Останні статті і огляди
Новини
Вирус-шифровальщик на винде - поиск решения
-
andrey.nk
Member
- Звідки: Николаев
Ребята, кто найдет безболезненное решение по вирусу, который положил всю Винду по стране - поделитесь.
Сейчас ковыряюсь, похоже что МБР заменена, признаков шифрованых файлов не вижу пока что.
Тема для поговорить: viewtopic.php?f=16&t=177410
Сейчас ковыряюсь, похоже что МБР заменена, признаков шифрованых файлов не вижу пока что.
Тема для поговорить: viewtopic.php?f=16&t=177410
-
andrey.nk
Member
- Звідки: Николаев
anatolikostis
обновлял давно - каюсь. У меня основное всё на линуксе, а вот юзерам "досталось на орехи" Благо на всё есть бэкапы и большая часть уже восстановлена. А есть линк на заплатку от микрософта?
На всех уцелевших системах не было установлено ни одного обновления ОС, но был установлен ESET Antivirus 9 с актуальными базами. Может это он уберёг, а может нет. Источник заразы так и не выявили?
acm_fan
Там особо не шифруется. У меня почти везде файловую систему в RAW переделали. Судя по тому, что читал в инете - шифрует файловые таблицы, поэтому происходит это почти мгновенно.
Отправлено спустя 3 минуты 31 секунду:
при этом затронуло только системный диск на зараженных машинах, все остальные диски - целы.
обновлял давно - каюсь. У меня основное всё на линуксе, а вот юзерам "досталось на орехи" Благо на всё есть бэкапы и большая часть уже восстановлена. А есть линк на заплатку от микрософта?
На всех уцелевших системах не было установлено ни одного обновления ОС, но был установлен ESET Antivirus 9 с актуальными базами. Может это он уберёг, а может нет. Источник заразы так и не выявили?
acm_fan
Там особо не шифруется. У меня почти везде файловую систему в RAW переделали. Судя по тому, что читал в инете - шифрует файловые таблицы, поэтому происходит это почти мгновенно.
Отправлено спустя 3 минуты 31 секунду:
при этом затронуло только системный диск на зараженных машинах, все остальные диски - целы.
-
vltk
Member
- Звідки: Kyiv
sinner
Попробуйте загрузиться с виндоз РЕ стрелек 7,8.1,10 (есть на 0дай готовые распаковки на флеш). В 10РЕ точно есть парагон диск менеджер 15 про, по пути 10ки - программы-диски. Используйте в запущенной его адванс версии его родной файл менеджер - он видит остатки (запутанные индексы, тертые заголовки) нтфс в воспринимаемой чекдиском винды массива как ро. Делал на внешнем юсб3 диске где винда 8 при запуске с него у товарища обновления драйверов и куды сделала его любыми версиями винды не воспринимаемым raw массивом. Перепробовал все от чекдиска до кучи партишн менеджеров, но все в конце увидев проблему нтфс системы тупо вызывали чекдиск, но всю инфу (полностью, три бэкапа трех разных компов в том числе) извлек (там это называется экспорт, по правому клику на выделенном).
Попробуйте загрузиться с виндоз РЕ стрелек 7,8.1,10 (есть на 0дай готовые распаковки на флеш). В 10РЕ точно есть парагон диск менеджер 15 про, по пути 10ки - программы-диски. Используйте в запущенной его адванс версии его родной файл менеджер - он видит остатки (запутанные индексы, тертые заголовки) нтфс в воспринимаемой чекдиском винды массива как ро. Делал на внешнем юсб3 диске где винда 8 при запуске с него у товарища обновления драйверов и куды сделала его любыми версиями винды не воспринимаемым raw массивом. Перепробовал все от чекдиска до кучи партишн менеджеров, но все в конце увидев проблему нтфс системы тупо вызывали чекдиск, но всю инфу (полностью, три бэкапа трех разных компов в том числе) извлек (там это называется экспорт, по правому клику на выделенном).
-
Martix
Member
- Звідки: Цитадель
vltk
После шифровки система не оставляет следов как правило, тут не банальная потеря файлов.
После шифровки система не оставляет следов как правило, тут не банальная потеря файлов.
-
vltk
Member
- Звідки: Kyiv
Я понимаю, но у людей при целой партишн (томе) теряется доступ с файловой системе и если вы не перегружались а выключились (чисто мое предположение) и затем стартанули с вин ре, то все еще не зашифровано и можно снять отдельно инфу (предполагаю), все остальное можно потом восстановить.Martix:vltk
После шифровки система не оставляет следов как правило, тут не банальная потеря файлов.
