вирус зашифровал файлы - как попал?
три основных варианта
1) пользователь сам его запустил, под тем или иным предлогом
2) через уязвимость в ОС
3) через уязвимость в софте
1) пользователь сам его запустил, под тем или иным предлогом
2) через уязвимость в ОС
3) через уязвимость в софте
Он гдето внутри системы сидит
как выянить по-нормальному где именно?
сканил cureit - 0 эмоций
как выянить по-нормальному где именно?
сканил cureit - 0 эмоций
Он гдето внутри системы сидит как выянить по-нормальному где именно?Загрузиться с диска, просканить оттуда.
если этого вредоносного ПО нету в базах антивирусах - то никак
Ответ неправильный.
Более вероятно, что вирусня не даёт запускаться антивирусам. В safe mode можно попробовать посканировать.
Более вероятно, что вирусня не даёт запускаться антивирусам. В safe mode можно попробовать посканировать.
Ответ неправильный.Где неправильно?
если этого вредоносного ПО нету в базах антивирусах - то никакКак найти вредоносное ПО, не значащееся в базах антивируса?
Теоретически, есть, конечно, пути, но вряд ли топикстартер заранее озаботился сохранения хешей всех бинарных файлов на компе.
Как найти вредоносное ПО, не значащееся в базах антивируса?Достаточно херово написанные вирусы ищутся по левым процессам, например.
Но я не спорю, что это трудно.
да, я понял свою промашку. При некоторой доле везения найти можно, а вот гарантировать обнаружение вируса произвольного уровня сложности и не значащегося при этом в базе при отсутсвущей системе Intrusion Detection действительно нельзя.
При некоторой доле везения найти можно, а вот гарантировать обнаружение вируса произвольного уровня сложности и не значащегося при этом в базе при отсутсвущей системе Intrusion Detection действительно нельзя.Это само собой, я не спорю.
Как найти вредоносное ПО, не значащееся в базах антивируса?не, ну формально есть эвристика.
но я думаю вирусописатели в 21 веке то уж научились свой процесс скрывать в диспетчере задач и протестили свой вирус на паре популярных антивирусников, что их не находит эвристический анализатор.
но я думаю вирусописатели в 21 веке то уж научились свой процесс скрывать в диспетчере задач и протестили свой вирус на паре популярных антивирусников, что их не находит эвристический анализатор.В недавней статье на Хабре было показано, что у бо́льшей часть антивирусов эвристика не обнаруживает даже весьма простенькие вредоносные программки.
стоит avast полный лицензионныйПо-твоему это должно как-то защищать от вирусов?
на комп заходится по rdp иногдаочевидно же, проблема в том, что на компе windows!
если по существу, то мы все ещё не узнали, какой версии, что открыто в файрволе.
Сам автор, наверное, стесняется дать .
ссылка покрывает самые популярные варианты для Windows XP. Более поздних версий виндовса для меня не существует, и поэтому я не могу добавить в тот гайд актуальных сведений
Ничего страшного, актуальности текст не потерял, поскольку user experience в виндах такой же.
И к макоси этот текст в полной мере относится, и ко многим готовым никсовым сборкам наверняка — их всех спасает только достаточно малая распространённость систем (хотя доля макоси давно и стабильно растёт, и привлекательность её для вирусописателей, как следствие, тоже).
И к макоси этот текст в полной мере относится, и ко многим готовым никсовым сборкам наверняка — их всех спасает только достаточно малая распространённость систем (хотя доля макоси давно и стабильно растёт, и привлекательность её для вирусописателей, как следствие, тоже).
по rdp мог червяк подобрать пароль например
и ко многим готовым никсовым сборкам навернякаВ третьем пункте (о типичных дырках) подпункты 2-6 (все кроме первого) не применимы. Также пользовать ничего не качает с варезных сайтов, плюс по дефолту ещё непросто получить рута.
Зато есть линукс-специфичные баги: rm -rf /usr, выполненный от имени установщика, например.
В общем, планировать нападение на линукс систему надо как-то совсем по-другому. Может ssh скомпрометировать или упросить в апт-гет левый ключ поставить
Также пользовать ничего не качает с варезных сайтов, плюс по дефолту ещё непросто получить рута.Это ты зря так. Под никсами ещё может быть (неужто под них нет платного софта
а вот под макосью варез точно есть.Рута и под виндой получить не так-то просто сейчас (в семёрке мало каким программам выдаются привилегии админа однако находятся дырки в тех или иных программах, и вот уже привилегии повышенные.
rm -rf /usrКому такой вирус нужен? На нём же денег не сделаешь. А вот в ботнет прописать — другое дело.
подпункты 2-6 (все кроме первого) не применимы.Да, действительно, устарели слегка. Сейчас чаще какая-нибудь очередная дыра в очередной программе эксплуатируется, будь то Flash, WMP, ява-машина или браузеры (это реже). Зато и выкорчёвывать потом их проблемнее. Скажем, некоторые особо хитрые экземпляры умудряются вписываться в виндовый загрузчик, эффективно предотвращая любые выкрутасы в safe mode.
интересно как он попал на компьютерзависит от вируса. а что за вирь?
труп дал варианты как попал. конкретно скажи что за зверь.
мне очень понравилась твоя статья о гномиках.
