Останні статті і огляди
Новини
Вирус-шифровальщик на винде - поиск решения
-
andrey.nk
Member
- Звідки: Николаев
Ребята, кто найдет безболезненное решение по вирусу, который положил всю Винду по стране - поделитесь.
Сейчас ковыряюсь, похоже что МБР заменена, признаков шифрованых файлов не вижу пока что.
Тема для поговорить: viewtopic.php?f=16&t=177410
Сейчас ковыряюсь, похоже что МБР заменена, признаков шифрованых файлов не вижу пока что.
Тема для поговорить: viewtopic.php?f=16&t=177410
-
Martix
Member
- Звідки: Цитадель
Да ладно вам, это еще цветочки, ждем новую волну, с просранными исходниками Вин 10 думаю результат не заставит себя долго ждать
-
anatolikostis
Member
- Звідки: Луганск. область
Martix
ну, во-первых там исходников не было, а во-вторых
ну, во-первых там исходников не было, а во-вторых
- schtasks /Change /TN "Microsoft\Windows\AppID\SmartScreenSpecific" /Disable
schtasks /Change /TN "Microsoft\Windows\Application Experience\AitAgent" /Disable
schtasks /Change /TN "Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser" /Disable
schtasks /Change /TN "Microsoft\Windows\Application Experience\ProgramDataUpdater" /Disable
schtasks /Change /TN "Microsoft\Windows\Application Experience\StartupAppTask" /Disable
schtasks /Change /TN "Microsoft\Windows\Autochk\Proxy" /Disable
schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\Consolidator" /Disable
schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask" /Disable
schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\UsbCeip" /Disable
schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\BthSQM" /Disable
schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\HypervisorFlightingTask" /Disable
schtasks /Change /TN "Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector" /Disable
schtasks /Change /TN "Microsoft\Windows\FileHistory\File History (maintenance mode)" /Disable
schtasks /Change /TN "Microsoft\Windows\Maintenance\WinSAT" /Disable
schtasks /Change /TN "Microsoft\Windows\NetTrace\GatherNetworkInfo" /Disable
schtasks /Change /TN "Microsoft\Windows\PI\Sqm-Tasks" /Disable
schtasks /Change /TN "Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem" /Disable
schtasks /Change /TN "Microsoft\Windows\Shell\FamilySafetyMonitor" /Disable
schtasks /Change /TN "Microsoft\Windows\Shell\FamilySafetyRefresh" /Disable
schtasks /Change /TN "Microsoft\Windows\Windows Error Reporting\QueueReporting" /Disable
schtasks /Change /TN "Microsoft\Windows\WindowsUpdate\Automatic App Update" /Disable
-
RomanLV
HWBOT OC Team
- Звідки: Дніпро
Кстати вот еще мысль. Вирус шифрует только MBR, значит поидее файлы должны быть на месте и их можно достать чемто типа EasyRecovery. Это так или нет?
Не нашел на простотах тырнета ни подтверждения этому ни опровержения. Пострадавшие - кто пробовал восстанавливать файлы?
Не нашел на простотах тырнета ни подтверждения этому ни опровержения. Пострадавшие - кто пробовал восстанавливать файлы?
-
anatolikostis
Member
- Звідки: Луганск. область
RomanLV
конечно нет, работает два модуля: один убивает mbr, второй - шифрует файлы, изи рековери не обойтись.
конечно нет, работает два модуля: один убивает mbr, второй - шифрует файлы, изи рековери не обойтись.
-
RomanLV
HWBOT OC Team
- Звідки: Дніпро
аааа! Тогда понятно. Почему у некоторых достаточно МБР восстановить а некоторые полностью инфу теряют...
Блин, вторые сутки уже, а никто досихпор внятного описания не сделал Чем наши киберполицаи там занимаются...
Блин, вторые сутки уже, а никто досихпор внятного описания не сделал Чем наши киберполицаи там занимаются...