-
Martix
Member
- Звідки: Цитадель
vltk
В таком случае да, я просто только начинаю вникать в суть вопроса, днем не следил за темой
В таком случае да, я просто только начинаю вникать в суть вопроса, днем не следил за темой
-
sinner
Member
- Звідки: Херсон
vltk
Спасибо за совет, пока полет нормальный от физических серваков далеко))) у меня все в рейде 1 и + бекапы на отдельный диск. Было интересно что происходит с не системным диском, перезагружать по уделенке стремно)))
Спасибо за совет, пока полет нормальный от физических серваков далеко))) у меня все в рейде 1 и + бекапы на отдельный диск. Было интересно что происходит с не системным диском, перезагружать по уделенке стремно)))
-
acm_fan
HWBOT OC Team
- Звідки: Днепр
Рансом это вымогатель.anatolikostis:ransom=шифратор, подтягивай матчасть.
Вымогатель не обязательно шифратор.
Шифратор не обязательно вымогатель.
Так что извините. Сами и подтягивайте.
Итак, после перезагрузки процесс запускается (это даже как-то скучно). Как с вопросом MBR/GPT?
Я бы за использование MBR в 2017 увольнял всех ИТ-"спецов". Кончено, есть парк машин который GPT не потащит, но почему-то до сих пор лепят на новые такчи MBR и норма
Если модифицировали MBR (файловые системы диски — RAW) это один из первых способов работы рансомов. Убогий но действенный.
Итого имеем на сегодня просто новый способ попадания рансома на комп. Как следствие, распространение по предприятию. Если шифрование после перезагрузки, то это скучный вирус.
-
LostBoy
Member
- Звідки: Оккупированный Донецк - Киев
sinner
Подпишусь на тему, вдруг всплывет решение, хотя и маловероятно.
Тоже файлы портит, скотинаБыло интересно что происходит с не системным диском, перезагружать по уделенке стремно)))
Подпишусь на тему, вдруг всплывет решение, хотя и маловероятно.
-
sinner
Member
- Звідки: Херсон
У Jumper007 второй хдд не задело, скорее всего не додумались что в системе может быть несколько хдд, и трут мбр только на текущем.LostBoy:sinnerТоже файлы портит, скотинаБыло интересно что происходит с не системным диском, перезагружать по уделенке стремно)))
Подпишусь на тему, вдруг всплывет решение, хотя и маловероятно.
Хотя завтра узнаю
-
anatolikostis
Member
- Звідки: Луганск. область
матчасть для обычных людей находится тут - https://ru.wikipedia.org/wiki/Ransomwareacm_fan:Рансом это вымогатель.anatolikostis:ransom=шифратор, подтягивай матчасть.
Вымогатель не обязательно шифратор.
Шифратор не обязательно вымогатель.
изучайте
в настоящее время все ransomware выполняет функции шифрования, как наиболее эффективное, поскольку...в матчасти продолжение.
пока оно не шифровало, оно присваивалось к классу Trojan.Winlock и легко обходилось.
способ описан и изучен, заплатки выпущены 2 месяца назад - способ такой же новый, как я балеринаИтого имеем на сегодня просто новый способ попадания рансома на комп.
Всего 6 строк, выполненных от имени Админа в командной строке в самой обычной винде самого обычного юзверя спасут от бед.netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name="Block_TCP-135"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=137 name="Block_TCP-137"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=138 name="Block_TCP-138"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=139 name="Block_TCP-139"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=5000 name="Block_TCP-5000"
можете в шапку темы закрепить
-
vltk
Member
- Звідки: Kyiv
Как заразилось такое количество гос компов
https://censor.net.ua/news/445694/kiber ... kaya_ataka
https://censor.net.ua/news/445694/kiber ... kaya_ataka
-
anatolikostis
Member
- Звідки: Луганск. область
vltk
потому что серверная ось на GNU не стоит ничего, но требует обучения персонала, а winserv можно купить с откатом для себя
плюс конечно там компы админят очень часто и очень квалифицировано...
потому что серверная ось на GNU не стоит ничего, но требует обучения персонала, а winserv можно купить с откатом для себя
плюс конечно там компы админят очень часто и очень квалифицировано...