напишешь ещё одну такую в текущих реалиях? но в том языке чтобы я мог дать почитать неюзеру (с моими или без комментами) чтобы он понял (с моими или без комментами).
напишешь ещё одну такую в текущих реалиях? но в том языке чтобы я мог дать почитать неюзеру (с моими или без комментами) чтобы он понял (с моими или без комментами).
Да вообще надо подпилить (может в паре с кем-нибудь) и отправить в журнал какой-нибудь, пускай опубликуют. Даже гонорар можно получить.
EnCiPhErEd - все файлы стали с таким расширением
рядом в каждой папке текстовички:
Здравствуйте,за использовании нелицензионной копии Windows и
нелицензионных программ все ваши файлы заблокированы.Для
восстановления файлов,необходимо написать письмо с номером
клиента: 487398 на почту: yahoo.com
первый раз было чтото подобное, но к такой атаке мы были не готовы и пришлось заплатить 4 крур
сейчас сделан норм бекап на Debian сервачек
а на компе сменены пароли и просканено антивирем - ничего не нашлось(положили что вирусь есмь скрипт который запустил один из криворуких юзверей по rdp ибо работают с этими файлами все)
но ситуёвина повторилась через 2 недели со схожими симптомами
уже проследилась закономерность.
однако ни один юзверь в момент начала шифрования файлов на серваке не находился
те там чтото сидело с первого раза или еще раз заползло и активизировалось
на сервак заходят только по rdp в 1С
браузером не пользуются
рядом в каждой папке текстовички:
Здравствуйте,за использовании нелицензионной копии Windows и
нелицензионных программ все ваши файлы заблокированы.Для
восстановления файлов,необходимо написать письмо с номером
клиента: 487398 на почту: yahoo.com
первый раз было чтото подобное, но к такой атаке мы были не готовы и пришлось заплатить 4 крур
сейчас сделан норм бекап на Debian сервачек
а на компе сменены пароли и просканено антивирем - ничего не нашлось(положили что вирусь есмь скрипт который запустил один из криворуких юзверей по rdp ибо работают с этими файлами все)
но ситуёвина повторилась через 2 недели со схожими симптомами
уже проследилась закономерность.
однако ни один юзверь в момент начала шифрования файлов на серваке не находился
те там чтото сидело с первого раза или еще раз заползло и активизировалось
на сервак заходят только по rdp в 1С
браузером не пользуются
ух, погуглил.. страшная вещь какая-то. вроде обычно через сайты распространяется.
.EnCiPhErEd - все файлы стали с таким расширениемКласс, меня радует.
рядом в каждой папке текстовички:
Здравствуйте,за использовании нелицензионной копии Windows и
нелицензионных программ все ваши файлы заблокированы.Для
восстановления файлов,необходимо написать письмо с номером
клиента: 487398 на почту: yahoo.com
те там чтото сидело с первого разаНаверняка.
Если бы мне не хотелось выяснять, как эту штуку выкорчёвывать, то я б накатил бэкап на чистую систему и не парился. А так, я думаю, нет там никакого серьёзного шифрования (это ж долго) — так, фигня какая-нибудь к началу файла дописана да расширение изменено.
нет там никакого серьёзного шифрования (это ж долгосдаётся мне, в md5 современные процы могут шифровать примерно со скоростью чтения+записи на ЖД
а расшифровывать ты точно задолбаешься
тогда уж проще зашифровать все в нулевые файлы.
MD5 — это ж хэш, а не шифр епта.
MD5 — это ж хэш, а не шифр епта.
Тут есть нюанс: дописать кусок в файл — не то же самое, что зашифровать его (и перезаписать файл целиком).
MD5 — это ж хэш, а не шифр епта.
и то верно
тогда обратимся к другому аргументу, под названием "зашифрованные диски", работающие в том числе чисто на процессорной мощности
им же хватает производительности
Тут есть нюанс: дописать кусок в файл — не то же самое, что зашифровать егоне вижу проблемы, особенно если сиё деяние осуществляется по маске (то есть не всё подряд)
да я ж шучу, понятно, что шифровалку можно какую-нибудь стандартную заюзать. Да, будет работать доволно быстро, это-то ладно. Но это все уже должно быть выяснено, ибо если вирус нашли, то там похачить любую шифровку не так уж сложно, ключ там закрытый найти или если там доморощенный цезарь какой, то и просто просечь это.
то есть не всё подрядМожно и так, конечно. Вопрос в том, насколько ленив был автор вируса.
Вопрос в том, насколько ленив был автор вируса.как минимум ему надо обеспечить работоспособность операционки, иначе отображать агитационные материалы трудно
кстати, этот номер, который они запрашивают — наверняка и есть ключ, рандомно сгенеренный при работе вируса.
http://forum.drweb.com/index.php?showtopic=307551
видимо скоро будет в базах
видимо скоро будет в базах
или только номер этого ключа, а сам ключ опять же генерится по какому-то алгоритму вирусом
в общем, виря надо находить и дизассемблировать
в общем, виря надо находить и дизассемблировать
Оставить комментарий
1aleks1
везде обсуждают как расшифровать, но есть бекапыинтересно как он попал на компьютер, чтобы обезопаситься
стоит avast полный лицензионный
на комп заходится по rdp иногда
по сайтам с него почти не лазится