
при этом затронуло только системный диск на зараженных машинах, все остальные диски - целы.
vltk
Member
Звідки: Kyiv

Повідомлення

sinner
Попробуйте загрузиться с виндоз РЕ стрелек 7,8.1,10 (есть на 0дай готовые распаковки на флеш). В 10РЕ точно есть парагон диск менеджер 15 про, по пути 10ки - программы-диски. Используйте в запущенной его адванс версии его родной файл менеджер - он видит остатки (запутанные индексы, тертые заголовки) нтфс в воспринимаемой чекдиском винды массива как ро. Делал на внешнем юсб3 диске где винда 8 при запуске с него у товарища обновления драйверов и куды сделала его любыми версиями винды не воспринимаемым raw массивом. Перепробовал все от чекдиска до кучи партишн менеджеров, но все в конце увидев проблему нтфс системы тупо вызывали чекдиск, но всю инфу (полностью, три бэкапа трех разных компов в том числе) извлек (там это называется экспорт, по правому клику на выделенном).
Martix
Member
Звідки: Цитадель

Повідомлення

vltk
После шифровки система не оставляет следов как правило, тут не банальная потеря файлов.
vltk
Member
Звідки: Kyiv

Повідомлення

Martix:vltk
После шифровки система не оставляет следов как правило, тут не банальная потеря файлов.
Я понимаю, но у людей при целой партишн (томе) теряется доступ с файловой системе и если вы не перегружались а выключились (чисто мое предположение) и затем стартанули с вин ре, то все еще не зашифровано и можно снять отдельно инфу (предполагаю), все остальное можно потом восстановить.
Martix
Member
Звідки: Цитадель

Повідомлення

vltk
В таком случае да, я просто только начинаю вникать в суть вопроса, днем не следил за темой :)
sinner
Member
Аватар користувача
Звідки: Херсон

Повідомлення

vltk
Спасибо за совет, пока полет нормальный от физических серваков далеко))) у меня все в рейде 1 и + бекапы на отдельный диск. Было интересно что происходит с не системным диском, перезагружать по уделенке стремно)))
acm_fan
HWBOT OC Team
Аватар користувача
Звідки: Днепр

Повідомлення

anatolikostis:ransom=шифратор, подтягивай матчасть.
Рансом это вымогатель.
Вымогатель не обязательно шифратор.
Шифратор не обязательно вымогатель.
Так что извините. Сами и подтягивайте.

Итак, после перезагрузки процесс запускается (это даже как-то скучно). Как с вопросом MBR/GPT?
Я бы за использование MBR в 2017 увольнял всех ИТ-"спецов". Кончено, есть парк машин который GPT не потащит, но почему-то до сих пор лепят на новые такчи MBR и норма :tomat:
Если модифицировали MBR (файловые системы диски — RAW) это один из первых способов работы рансомов. Убогий но действенный.

Итого имеем на сегодня просто новый способ попадания рансома на комп. Как следствие, распространение по предприятию. Если шифрование после перезагрузки, то это скучный вирус.
LostBoy
Member
Аватар користувача
Звідки: Оккупированный Донецк - Киев

Повідомлення

sinner
Было интересно что происходит с не системным диском, перезагружать по уделенке стремно)))
Тоже файлы портит, скотина :)
Подпишусь на тему, вдруг всплывет решение, хотя и маловероятно.
sinner
Member
Аватар користувача
Звідки: Херсон

Повідомлення

LostBoy:sinner
Было интересно что происходит с не системным диском, перезагружать по уделенке стремно)))
Тоже файлы портит, скотина :)
Подпишусь на тему, вдруг всплывет решение, хотя и маловероятно.
У Jumper007 второй хдд не задело, скорее всего не додумались что в системе может быть несколько хдд, и трут мбр только на текущем.
Хотя завтра узнаю :gigi:
anatolikostis
Member
Аватар користувача
Звідки: Луганск. область

Повідомлення

acm_fan:
anatolikostis:ransom=шифратор, подтягивай матчасть.
Рансом это вымогатель.
Вымогатель не обязательно шифратор.
Шифратор не обязательно вымогатель.
матчасть для обычных людей находится тут - https://ru.wikipedia.org/wiki/Ransomware
изучайте
в настоящее время все ransomware выполняет функции шифрования, как наиболее эффективное, поскольку...в матчасти продолжение.
пока оно не шифровало, оно присваивалось к классу Trojan.Winlock и легко обходилось.
Итого имеем на сегодня просто новый способ попадания рансома на комп.
способ описан и изучен, заплатки выпущены 2 месяца назад - способ такой же новый, как я балерина :gigi:
netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445"