-
Sinn
Member
Так вот достаточно подробное описание - https://securingtomorrow.mcafee.com/mca ... -wildfire/RomanLV:а никто досихпор внятного описания не сделал
-
FoX_UA
HWBOT OC Team
- Звідки: Полтава
2 дня Петя меня терроризировал, завтра третий. Но хорошо когда есть бэкапы. Из 42 компов на конторе заразилось только 4, Нортон интернет секьюрити отбил атаку от локальных компов, которые заразились. Жаль не везде он был, так как начальство мне не верило, что он того стоит )) (главное что сейчас он на всех компах (псс: может симантек и замутил?))). Мбр легко восстанавливается из командной строки при использовании устновочного диска винды.
Всем собратьям терпения
Всем собратьям терпения
-
11motor
Member
- Звідки: North Saltovka Kharkov
Зацепило 2 виртуалки и ПК зама буха, виртуалки подняли из бэкапов, на ПК нужны были некоторые файлы с диска С (диск Д был не затронут), восстановил при помощи R-Studio. Вчера принесли еще один ПК, там просто неразмеченное пространство вместо диска С, пока снял полную копию диска, завтра буду с ней игратьсяRomanLV:Кстати вот еще мысль. Вирус шифрует только MBR, значит поидее файлы должны быть на месте и их можно достать чемто типа EasyRecovery. Это так или нет?
Не нашел на простотах тырнета ни подтверждения этому ни опровержения. Пострадавшие - кто пробовал восстанавливать файлы?
И, да, на хабре вчера вечером появилась нормальная статья, где все разложено по полочкам: как распространяется, что делает, как бороться. Без проблем находится поиском
Востаннє редагувалось 28.06.2017 22:08 користувачем 11motor, всього редагувалось 1 раз.
-
anatolikostis
Member
- Звідки: Луганск. область
по уровню грамотности статья на МкАфии далеко впереди хабры...11motor:И, да, на хабре вчера вечером появилась нормальная статья, где все разложено по полочкам: как распространяется, что делает, как бороться. Без проблем находится поиском
-
acm_fan
HWBOT OC Team
- Звідки: Днепр
Последние сутки дали понимание что Петь много и все они разные. А значит и универсального "доктора" тоже не будет.
-
anatolikostis
Member
- Звідки: Луганск. область
FoX_UA
я в неуправляемом клиенте SEP в фаерволле нашел интересные галочки по защите NetBios: возможно закроет 137-139 порт, но 445 врядле защитит
я в неуправляемом клиенте SEP в фаерволле нашел интересные галочки по защите NetBios: возможно закроет 137-139 порт, но 445 врядле защитит
-
prosha_evolist
HWBOT OC Team
- Звідки: Киев
Как хорошо что у меня на внешнике бекап со всеми проектами
-
Sinn
Member
С чего такие предположения? Или имеется ввиду, что с оригинальным Петей зверь от 27 числа имеет только частичное сходство?acm_fan:Последние сутки дали понимание что Петь много и все они разные. А значит и универсального "доктора" тоже не будет.
-
Samilo
Member
- Звідки: Харьков (Украина)
этот Петя действительнно через медок заходит?
-
LostBoy
Member
- Звідки: Оккупированный Донецк - Киев
Да, факт, но это не единственная точка входа. Также проникло фишинговые ссылки по почте.Samilo:этот Петя действительнно через медок заходит?
В Беларуси, пишут, пострадали через фишинговые ссылки в телеграме, присылали под видом резюме.
-
Samilo
Member
- Звідки: Харьков (Украина)
я понял. Спасибо!LostBoy:Да, факт, но это не единственная точка входа. Также проникло фишинговые ссылки по почте.Samilo:этот Петя действительнно через медок заходит?
В Беларуси, пишут, пострадали через фишинговые ссылки в телеграме, присылали под видом резюме.
-
snapdragon999
Member
- Звідки: UA
Где его скачать ?
-
acm_fan
HWBOT OC Team
- Звідки: Днепр
Petya имеет красный фон и белые буквы (клац). Механизм поражения MBR и MFT частично-базовый, способ лечения указан ещё на первой странице.
