[1] [2] |
Странный шифратор, кто нибудь сталкивался ? У знакомых на работе словили вирусяру, судя по всему шифровальщик. Но я с таким впервые столкнулся. Он прибил все .... ert - ешки больше ничего не тронул, но вместо всех внешних обработок "email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-TGTVVIZDCSMDSICSTIBQGVPETJCRHWPEUJDS-30.03.2016 [email]16@54@314970843.randomname-LTLILABVIARHULBSFVMDQGXOARPGSJ.APB.cbf[/email]" причем еще прикол - было несколько самописных и часть из них была названа на русском языке - они остались нетронутыми, а те которые латиницей - так же прибиты... Никто не сталкивался ? Что за 1С-ненавистник появился ? Причем ненавистник 7-ки.... |
Именно с таким не сталкивался, сталкивался с plague17. Этот, помимо ерт, зашифровал и дбф. |
(0) поиском поисковать не пробывал ? [url]http://virusinfo.info/showthread.php?t=189999&[/url] [url]https://forum.kaspersky.com/lofiversion/index.php/t338806.html[/url] |
"Все фигня, если не война. И война фигня". Несколько правил гигиены: 1. Всегда (слово обозначает именно "всегда", а не что-то вроде "когда время будет") работайте под [b]ограниченными[/b] (не "админскими") правами. 2. Не отключайте UAC (простое и удобное средство встроенной защиты). 3. Не открывайте кликом вложенные файлы в почтовике! Особенно зипованные. Офисные могут содержать макросы. Считываем в отдельную папку, смотрим содержимое зип-файла архиватором. Офисные - с запретом на макросы. Иначе макрос должен быть предварительно объявлен, а автор документа известен. |
Уточнение к (3) п.2: "(...) Особенно [b][em]исполняемые, в т.ч.,[/em][/b] зипованные" |
Тьху, п.3 :) |
[quote=101;42176195] (0) поиском поисковать не пробывал ? [url]http://virusinfo.info/showthread.php?t=189999&[/url] [url]https://forum.kaspersky.com/lofivers...p/t338806.html[/url] [/quote] да мне это как то ... до лампочки... просто прикольно - кто то конкретно на 1С 7,7 ополчился.... |
(6) думаю, что чисто бизнес... если не осталось копий внешних отчётов, то люди заплатят дешифровальщику деньги |
[quote=med;42177644]кто то конкретно на 1С 7,7 ополчился.... [/quote] Бенефициар этого вируса один и имя его все знают. Начинал с угроз "сбивать палками", мантрами про устаревшую систему, обещал снять с поддержки и отменить таблицу умножения. Угрозы не возымели эффекта. Теперь перешел к акциям прямого действия - бабла-то не хватает. Дидосит потихоньку неугодные ресурсы руками своего подельника по овносайту. Вирусы эти продаются, есть рынок. Запросто мог купить и доржику своему скормить ... |
7-Гена >Согласен. Ибо внешние отчеты нередко не включают в бекапы, ограничиваются стандартной схемой. |
а мне понравилось - На вопрос, почему у нас понос? Как лечить? некто VZ отвечает - носите с собой горшок |
10-Helen1986 > Ну полечи RSA... Чего лечить? Голову, которая открывает исполняемый файл от неведомого адреса? Так это раньше надо, когда пациент еще в пеленках все в рот тащил. Макросы? Да им уже лет 20, как минимум, с Word-6 первые попёрлись. Эти "шифровальщики" вовсе не какие-то там хитромудрые черви, продирающиеся через серьёзную настройку безопасности, и подделующие сертификаты, это то, что называется "социальная инженерия". А проще - ловля лоха на живца. Замучаешься его спасать. Просвещение и профилактика - вот рецепт. А необучаем... Что ж, такие всегда найдутся. Пусть ездят на такси, нанимают секретаршу, и самостоятельно гвоздь в стенку не забивают. |
Наверное база была открыта поэтому открытые файлы dbf cdx не зашифровались |
12-i_mak > Даже в "чистой" базе полно файлов, которые не держаться открытыми постоянно. От readme. до Extforms, набитом всяким барахлом. И можно сразу понять, на что нацелен "шифровальщик". На БД-ы 77? легко: ищем каталоги с .md. Только вот таких каталогов должно быть [u]несколько[/u]. Даже если забыть про копии и апдейты. Бо даже в единственной и неповторимой БД мд-ника - [b]две штуки[/b]. Так что определить "цель" зловреда - как два байта прочитать. Хотя описание ситуевины - невнятно совсем, да. |
[quote=VZ;42179050]Просвещение и профилактика - вот рецепт. А необучаем... Что ж, такие всегда найдутся. Пусть ездят на такси, нанимают секретаршу, и самостоятельно гвоздь в стенку не забивают.[/quote] и остерегаются! главное - остерегаться! [img]http://cdn.trinixy.ru/pics5/20160526/tehnika_bezopasnosti_25.jpg[/img] |
