Вирус-шифровальщик на винде - поиск решения

Общие вопросы по настройке и разгону. А также прочие околокомпьютерные вопросы
Автор
Сообщение
andrey.nk
Member
Аватара пользователя
Откуда: Николаев

Сообщение

Ребята, кто найдет безболезненное решение по вирусу, который положил всю Винду по стране - поделитесь.

Сейчас ковыряюсь, похоже что МБР заменена, признаков шифрованых файлов не вижу пока что.




Тема для поговорить: viewtopic.php?f=16&t=177410
Martix
Member
Откуда: из прошлого...

Сообщение

Да ладно вам, это еще цветочки, ждем новую волну, с просранными исходниками Вин 10 думаю результат не заставит себя долго ждать :rotate:
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

Martix
ну, во-первых там исходников не было, а во-вторых
  • schtasks /Change /TN "Microsoft\Windows\AppID\SmartScreenSpecific" /Disable
    schtasks /Change /TN "Microsoft\Windows\Application Experience\AitAgent" /Disable
    schtasks /Change /TN "Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser" /Disable
    schtasks /Change /TN "Microsoft\Windows\Application Experience\ProgramDataUpdater" /Disable
    schtasks /Change /TN "Microsoft\Windows\Application Experience\StartupAppTask" /Disable
    schtasks /Change /TN "Microsoft\Windows\Autochk\Proxy" /Disable
    schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\Consolidator" /Disable
    schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask" /Disable
    schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\UsbCeip" /Disable
    schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\BthSQM" /Disable
    schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\HypervisorFlightingTask" /Disable
    schtasks /Change /TN "Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector" /Disable
    schtasks /Change /TN "Microsoft\Windows\FileHistory\File History (maintenance mode)" /Disable
    schtasks /Change /TN "Microsoft\Windows\Maintenance\WinSAT" /Disable
    schtasks /Change /TN "Microsoft\Windows\NetTrace\GatherNetworkInfo" /Disable
    schtasks /Change /TN "Microsoft\Windows\PI\Sqm-Tasks" /Disable
    schtasks /Change /TN "Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem" /Disable
    schtasks /Change /TN "Microsoft\Windows\Shell\FamilySafetyMonitor" /Disable
    schtasks /Change /TN "Microsoft\Windows\Shell\FamilySafetyRefresh" /Disable
    schtasks /Change /TN "Microsoft\Windows\Windows Error Reporting\QueueReporting" /Disable
    schtasks /Change /TN "Microsoft\Windows\WindowsUpdate\Automatic App Update" /Disable
тут и так полно дыр, которые наверняка уже пробовали
RomanLV
HWBOT OC Team
Аватара пользователя
Откуда: Дніпро

Сообщение

Кстати вот еще мысль. Вирус шифрует только MBR, значит поидее файлы должны быть на месте и их можно достать чемто типа EasyRecovery. Это так или нет?
Не нашел на простотах тырнета ни подтверждения этому ни опровержения. Пострадавшие - кто пробовал восстанавливать файлы?
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

RomanLV
конечно нет, работает два модуля: один убивает mbr, второй - шифрует файлы, изи рековери не обойтись.
RomanLV
HWBOT OC Team
Аватара пользователя
Откуда: Дніпро

Сообщение

аааа! Тогда понятно. Почему у некоторых достаточно МБР восстановить а некоторые полностью инфу теряют...
Блин, вторые сутки уже, а никто досихпор внятного описания не сделал :banghead: Чем наши киберполицаи там занимаются...
Sinn
Member

Сообщение

RomanLV:а никто досихпор внятного описания не сделал
Так вот достаточно подробное описание - https://securingtomorrow.mcafee.com/mca ... -wildfire/
FoX_UA
HWBOT OC Team
Аватара пользователя
Откуда: Полтава

Сообщение

2 дня Петя меня терроризировал, завтра третий. Но хорошо когда есть бэкапы. Из 42 компов на конторе заразилось только 4, Нортон интернет секьюрити отбил атаку от локальных компов, которые заразились. Жаль не везде он был, так как начальство мне не верило, что он того стоит )) (главное что сейчас он на всех компах (псс: может симантек и замутил?))). Мбр легко восстанавливается из командной строки при использовании устновочного диска винды.
Всем собратьям терпения :beer:
11motor
Member
Аватара пользователя
Откуда: North Saltovka Kharkov

Сообщение

RomanLV:Кстати вот еще мысль. Вирус шифрует только MBR, значит поидее файлы должны быть на месте и их можно достать чемто типа EasyRecovery. Это так или нет?
Не нашел на простотах тырнета ни подтверждения этому ни опровержения. Пострадавшие - кто пробовал восстанавливать файлы?
Зацепило 2 виртуалки и ПК зама буха, виртуалки подняли из бэкапов, на ПК нужны были некоторые файлы с диска С (диск Д был не затронут), восстановил при помощи R-Studio. Вчера принесли еще один ПК, там просто неразмеченное пространство вместо диска С, пока снял полную копию диска, завтра буду с ней играться :-/
И, да, на хабре вчера вечером появилась нормальная статья, где все разложено по полочкам: как распространяется, что делает, как бороться. Без проблем находится поиском :beer:
Последний раз редактировалось 11motor 28.06.2017 22:08, всего редактировалось 1 раз.
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