-
acm_fan
HWBOT OC Team
- Звідки: Днепр
Присваивалось кем? Лабораторией Касперского? Лень спорить да и оффтоп. Просто оставлю эту картинку, немного в тему про MBR, пусть будет, да и "Win" я нигде там не увидел К тому же Вы противоречите сами себе, почитайте три строки классификации из Вашего же источника.anatolikostis:оно присваивалось к классу Trojan.Winlock и легко обходилось
- спойлер
-
anatolikostis
Member
- Звідки: Луганск. область
acm_fan
потому что пока оно называлось винлокером, оно тоже вымогало (екраны с МВД), но легко обходилось, путем починки файлов пользователя - тогда ransomware еще и в планах не было
с тех пор, когда локеры стали применять криптографию и пары ключей для шифрования, это стало называться trojan.ransom/ransomware
потому что пока оно называлось винлокером, оно тоже вымогало (екраны с МВД), но легко обходилось, путем починки файлов пользователя - тогда ransomware еще и в планах не было
с тех пор, когда локеры стали применять криптографию и пары ключей для шифрования, это стало называться trojan.ransom/ransomware
-
acm_fan
HWBOT OC Team
- Звідки: Днепр
anatolikostis
Служба Безопасности ---подставить страну--- бла-бла ...
Подобное было в том числе и с подменой MBR.
Пример:
Это винлокер? Нет. Ибо тут уже локер не только Win. Это рансом, оно же вымогатель. Не согласны? Ладно, но это моё понимание. Давайте закончим с навешиванием ярлыков.
В разрезе Petya мне интересен механизм на GPT. Как? И вообще ли оно срабатывает?
Служба Безопасности ---подставить страну--- бла-бла ...
Подобное было в том числе и с подменой MBR.
Пример:
- спойлер
Это винлокер? Нет. Ибо тут уже локер не только Win. Это рансом, оно же вымогатель. Не согласны? Ладно, но это моё понимание. Давайте закончим с навешиванием ярлыков.
В разрезе Petya мне интересен механизм на GPT. Как? И вообще ли оно срабатывает?
-
RomanLV
HWBOT OC Team
- Звідки: Дніпро
Прочитал тему (и не только) и я так и не понял толком, поэтому хочу уточнить.
1. Пока не перезагрузился - все нормально работает и ничего не шифруется?
2. Какие признаки заражения (до перезагрузки) - как понять что перезагружаться нельзя?
3. Если не перезагрузился, а перешел в Hibernate? (курок взведен и надо загружаться с флешки/сидюка или можно просыпать комп?)
1. Пока не перезагрузился - все нормально работает и ничего не шифруется?
2. Какие признаки заражения (до перезагрузки) - как понять что перезагружаться нельзя?
3. Если не перезагрузился, а перешел в Hibernate? (курок взведен и надо загружаться с флешки/сидюка или можно просыпать комп?)
-
acm_fan
HWBOT OC Team
- Звідки: Днепр
На первой странице линк на geektimes, там есть видео. Не очень понятно когда именно шифруется. Но, судя по всему, это происходит в видимом режиме.
-
Барбарис
Member
- Звідки: Вінниця
anatolikostis Спасибо, пара новых портов добавил в правила.
-
Klon
CG graphikos fan
- Звідки: Украина
Вот линк, кому интересно :
"UPD10: Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)
Так же есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса „проверки диска“, в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам"
https://habrahabr.ru/post/331762 - в комментах много чего обговаривается, что и второй винт не трогает, и что залетел через обновы софта и по почте файлом, компы поел и с обновами и без.
И по мелькающим ссылкам на гик - там старая версия, по отзывам на хабре шифровальшик значительно доработан, даже идут разговоры о скрытом заражении компов в течении пары месяцев, а потом - активации
"UPD10: Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)
Так же есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса „проверки диска“, в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам"
https://habrahabr.ru/post/331762 - в комментах много чего обговаривается, что и второй винт не трогает, и что залетел через обновы софта и по почте файлом, компы поел и с обновами и без.
И по мелькающим ссылкам на гик - там старая версия, по отзывам на хабре шифровальшик значительно доработан, даже идут разговоры о скрытом заражении компов в течении пары месяцев, а потом - активации
-
anatolikostis
Member
- Звідки: Луганск. область
Да - винлокер, и так почти все лабы называли сигнатуры подобного типа. в 2012 году подобное было эпидемией на WinXP - drweb такое поголовно пропускал.Это винлокер? Нет.
Сигнатурам шифровальшиков-вымогателей был присвоен отдельный класс ransom(ware), ранее cryptolocker со времен теслы/первых петь и т.д.
Описание механизма работы от передовиков, которых писатели шифраторов настолько невзлюбили, что главу отдела даже посылают в коде своих эксплойтов.
Собственно модуль борьбы с этим гадом у Emsisoft называется Anti-Ransomware - на английском, и Антишифровальщик - на русском.
Подобное название и у Bitdefender.