Вирус-шифровальщик на винде - поиск решения

Общие вопросы по настройке и разгону. А также прочие околокомпьютерные вопросы
Автор
Повідомлення
andrey.nk
Member
Аватар користувача
Звідки: Николаев

Повідомлення

Ребята, кто найдет безболезненное решение по вирусу, который положил всю Винду по стране - поделитесь.

Сейчас ковыряюсь, похоже что МБР заменена, признаков шифрованых файлов не вижу пока что.




Тема для поговорить: viewtopic.php?f=16&t=177410
Martix
Member
Звідки: Цитадель

Повідомлення

Да ладно вам, это еще цветочки, ждем новую волну, с просранными исходниками Вин 10 думаю результат не заставит себя долго ждать :rotate:
anatolikostis
Member
Аватар користувача
Звідки: Луганск. область

Повідомлення

Martix
ну, во-первых там исходников не было, а во-вторых
  • schtasks /Change /TN "Microsoft\Windows\AppID\SmartScreenSpecific" /Disable
    schtasks /Change /TN "Microsoft\Windows\Application Experience\AitAgent" /Disable
    schtasks /Change /TN "Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser" /Disable
    schtasks /Change /TN "Microsoft\Windows\Application Experience\ProgramDataUpdater" /Disable
    schtasks /Change /TN "Microsoft\Windows\Application Experience\StartupAppTask" /Disable
    schtasks /Change /TN "Microsoft\Windows\Autochk\Proxy" /Disable
    schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\Consolidator" /Disable
    schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask" /Disable
    schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\UsbCeip" /Disable
    schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\BthSQM" /Disable
    schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\HypervisorFlightingTask" /Disable
    schtasks /Change /TN "Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector" /Disable
    schtasks /Change /TN "Microsoft\Windows\FileHistory\File History (maintenance mode)" /Disable
    schtasks /Change /TN "Microsoft\Windows\Maintenance\WinSAT" /Disable
    schtasks /Change /TN "Microsoft\Windows\NetTrace\GatherNetworkInfo" /Disable
    schtasks /Change /TN "Microsoft\Windows\PI\Sqm-Tasks" /Disable
    schtasks /Change /TN "Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem" /Disable
    schtasks /Change /TN "Microsoft\Windows\Shell\FamilySafetyMonitor" /Disable
    schtasks /Change /TN "Microsoft\Windows\Shell\FamilySafetyRefresh" /Disable
    schtasks /Change /TN "Microsoft\Windows\Windows Error Reporting\QueueReporting" /Disable
    schtasks /Change /TN "Microsoft\Windows\WindowsUpdate\Automatic App Update" /Disable
тут и так полно дыр, которые наверняка уже пробовали
RomanLV
HWBOT OC Team
Аватар користувача
Звідки: Дніпро

Повідомлення

Кстати вот еще мысль. Вирус шифрует только MBR, значит поидее файлы должны быть на месте и их можно достать чемто типа EasyRecovery. Это так или нет?
Не нашел на простотах тырнета ни подтверждения этому ни опровержения. Пострадавшие - кто пробовал восстанавливать файлы?
anatolikostis
Member
Аватар користувача
Звідки: Луганск. область

Повідомлення

RomanLV
конечно нет, работает два модуля: один убивает mbr, второй - шифрует файлы, изи рековери не обойтись.
RomanLV
HWBOT OC Team
Аватар користувача
Звідки: Дніпро

Повідомлення

аааа! Тогда понятно. Почему у некоторых достаточно МБР восстановить а некоторые полностью инфу теряют...
Блин, вторые сутки уже, а никто досихпор внятного описания не сделал :banghead: Чем наши киберполицаи там занимаются...
Sinn
Member

Повідомлення

RomanLV:а никто досихпор внятного описания не сделал
Так вот достаточно подробное описание - https://securingtomorrow.mcafee.com/mca ... -wildfire/
FoX_UA
HWBOT OC Team
Аватар користувача
Звідки: Полтава

Повідомлення

2 дня Петя меня терроризировал, завтра третий. Но хорошо когда есть бэкапы. Из 42 компов на конторе заразилось только 4, Нортон интернет секьюрити отбил атаку от локальных компов, которые заразились. Жаль не везде он был, так как начальство мне не верило, что он того стоит )) (главное что сейчас он на всех компах (псс: может симантек и замутил?))). Мбр легко восстанавливается из командной строки при использовании устновочного диска винды.
Всем собратьям терпения :beer:
11motor
Member
Аватар користувача
Звідки: North Saltovka Kharkov

Повідомлення

RomanLV:Кстати вот еще мысль. Вирус шифрует только MBR, значит поидее файлы должны быть на месте и их можно достать чемто типа EasyRecovery. Это так или нет?
Не нашел на простотах тырнета ни подтверждения этому ни опровержения. Пострадавшие - кто пробовал восстанавливать файлы?
Зацепило 2 виртуалки и ПК зама буха, виртуалки подняли из бэкапов, на ПК нужны были некоторые файлы с диска С (диск Д был не затронут), восстановил при помощи R-Studio. Вчера принесли еще один ПК, там просто неразмеченное пространство вместо диска С, пока снял полную копию диска, завтра буду с ней играться :-/
И, да, на хабре вчера вечером появилась нормальная статья, где все разложено по полочкам: как распространяется, что делает, как бороться. Без проблем находится поиском :beer:
Востаннє редагувалось 28.06.2017 22:08 користувачем 11motor, всього редагувалось 1 раз.
anatolikostis
Member
Аватар користувача
Звідки: Луганск. область

