Форум на Kuban.ru (http://forums.kuban.ru/)
-   Компьютерное железо (http://forums.kuban.ru/f1023/)
-   -   Сисадминам на заметку (http://forums.kuban.ru/f1023/sisadminam_na_zametku-5562202.html)

Wlad 28.03.2014 12:17
Сисадминам на заметку
 
Появился вирус, избирательно работающий на уничтожение файлов с расширениями jpg, xls, doc, rtf, zip, 1CD, DBF и прочих, именно пользовательских. Под NTFS уничтожает многократной перезаписью содержимое оригинальной MFT, а в вновь созданой MFT адресация этих типов файлов идет сама на себя, на запись о файле внутри MFT. Так что естественно восстановление файла по такой "удаленной" записи ни к чему не приводит. В компах где использовался FAT все происходит по такому же принципу в отношении обеих копий FAT, и в довесок поганятся все FAT folder. В общем, все фрагментированые файлы восстановлению не подлежат в принципе, а судя по куда меньшему количеству вообще находимых файловых структур соответствующих типов чем числится в "удаленных" скорее всего используется еще и шифрация.
По словам пользователей все начинается с того что они обнаруживают исчезновение одного из документов, создают его по новой, а он опять исчезает. Судя по всему на этой стадии документы которые используются редко давно удалены, а их значки на рабочих столах и в папках не больше чем эти самые ссылки "сам на себя" в файловых таблицах. После этого перезагрузка компьютера - и все, "все пропало".
Иногда вымогатель требует прислать на указаный кошелек мелкую сумму денег, порядка 1000 рублей. Можете не посылать, люди пробовали, после этого ни ответа ни привета (и понятно почему, если у них даже сохранена первоначальная копия FAT или MFT на каком-нибудь у даленном сервере после всех пользовательских движений толку от нее как от козла молока.
Предположительно вирус распространяется используя уязвимость файлов c расширением rtf, так что настоятельно рекомендую во первых прочесть [url]http://technet.microsoft.com/ru-ru/security/bulletin/ms12-079[/url] и выполнить все содержащиеся там рекомендации, а во вторых прекратить использовать почтовые клиенты Microsoft в виду того что для открытия текстов самого письма используется Word.
Ну и естественно, сохраняйте бэкап - НА ОТДЕЛЬНОМ И НЕ ПОДКЛЮЧЕНОМ НА ПОСТОЯННОЙ ОСНОЕ К СИСТЕМЕ НОСИТЕЛЕ.

ZPV 28.03.2014 12:55
Куясе. Спасибо, бум знать.
Инициатором данной вирусни случаем не мелкософт был?

Wlad 28.03.2014 13:58
[quote=ZPV;34684731]Инициатором данной вирусни случаем не мелкософт был? [/quote] Не знаю, но вот то что вирус "работает" на 2003, 2007 и 2010 Офисах а не работает на 2013 как-то настораживает.

machugano 28.03.2014 14:02
Рекомендация. Пользователи могут настроить автоматическую онлайн-проверку появления обновлений в Центре обновления Майкрософт при помощи Центра обновления Майкрософт. Пользователям, у которых включено автоматическое обновление и настроена проверка в сети наличия обновлений от Центра обновления Майкрософт, дополнительные действия обычно не требуются, так как это обновление для системы безопасности будет загружено и установлено автоматически.

_
А что, у кого-то до сих пор не так?

grom9000 28.03.2014 14:29
[quote=Мачуг Угла Транвайного;34685737]А что, у кого-то до сих пор не так? [/quote]
У многих не так.
Особенно с лимитированным 3G интернетом.

Wlad 28.03.2014 14:40
3-Мачуг Угла Транвайного > + к предыдущему оратору, ну и еще один кирпич: обновления Виндовс которые по умолчанию и обновления Микрософт о которых идет речь это две большие разницы. И Microsoft Update надо включить самому.

machugano 28.03.2014 14:49
5-Wlad > Ну када лепишь Офсу, он вроде сам включает себе AutoUpdate, разве не? У меня 2007 и 2010 тянут вместе с основными обновлениями.

Wlad 28.03.2014 15:15
[quote=Мачуг Угла Транвайного;34686444]када лепишь Офсу, он вроде сам включает себе AutoUpdate[/quote] Лицуха, с активацией через "как положено" - несомненно. Но кто у нас пользует это "как положено"? 10%, и то все они среди предприятий не использующих Опен Офис, а дома у 99% стоит ломаное ПО, где все апдейты по умолчанию загашены.

ipp 28.03.2014 16:28
Читал я про уязвимость с rtf и рекомендации микрософта, но что там все так плохо там не сообщалось.
Интересно, а LibreOffice и WordPad подвержены этой напасти или нет?

kordons 28.03.2014 21:27
0-Wlad > как его дразнят озвучь

Wlad 28.03.2014 23:30
9-Ржунимагу > Я не сканю завирусованые харды антивирем, моя задача - вытащить с них данные а не узнать имя вируса который порезвился. Хард с которым ведется работа у меня подключен не как логический диск, и не смонтирован в системе. Поэтому я и работаю с ним без опасений засрать свой комп, и не имею никакого желания монтировать завирусованое кладбище чтобы поискать имя вируса.

Username 29.03.2014 00:04
7-Wlad >
При первом запуске выбор дается, ставить или нет.


Текущее время: 12:15. Часовой пояс GMT +3.