Уже_совсем_не_Petya имеет чёрный фон и красные буквы (клац).
Вариаций поражения очень много и из-за вмешательства пользователей в процесс полная картина размазанная.
Я буду благодарен если кто-то коротко и ёмко исправит мои слова, но пока никто не сделал, то я всё понимаю так.
Оригинальный Петя не только шифрует MBR, он создаёт отдельно свою область, оригинальная на месте, но шифрованная, как и родные разделы. Побороть можно.
Первая сложная модификация предварительно шифрует файлы по списку расширений с определённым числом входов в директории (15). Восстановив руками MBR и файловую систему можно будет найти файлы лишь частично, те, которые не были интересны шифратору или просто до них не добрались. Дешифровку файлов нужно проводить отдельно.
Следующая модификация не имеет выделенной области на винте под себя а внедряется в оригинальный MBR. Грубо говоря, лечится полным удалением зверя, разметку восстановить можно, хотя разделы оказываются зашифрованными (RAW). Если же их как-то расшифровать — внутри, скорее всего, дополнительно (предварительно) зашифрованные файлы.
И последний, особо-циничный герой. Которому уже ничего и не нужно, хотя он вроде как и вымогатель. Он просто удаляет MBR и MFT, записывая туда что-то несуразное, потому дешифровка невозможна априори. Маскируется под рансома, но является обычным малварью-удалятором.
https://blog.comae.io/petya-2017-is-a-w ... a1d8961d3b
Резюме. Нет и не будет универсальных способов. А те кто словил именно Petya.A находится в самом выгодном положении.
Скорее всего, из разных мест (Медок, почта, Телеграмм) заходили разные модификации.
Усваивая это, Вы действуете на свой страх и риск, автор не несёт ответственности за вышесказанное и не претендует на истинность высказанного!
Уже_совсем_не_Petya имеет чёрный фон и красные буквы (клац).
Вариаций поражения очень много и из-за вмешательства пользователей в процесс полная картина размазанная.
Я буду благодарен если кто-то коротко и ёмко исправит мои слова, но пока никто не сделал, то я всё понимаю так.
Оригинальный Петя не только шифрует MBR, он создаёт отдельно свою область, оригинальная на месте, но шифрованная, как и родные разделы. Побороть можно.
Первая сложная модификация предварительно шифрует файлы по списку расширений с определённым числом входов в директории (15). Восстановив руками MBR и файловую систему можно будет найти файлы лишь частично, те, которые не были интересны шифратору или просто до них не добрались. Дешифровку файлов нужно проводить отдельно.
Следующая модификация не имеет выделенной области на винте под себя а внедряется в оригинальный MBR. Грубо говоря, лечится полным удалением зверя, разметку восстановить можно, хотя разделы оказываются зашифрованными (RAW). Если же их как-то расшифровать — внутри, скорее всего, дополнительно (предварительно) зашифрованные файлы.
И последний, особо-циничный герой. Которому уже ничего и не нужно, хотя он вроде как и вымогатель. Он просто удаляет MBR и MFT, записывая туда что-то несуразное, потому дешифровка невозможна априори. Маскируется под рансома, но является обычным малварью-удалятором.
https://blog.comae.io/petya-2017-is-a-w ... a1d8961d3b
Резюме. Нет и не будет универсальных способов. А те кто словил именно Petya.A находится в самом выгодном положении.
Скорее всего, из разных мест (Медок, почта, Телеграмм) заходили разные модификации.
Усваивая это, Вы действуете на свой страх и риск, автор не несёт ответственности за вышесказанное и не претендует на истинность высказанного!
-
Sinn
Member
Так почти сразу было понятно, что он только отдаленно похож на оригинального Петю.
-
andrey.nk
Member
- Звідки: Николаев
сегодня из бухгалтерии медок прислал "доброе утро" ))) http://www.virusradar.com/en/MSIL_TeleD ... escription
кто-то в курсе что это?
кто-то в курсе что это?