Повідомлення

11motor:И, да, на хабре вчера вечером появилась нормальная статья, где все разложено по полочкам: как распространяется, что делает, как бороться. Без проблем находится поиском :beer:
по уровню грамотности статья на МкАфии далеко впереди хабры...
acm_fan
HWBOT OC Team
Аватар користувача
Звідки: Днепр

Повідомлення

Последние сутки дали понимание что Петь много и все они разные. А значит и универсального "доктора" тоже не будет.
anatolikostis
Member
Аватар користувача
Звідки: Луганск. область

Повідомлення

FoX_UA
я в неуправляемом клиенте SEP в фаерволле нашел интересные галочки по защите NetBios: возможно закроет 137-139 порт, но 445 врядле защитит :idea:
prosha_evolist
HWBOT OC Team
Аватар користувача
Звідки: Киев

Повідомлення

Как хорошо что у меня на внешнике бекап со всеми проектами :gigi:
Sinn
Member

Повідомлення

acm_fan:Последние сутки дали понимание что Петь много и все они разные. А значит и универсального "доктора" тоже не будет.
С чего такие предположения? Или имеется ввиду, что с оригинальным Петей зверь от 27 числа имеет только частичное сходство?
Samilo
Member
Аватар користувача
Звідки: Харьков (Украина)

Повідомлення

этот Петя действительнно через медок заходит?
LostBoy
Member
Аватар користувача
Звідки: Оккупированный Донецк - Киев

Повідомлення

Samilo:этот Петя действительнно через медок заходит?
Да, факт, но это не единственная точка входа. Также проникло фишинговые ссылки по почте.
В Беларуси, пишут, пострадали через фишинговые ссылки в телеграме, присылали под видом резюме.
Samilo
Member
Аватар користувача
Звідки: Харьков (Украина)

Повідомлення

LostBoy:
Samilo:этот Петя действительнно через медок заходит?
Да, факт, но это не единственная точка входа. Также проникло фишинговые ссылки по почте.
В Беларуси, пишут, пострадали через фишинговые ссылки в телеграме, присылали под видом резюме.
я понял. Спасибо!
snapdragon999
Member
Звідки: UA

Повідомлення

Где его скачать ?
acm_fan
HWBOT OC Team
Аватар користувача
Звідки: Днепр

Повідомлення

Petya имеет красный фон и белые буквы (клац). Механизм поражения MBR и MFT частично-базовый, способ лечения указан ещё на первой странице.
Уже_совсем_не_Petya имеет чёрный фон и красные буквы (клац).
Вариаций поражения очень много и из-за вмешательства пользователей в процесс полная картина размазанная.
Я буду благодарен если кто-то коротко и ёмко исправит мои слова, но пока никто не сделал, то я всё понимаю так.
Оригинальный Петя не только шифрует MBR, он создаёт отдельно свою область, оригинальная на месте, но шифрованная, как и родные разделы. Побороть можно.
Первая сложная модификация предварительно шифрует файлы по списку расширений с определённым числом входов в директории (15). Восстановив руками MBR и файловую систему можно будет найти файлы лишь частично, те, которые не были интересны шифратору или просто до них не добрались. Дешифровку файлов нужно проводить отдельно.
Следующая модификация не имеет выделенной области на винте под себя а внедряется в оригинальный MBR. Грубо говоря, лечится полным удалением зверя, разметку восстановить можно, хотя разделы оказываются зашифрованными (RAW). Если же их как-то расшифровать — внутри, скорее всего, дополнительно (предварительно) зашифрованные файлы.
И последний, особо-циничный герой. Которому уже ничего и не нужно, хотя он вроде как и вымогатель. Он просто удаляет MBR и MFT, записывая туда что-то несуразное, потому дешифровка невозможна априори. Маскируется под рансома, но является обычным малварью-удалятором.
https://blog.comae.io/petya-2017-is-a-w ... a1d8961d3b
Резюме. Нет и не будет универсальных способов. А те кто словил именно Petya.A находится в самом выгодном положении.
Скорее всего, из разных мест (Медок, почта, Телеграмм) заходили разные модификации.
Усваивая это, Вы действуете на свой страх и риск, автор не несёт ответственности за вышесказанное и не претендует на истинность высказанного! :gigi:
Sinn
Member

Повідомлення

Так почти сразу было понятно, что он только отдаленно похож на оригинального Петю.
andrey.nk
Member
Аватар користувача
Звідки: Николаев

Повідомлення

сегодня из бухгалтерии медок прислал "доброе утро" ))) http://www.virusradar.com/en/MSIL_TeleD ... escription
Зображення
кто-то в курсе что это?
Відповісти