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name="Block_TCP-135"

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=137 name="Block_TCP-137"

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=138 name="Block_TCP-138"

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=139 name="Block_TCP-139"

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=5000 name="Block_TCP-5000"
Всего 6 строк, выполненных от имени Админа в командной строке в самой обычной винде самого обычного юзверя спасут от бед.
можете в шапку темы закрепить :up:
vltk
Member
Звідки: Kyiv

Повідомлення

Как заразилось такое количество гос компов
https://censor.net.ua/news/445694/kiber ... kaya_ataka
anatolikostis
Member
Аватар користувача
Звідки: Луганск. область

Повідомлення

vltk
потому что серверная ось на GNU не стоит ничего, но требует обучения персонала, а winserv можно купить с откатом для себя ;)
плюс конечно там компы админят очень часто и очень квалифицировано...
acm_fan
HWBOT OC Team
Аватар користувача
Звідки: Днепр

Повідомлення

anatolikostis:оно присваивалось к классу Trojan.Winlock и легко обходилось
Присваивалось кем? Лабораторией Касперского? :rolleyes: Лень спорить да и оффтоп. Просто оставлю эту картинку, немного в тему про MBR, пусть будет, да и "Win" я нигде там не увидел ;) К тому же Вы противоречите сами себе, почитайте три строки классификации из Вашего же источника.
спойлер
Зображення
anatolikostis
Member
Аватар користувача
Звідки: Луганск. область

Повідомлення

acm_fan
потому что пока оно называлось винлокером, оно тоже вымогало (екраны с МВД), но легко обходилось, путем починки файлов пользователя - тогда ransomware еще и в планах не было
с тех пор, когда локеры стали применять криптографию и пары ключей для шифрования, это стало называться trojan.ransom/ransomware
acm_fan
HWBOT OC Team
Аватар користувача
Звідки: Днепр

Повідомлення

anatolikostis
Служба Безопасности ---подставить страну--- бла-бла ...
Подобное было в том числе и с подменой MBR.
Пример:
спойлер
Зображення

Это винлокер? Нет. Ибо тут уже локер не только Win. Это рансом, оно же вымогатель. Не согласны? Ладно, но это моё понимание. Давайте закончим с навешиванием ярлыков.


В разрезе Petya мне интересен механизм на GPT. Как? И вообще ли оно срабатывает?
RomanLV
HWBOT OC Team
Аватар користувача
Звідки: Дніпро

Повідомлення

Прочитал тему (и не только) и я так и не понял толком, поэтому хочу уточнить.
1. Пока не перезагрузился - все нормально работает и ничего не шифруется?
2. Какие признаки заражения (до перезагрузки) - как понять что перезагружаться нельзя?
3. Если не перезагрузился, а перешел в Hibernate? (курок взведен и надо загружаться с флешки/сидюка или можно просыпать комп?)
acm_fan
HWBOT OC Team
Аватар користувача
Звідки: Днепр

Повідомлення

На первой странице линк на geektimes, там есть видео. Не очень понятно когда именно шифруется. Но, судя по всему, это происходит в видимом режиме.
Барбарис
Member
Аватар користувача
Звідки: Вінниця

Повідомлення

anatolikostis Спасибо, пара новых портов добавил в правила.
Klon
CG graphikos fan
Аватар користувача
Звідки: Украина

Повідомлення

Вот линк, кому интересно :
"UPD10: Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)

Так же есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса „проверки диска“, в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам"

https://habrahabr.ru/post/331762 - в комментах много чего обговаривается, что и второй винт не трогает, и что залетел через обновы софта и по почте файлом, компы поел и с обновами и без.

И по мелькающим ссылкам на гик - там старая версия, по отзывам на хабре шифровальшик значительно доработан, даже идут разговоры о скрытом заражении компов в течении пары месяцев, а потом - активации
anatolikostis
Member
Аватар користувача
Звідки: Луганск. область

Повідомлення

Это винлокер? Нет.
Да - винлокер, и так почти все лабы называли сигнатуры подобного типа. в 2012 году подобное было эпидемией на WinXP - drweb такое поголовно пропускал.
Сигнатурам шифровальшиков-вымогателей был присвоен отдельный класс ransom(ware), ранее cryptolocker со времен теслы/первых петь и т.д.
Описание механизма работы от передовиков, которых писатели шифраторов настолько невзлюбили, что главу отдела даже посылают в коде своих эксплойтов.

Собственно модуль борьбы с этим гадом у Emsisoft называется Anti-Ransomware - на английском, и Антишифровальщик - на русском.
Подобное название и у Bitdefender.
Відповісти