Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами


Страницы: (5) « Первая ... 2 3 [4] 5	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

VampirBFW

13.04.2016 - 08:20

Статус: Online

Главный Сапиосексуал Япа.

Регистрация: 20.02.10
Сообщений: 18461

Цитата (presidentus @ 13.04.2016 - 08:16)

Яп как всегда вовремя, вчера промучался с компом пол вечера, скажите это тоже петя?

Да кт оего знает, текст стандартны вы нам отпечаток дайте.

[^]

Asbestobeton

13.04.2016 - 08:21

Статус: Offline

Юморист

Регистрация: 30.11.15
Сообщений: 589

Цитата (Lelik72RUS @ 12.04.2016 - 15:33)

Цитата

Другой пользователь, Fabian Wosar, создал специальный инструмент, который делает все самостоятельно.

Спасибо тебе, добрый человек!
Ещё раз подтвердил русскую поговорку, что "на каждую хитрую жёппу найдётся хрен винтом".

И я присоединяюсь! Спасибо!!!"!!!!

[^]

armoravto	13.04.2016 - 08:23 [ показать ] 0
Статус: Offline Весельчак Регистрация: 7.04.15 Сообщений: 128	У меня генеральный вчера поймал аналогичный вирус...
	[^]

sadk0

13.04.2016 - 08:25

Статус: Offline

Хохмач

Регистрация: 22.12.09
Сообщений: 700

Цитата (beerson @ 12.04.2016 - 18:08)

Тот же самый риторический вопрос. Почему авторы антивирусов по умолчанию не включают любые программы-шифраторы в список зловредов и разрешают им запускаться? Особенно в скрытом режиме и без вывода на экран десятка подтверждений аршинными буквами вида "Приятель, ты ТОЧНО уверен в своих действиях?"

"Совпадение? Не думаю." ©

Тот же вопрос относительно яндексо-гугло-мейлрушных хреней и прочих амиг.

Дело в том что вымогатели используют как бы связку не запрещенных и не вредных минипрограмм.
Есть определенные утилиты для шифрования, генерации данных(паролей), отправки на сайт данных, команды командной строки и т.д.

[^]

presidentus	13.04.2016 - 08:37 [ показать ] 0
Статус: Offline Приколист Регистрация: 15.10.09 Сообщений: 319	Главбух детского садика установила из письма, вот результат
	[^]

KsandrPRO	13.04.2016 - 08:56 [ показать ] 0
Статус: Offline Ярила Регистрация: 12.08.11 Сообщений: 13504	Интересно, а линушный testdisk сможет добраться до данных или для него они тоже окажутся зашифрованные? Хорошо, что Petya до файловых систем ext3 и ext4 не добрался еще )))
	[^]

VampirBFW

13.04.2016 - 09:10

Статус: Online

Главный Сапиосексуал Япа.

Регистрация: 20.02.10
Сообщений: 18461

Цитата (KsandrPRO @ 13.04.2016 - 08:56)

Интересно, а линушный testdisk сможет добраться до данных или для него они тоже окажутся зашифрованные? Хорошо, что Petya до файловых систем ext3 и ext4 не добрался еще )))

А че до них добиратся? Они вот они лежат, просто защифрованы.

[^]

0Kaiser0	13.04.2016 - 09:12 [ показать ] -1
Статус: Offline Приколист Регистрация: 24.04.12 Сообщений: 256	Эм а не проще: bootrec / RebuildBcd bootrec /fixmbr bootrec /fixboot
	[^]

Serg435	13.04.2016 - 09:18 [ показать ] 1
Статус: Offline Ярила Регистрация: 28.11.13 Сообщений: 6972	предлагаю скинуться на киллера
	[^]

IСанчесI

13.04.2016 - 09:37

Статус: Offline

переподпереподвыподверт

Регистрация: 13.07.12
Сообщений: 13084

Цитата

Записываем пароль, и подключаем зараженный диск обратно. Как только появится окно вируса, вводим свой пароль.

Цитата

Petya начинает дешифровку тома, и все начинает работать по завершению процесса.

стоп. то есть подобрали шифр. но вирусняк же останется? тогда что? а вдруг еще раз через какое-то время вылезет? полностью-то как выгнать?

[^]

~~BigTaur~~

13.04.2016 - 09:37

Статус: Offline

Ярила

Регистрация: 21.11.12
Сообщений: 1776

Цитата

Эвристика антивирусов достаточно слаба. Тем более часто пользователь ее отключает, чтобы не тормозил комп или чтобы снизить вероятность ложных срабатываний. ВСЕ современные антивирусы заточены на работу по сигнатурам, т.е. по антивирусным базам. В базу сигнатура нового зловреда попадет только после его обнаружения и анализа разработчиком антивируса. А вот теперь новый зловред будет детектироваться антивирусом. Воттаквот.