почему-то те, кто ездит на такси, нанимают секретаршу и самостоятельно гвоздь в стенку не забивают - чувствуют себя намного лучше... |
15-Buhta >У каждого свой уровень проблем. И те, кто имеет (в хорошем смысле) секретаршу, имеют и проблемы соответствующие. Кому-то файлы восстанавливать, а кому-то от ОБЭП бегать. |
[quote=Странный аттрактор;42183113]У каждого свой уровень проблем[/quote] естесственно. и каждый решает свои проблемы в меру своего уровня, а остальное чисто по желанию :) |
[quote=i_mak;42180862]Наверное база была открыта поэтому открытые файлы dbf cdx не зашифровались [/quote] Кстати очень может быть - база действительно была открыта [quote=Странный аттрактор;42178045]Ибо внешние отчеты нередко не включают в бекапы, ограничиваются стандартной схемой. [/quote] Ну тут проблем не было - база DBF поэтому кроме обычных хранятся еще оперативные копии за последние 7 дней - целиком архивы каталогов базы, так что извлечь оттуда ert шники большого труда не составило. Просто как я уже говорил удивило efd-шники остались, ert-шники которые названы по русски остались... как будто искались файлы по маске и по шрифту ... |
имхо - проба пера .... |
(0) нет. и не стремлюсь. получается система не тронута (работоспособна). мягкий такой ненавязчивый отъём денег. заплати мол лучше сейчас, или хуже будет. |
ибо что не зашифровано - не значит не заражено. |
21-Зелёный тролль > "Почтовый шифратор" только шифрует. Фотки, видео, потом все, до чего дотянется. Если клиент работает пол локальным админом, то - до многого чего. Схема: Зараженный файл загружает шифратор (с сервера, или облака), формирует рандом ключ, и начинает шифровать все, до чегодотягивется. Одновременно формируется сообщение для клиента (кудп платить). Шифратор самоуничтожается при остановке. Схема постоянно совершенствуются. Цены держаться умеренными. Мыло долго не живет, так что сроки - это от момента запуска в сеть,а не от момента срабатывания. Правоохренители не помогут, увы. Так шта... Спасение утопающих - забота самих утопающих. |
[quote=VZ;42190053] Цены держаться умеренными[/quote]с меня просили 30. Это так, для сверки цен. |
23-Странный аттрактор > Сам не платил, личного опыта нет. Меры предпринял сразу же после появления первой версии (не RSA). Полагаю, что услуги частной расшифровки вообще мало кому доступны. |
А мне вот интересно: почему шифровальщики не научились ещё шифровать данные в лок. сети? Подумаешь, комп ГБ издох, тоже мне, потеря.. А так, открыла она письмо: "Арбитраж завершился не в вашу пользу, выписка с заседания суда в приложении", и вся локалка легла. Ну или, по крайней мере, расшаренные на RW папки с БД. Вот это был бы успех. И ещё: почему Касперские/Даниловы/етс не реагируют никак? Что, трудно задетектить процесс шифрования и спросить, в курсе ли происходящего юзер? |
[quote=Странный аттрактор;42193056]почему шифровальщики не научились ещё шифровать данные в лок. сети?[/quote]да давно уже шифруют. "все расшаренные на rw папки". одни мои клиенты истчо в 2014 году такого шифровальщика ловили. он им по сети все расширения док, хлс, жипег, зип, рар зашифровал. В общем, почти все, что было во всех расшаренных каталогах. |
[quote=Блондинка в шок;42193622]да давно уже шифруют. "все расшаренные на rw папки"[/quote]"Эх.. А я думал, что самый умный.. Тогда другой вопрос: шифровальщики работают по маске? Может, будет уместным на всякий случай архивы переименовывать в архивТакойТо.123? |
25-Странный аттрактор > Во-первых, локальные сети (ко времени появления "шифровальщиков") уже были защищены хотя бы стремлением не разводить бардак. И были закалены предыдущими поколениями вирусов. И сеть более устойчива: она распределенная устройствами. И корпоративный клиент, в общем-то, просто опаснее когда обидится. Во-вторых, [u]касперскиеданиловы[/u] реагировать умеют только на что-то типовое. Первую версию "шифровальщиков" ("Ваш компьютер заблокирован. Для разблокировки получите код блаблабла") они реагировали: помещали на своих сайтах списки этих самых кодов. Но следующая версия (с RSA) стала им не по зубам. Даже обладая методами взлома - нужны очень значительные ресурсы. Одно дело: вскрыть переписку какого-нить посольства, совсем другое - массовая услуга взлома для восстановления частных коллекций "Как я провел с Машей это лето". Тот, кто может заплатить, тот может и обратится с частным заказом к криптоаналитику (достаточно редкая профессия). А "задетектить"? Это как? Контролировать все компьютеры? Все-все почтовые сервера обязать просматривать почту? Нарушать приватность? Так это возможно только при свирепой диктатуре. Которая подстригает мозги под один фасон. И, как следствие, эта страна просто гибнет: съедят. Ничего страшного. Это все-го лишь очередной урок взросления. Кто его усвоит - тот будет готов к следующим атакам на приватность. А нет так нет. |