11motor:И, да, на хабре вчера вечером появилась нормальная статья, где все разложено по полочкам: как распространяется, что делает, как бороться. Без проблем находится поиском :beer:
по уровню грамотности статья на МкАфии далеко впереди хабры...
acm_fan
HWBOT OC Team
Аватара пользователя
Откуда: Днепр

Сообщение

Последние сутки дали понимание что Петь много и все они разные. А значит и универсального "доктора" тоже не будет.
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

FoX_UA
я в неуправляемом клиенте SEP в фаерволле нашел интересные галочки по защите NetBios: возможно закроет 137-139 порт, но 445 врядле защитит :idea:
prosha_evolist
HWBOT OC Team
Аватара пользователя
Откуда: Київ

Сообщение

Как хорошо что у меня на внешнике бекап со всеми проектами :gigi:
Sinn
Member

Сообщение

acm_fan:Последние сутки дали понимание что Петь много и все они разные. А значит и универсального "доктора" тоже не будет.
С чего такие предположения? Или имеется ввиду, что с оригинальным Петей зверь от 27 числа имеет только частичное сходство?
Samilo
Member
Аватара пользователя
Откуда: Харьков (Украина)

Сообщение

этот Петя действительнно через медок заходит?
LostBoy
Member
Аватара пользователя
Откуда: Оккупированный Донецк - Киев

Сообщение

Samilo:этот Петя действительнно через медок заходит?
Да, факт, но это не единственная точка входа. Также проникло фишинговые ссылки по почте.
В Беларуси, пишут, пострадали через фишинговые ссылки в телеграме, присылали под видом резюме.
Samilo
Member
Аватара пользователя
Откуда: Харьков (Украина)

Сообщение

LostBoy:
Samilo:этот Петя действительнно через медок заходит?
Да, факт, но это не единственная точка входа. Также проникло фишинговые ссылки по почте.
В Беларуси, пишут, пострадали через фишинговые ссылки в телеграме, присылали под видом резюме.
я понял. Спасибо!
snapdragon999
Member
Откуда: UA

Сообщение

Где его скачать ?
acm_fan
HWBOT OC Team
Аватара пользователя
Откуда: Днепр

Сообщение

Petya имеет красный фон и белые буквы (клац). Механизм поражения MBR и MFT частично-базовый, способ лечения указан ещё на первой странице.
Уже_совсем_не_Petya имеет чёрный фон и красные буквы (клац).
Вариаций поражения очень много и из-за вмешательства пользователей в процесс полная картина размазанная.
Я буду благодарен если кто-то коротко и ёмко исправит мои слова, но пока никто не сделал, то я всё понимаю так.
Оригинальный Петя не только шифрует MBR, он создаёт отдельно свою область, оригинальная на месте, но шифрованная, как и родные разделы. Побороть можно.
Первая сложная модификация предварительно шифрует файлы по списку расширений с определённым числом входов в директории (15). Восстановив руками MBR и файловую систему можно будет найти файлы лишь частично, те, которые не были интересны шифратору или просто до них не добрались. Дешифровку файлов нужно проводить отдельно.
Следующая модификация не имеет выделенной области на винте под себя а внедряется в оригинальный MBR. Грубо говоря, лечится полным удалением зверя, разметку восстановить можно, хотя разделы оказываются зашифрованными (RAW). Если же их как-то расшифровать — внутри, скорее всего, дополнительно (предварительно) зашифрованные файлы.
И последний, особо-циничный герой. Которому уже ничего и не нужно, хотя он вроде как и вымогатель. Он просто удаляет MBR и MFT, записывая туда что-то несуразное, потому дешифровка невозможна априори. Маскируется под рансома, но является обычным малварью-удалятором.
https://blog.comae.io/petya-2017-is-a-w ... a1d8961d3b
Резюме. Нет и не будет универсальных способов. А те кто словил именно Petya.A находится в самом выгодном положении.
Скорее всего, из разных мест (Медок, почта, Телеграмм) заходили разные модификации.
Усваивая это, Вы действуете на свой страх и риск, автор не несёт ответственности за вышесказанное и не претендует на истинность высказанного! :gigi:
Sinn
Member

Сообщение

Так почти сразу было понятно, что он только отдаленно похож на оригинального Петю.
andrey.nk
Member
Аватара пользователя
Откуда: Николаев

Сообщение

сегодня из бухгалтерии медок прислал "доброе утро" ))) http://www.virusradar.com/en/MSIL_TeleD ... escription
Изображение
кто-то в курсе что это?
Ответить