Однако key-logger`ы и прочие мониторы буфера обмена они вполне себе детектят без сигнатур. Проверял, пишешь свой для теста, с лишним кодом конечно и основные АВ его спокойно детектят и блокируют. АВ сидит на довольно низком уровне ОС и уж ловить доступ к таблицам ФС от какого-то стороннего приложение (не ОС) вроде вполне должен, так же как и массовое изменение файлов, хотя бы предупреждать.

[^]

~~Primus525~~

13.04.2016 - 09:48

Статус: Offline

Ярила

Регистрация: 31.01.11
Сообщений: 11806

Цитата (MrJohnnyS @ 12.04.2016 - 19:17)

Цитата (agoragoran @ 12.04.2016 - 21:48)

Цитата

Переходите, люди, на линукс!

Да ладно.

Linux троян принимает скриншоты каждые 30 секунд, имеет возможность записывать звук.

Здесь: https://www.grahamcluley.com/2016/01/linux-...y-record-sound/

Там на буржуинском.

Ого!! Целый троян. А под винду их сколько? А зачем его устанавливать?

А зачем под виндой устанавливать Петю?

[^]

~~kinkomatik~~

13.04.2016 - 09:55

Статус: Offline

Злой смайлик

Регистрация: 30.09.13
Сообщений: 5220

Цитата (taper @ 12.04.2016 - 18:11)

Цитата (BigTaur @ 12.04.2016 - 18:46)

Цитата

А в это время, Петя компиляет новую версию своей поделки.

Вот только не пойму, антивирусники, что не ловят эту фигню, ведь засечь доступ к диску, а тем более к таблицам ФС, это их профиль быть должен? Кто в курсе?

Есть мнение, что код антивирусников и всякой дряни - троянов, вирусов, шифровальщиков - пишут одни и те же люди. Не будь вирусов и троянов, кто бы платил за антивирусы? Целая отрасль... Переходите, люди, на линукс!

у Линукса вирусов нет, зато есть уязвимости, дающие права рута... та же хрень только в профиль.
Во всемирный заговор вирусопроизводителей и антивирусопродавцов - верю!

[^]

Andreyand

13.04.2016 - 10:12

Статус: Online

Юморист

Регистрация: 7.12.15
Сообщений: 546

Цитата (BigTaur @ 13.04.2016 - 09:37)

Цитата

Кейлогеры ловить не сложно - смотри себе за прерываниями.
Диалог с пользователем - бесполезен. 99 процентов из них вообще не читают/не понимают текст всплывающих окон - просто тупо жмут ОК.
"Оно чего-то написало, я нажала и вот теперь..."

В случае с антивирусом - излишний диалог с пользователем или ложные срабатывания приводят к словам "Как же ты меня за%;ал, без тебя знаю" и к отключению антивируса.

Не разбирался с петей, однако, его аналоги сильно массовостью и не палятся. Они действуют достаточно избирательно, ориентируясь,например, только на документы пользователя.
Короче не брезгуйте бэкапами!

[^]

presidentus	13.04.2016 - 10:34 [ показать ] 0
Статус: Offline Приколист Регистрация: 15.10.09 Сообщений: 319	вот он в почту ответил
	[^]

~~3vs~~	13.04.2016 - 10:41 [ показать ] 0
Статус: Offline Ярила Регистрация: 28.04.15 Сообщений: 2538	Как я понимаю, скоро придёт к тому, что на комп надо будет ставить FreeNas-NA4Free, с поддержкой ZFS, поднимать на нём виртуальные машины с Windows XP, 7, 10 и делать снапшоты, чтобы можно было сразу всю виртуальную машину откатить до момента шифрования...
	[^]

Shatoth	13.04.2016 - 10:46 [ показать ] 0
Статус: Offline Шутник Регистрация: 25.06.13 Сообщений: 61	Петю сломали это хорошо. Скажите что с "Лучше позвоните Солу" делать? Куча людей пострадало. Знакомый принес ноут - всё зашифровано.
	[^]

Andreyand

13.04.2016 - 11:38

Статус: Online

Юморист

Регистрация: 7.12.15
Сообщений: 546

Цитата (Shatoth @ 13.04.2016 - 10:46)

Петю сломали это хорошо. Скажите что с "Лучше позвоните Солу" делать?
Куча людей пострадало. Знакомый принес ноут - всё зашифровано.

Если есть лицензия на каспера или дрвеба, то можно к ним обратиться. Если нет - то звони солу.

[^]

DDDWot

13.04.2016 - 11:47

Статус: Offline

Шутник

Регистрация: 20.02.15
Сообщений: 46

Цитата (VampirBFW @ 13.04.2016 - 10:16)

Кстати от ваулта есть сверхзвиздатейшая защита, называется x64. он не запускается на 64 разрядных системах. Этим пожертвовали что бы шифрование распалелить.