[quote=VZ;42193785]А "задетектить"? Это как? Контролировать все компьютеры? Все-все почтовые сервера обязать просматривать почту? Нарушать приватность?[/quote] да зачем так сложно-то? Стоит антивирус, детектит процессы. Началось шифрование - ахтунг! Подозрительная активность. Не Вы ли шифруете данные? (да/нет). По-моему, вполне рабочий вариант. |
[quote=VZ;42193785]Ничего страшного. Это все-го лишь очередной урок взросления.[/quote]Я волнуюсь за коммерческое состояние антивирусописателей. Первый антивирус, детектирующий шифровальщика, ждёт оглушительный успех. |
29-Странный аттрактор > "[em]Стоит антивирус, детектит процессы. Началось шифрование - ахтунг! Подозрительная активность[/em]" - с чего это вдруг "подозрительная"? Процесс инициализирован пользователем. Царем природы. Повелителем Вселенной. Процесс обыденный: Царь природы решил зашифровать свои данные. Соответствующие разрешения в браузере прописаны... "[em]Первый антивирус, детектирующий шифровальщика, ждёт оглушительный успех[/em]" - или коммерческий провал. Ибо "шифровальщик" - это не чудо-технология, а цыганская хитрость. "Социальная инженерия". Такая же, как и "нигерийские письма". Как только задействуют тяжелую артиллерию, шифровальщик злодеи просто бросят. И как оправдать расходы на разработку? |
[quote=VZ;42196815]с чего это вдруг "подозрительная"?[/quote]а почему бы и не объявить эту деятельность таковой, раз повод есть? [quote=VZ;42196815]Как только задействуют тяжелую артиллерию, шифровальщик злодеи просто бросят. И как оправдать расходы на разработку?[/quote]Да какие там расходы? Поставить галочку: "детектирование шифрования", и всё. Они больше теряют на утере доверия, нежели потратятся на разработку. |
(32) "[em]Поставить галочку: "детектирование шифрования", и всё[/em]" - угу это только так кажется. С точки зрения компьютера шифрование ничем не отличается от редактирования файла программой специально запущенной пользователем, той же 1С: открытие файла - чтение - запись. Другое дело, что писатели антивирусов могли бы ввести фишку ограничения доступа к файлам только "доверенным" (разрешенным) приложениям: для DOC - Word, для XLS - Excel, для 1CD - 1C и так далее. Почему они этого не делают, лично мне не понятно. Впрочем, у Касперского вроде можно настроить доступ к определенным типам файлов только приложениям из папки Program Files, в кторую запись шифраторов можно легко пресечь. |
1С много чего вытворяет и не утратила доверия. И господа антивирусники не утратят |
[quote=Ткачик;42198070]С точки зрения компьютера шифрование ничем не отличается от редактирования файла программой[/quote]т.е., шифрование как процесс нельзя вычленить? |
[quote=USSR;42198079]1С много чего вытворяет[/quote]она-то, может, и вытворяет, но базовые функции выполняет чётко. А тут антивирус не справляется со своей первостепенной задачей. |
33-Ткачик > Угу. Только вот Ворды всякие умеют запускать макросы на VBScript (и все хорошее через CreatObject()), А 1С умеет присоединять ВК через замечательную vkloader.dll. В режиме ограниченного пользователя. Ну, и СоздатьОбЪект() на двух языках никто не запретил. Да-с. Функционал с такими дырками будет просто обманывать юзеров ложными надеждами. |
Мы хотим совместить несовместимое или как говорят "м рыбку сьесть и ...". Хотим работать в открытой вему и всем операционной системе Windows (которая по своей сути является большой и малоконтролируемой помойкой файлов) и безопасность. Да еще чтобы дядюшки Нортон или Касперский нам эту безопасность обеспечили. Хочется безопасности - есть другие машины, другие операционки, другие прикладные решения. Ну а иначе, уж кто как умеет. А Касперский по моему многое спрашивает, разрешить ли, но многое и пропускает |
38-USSR > "[em]которая по своей сути является большой и малоконтролируемой помойкой файлов[/em]" - ты просто не в курсе. А по серверным - особенно. |
Текущее время: 21:28. Часовой пояс GMT +3. | [1] [2] |