Серьёзно? Если так, то пересажу всех своих на х64.. Или Вы всё-таки прикалываетесь?

[^]

~~BigBeatle~~

13.04.2016 - 12:05

Статус: Offline

Ярила

Регистрация: 16.04.14
Сообщений: 2685

Цитата (Zveryga @ 12.04.2016 - 16:30)

Извиняюсь, но просьбы не ломать не видел

Закиньте эту хорошую штуку на мыло центробанка , адрес для биткоентов скину позже

А тебя нужно именно ПОПРОСИТЬ не ломать ?

Своего умишки не достаточно ?

Или очень хочется ПЕРВЫМ ебало в коменты вставить ?

Дык это ... с тобой хорошо, на спор, гавно жрать - первым будешь всегда !

Да и ложку изо рта выхватывать у всех станешь ...

Это сообщение отредактировал BigBeatle - 13.04.2016 - 12:05

[^]

DrShmurger

13.04.2016 - 12:35

Статус: Offline

Ярила

Регистрация: 26.01.14
Сообщений: 2536

Цитата (beerson @ 12.04.2016 - 18:08)

А зачем вы по умолчанию запускаете всякую хероту?
А по существу, пока программа не попала в лабораторию и ее не признали вирусом, и твой комп не обновил базы, эта программа - программа. Программа херотень, что ты запустишь зачемто.

[^]

~~Eralash~~

13.04.2016 - 12:57

Статус: Offline

Балагур

Регистрация: 18.02.14
Сообщений: 919

Цитата (DDDWot @ 13.04.2016 - 15:47)

Цитата (VampirBFW @ 13.04.2016 - 10:16)

Серьёзно? Если так, то пересажу всех своих на х64.. Или Вы всё-таки прикалываетесь?

1 апреля знакомый нотариус принял письмо со вложенным скриптом. Винда 7*64. Зашифровалиись документы за 3 года + слетели сертификаты. Расширение "лучше позвони солу" но попались и ваулты. Так что 64 - не панацея.

[^]

hunter64

13.04.2016 - 13:03

Статус: Offline

Ярила

Регистрация: 19.08.11
Сообщений: 3413

Цитата (Zbd @ 12.04.2016 - 18:32)

А в виртуальную машину линя поставить или рядом с мелкомягкими для таких петь и прочих имплантов в виде прикрепленных к почте файлов народу наверное религия не позволяет.

Не все так просто. VM под окнами - не имеют защиты!
Основная причина: удобство и простота в настройке
сети - для большинства пользователей.
Если надо песочницу под окнами, то надо как минимум:
1. Хорошо знать и понимать как конкретная VM под окнами
организует изоляцию и сеть.
2. Подопытного кролика запускать только в режиме гость
в частной сети, где частная сеть связана с другим гостем,
в котором правильная ОС. Например: любой linux/unix
+ грамотно настроенный iptables.

[^]

adskiysvin	13.04.2016 - 13:06 [ показать ] 0
Статус: Offline Шутник Регистрация: 26.09.14 Сообщений: 93	Все это конечно здорово, только зачем алгоритм к сайту привязывать? Который к тому же еще и лежит... Почему просто не запилить генератор и не выкинуть в массы?
	[^]

hunter64

13.04.2016 - 13:24

Статус: Offline

Ярила

Регистрация: 19.08.11
Сообщений: 3413

Цитата (evg489 @ 13.04.2016 - 08:17)

Цитата (zlobnuiYA @ 13.04.2016 - 02:26)

Да,но никто в линуксе не сидит под рутом(можно канешн,для упоротых). Прежде чем сделать глупость нужно ввести пароль как минимум.

я вот про тоже, времена когда защита винды была одной сплошной дыркой - давно прошли, начиная с win7 все изменилось
не сидите по рутом, не запускайте левый софт - и никакие пети вам не будут страшны

Не путайте людей ложными обещаниями!
Линейка окон: 9x (после 97) защищенная.
Только по этой причине, эту линейку и похоронили.
Это никому не выгодно, как минимум: спецслужбам,
антивирусным и прочим подобным фирмам.
Линейка окон: nt (все версии) дырявее решета.
Только по этой причине, эту линейку и продвигают.
Потомо как это выгодно, как минимум: спецслужбам,
антивирусным и прочим подобным фирмам.

P.S. Сейчас даже linux начали ослаблять, сильно
уменьшив длину ключа при генерации.
Но как говорится:
на каждую хитрую гайку - найдется хитрая отвертка:
ключ мона сгенерить в другой (правильной) ОС.

[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 42058
0 Пользователей: