очередная эпидемия трояна-шифровальщика

Сегодня на рабочую почту именно такое письмо пришло от клиента. Ссылку антивирь заблокировал, заподозрил неладное, перезваниваю, говорит - почту взломали

ну так-то у бухов крутится Парус-зарплата, более чем 1000 медработников. Меня без наркоза рэзать будут, если чо
И база, бля, 34 сука ГИГА!!! Спасибо разрабам! Зипом заибесси. Каждую ночь образ снимается.

Это сообщение отредактировал Починикс - 11.03.2015 - 00:29

Зловред построен на легальном ПО. js скрипт не содержит вредоносного кода, сам зловред собирается после запуска скрипта. Что в данном случае должен обнаружить антивирус? Думаю с этим расчетом и делался зловред, а точнее с расчетом что антивирусы не будут его находить долго. Антивирус может блокировать только на стадии сборки "закачки компонентов"
В зависимости от антивируса и его настроек - на стадии изменения файлов и расширений.

Это сообщение отредактировал Инсульт - 11.03.2015 - 02:39

Ну так тыжпрограммист, а они то нет- вот и не ведают, что творят нет же знаний то. А так то мог бы провести ликбез среди таких товарищей...

они пока в процессе познания. качают и запускают все подряд.
научатся.

А с какой стороны это должно ебать пользователя оплатившего лицензионный антивирус?

Пора уже законодательно обязать их не только деньги собирать а и ответственность нести, то есть зашифровались данные , это уже проблемы производителя антивируса , хочет сам расшифровывает, хочет подельникам-вымогателям платит

Тут например уже все объяснили. Антивирусы не могут блокировать ПО у которого есть лицензия даже GPL и цифровая подпись. В drweb очень грубо ответили типа "бейте полбу юзерам что бы не запускали всякое говно"
Собсно как работает антивирус? Как правило по сигнатурам и поведенческий анализ. К примеру сисадмин должен составить грамотный отчет для антивирусной компании. Судя по форумам пока что только крики о помощи "памагите вы должны... вы обязаны были!!!" Активность вируса с середины февраля. Если антивирусы досихпор не детектят его то отчетов еще не было.

скрипт обычно применяется для загрузки вируса из интеренета

В далёком *** как то сдавал свёрстанный журнал и забекапил на компакт-диск вместе с исходными вордовскими DOC заказчика...
Через какое нескорое то время антивирус заверещал об наличии вируса в DOC на жёстком диске...
Проверил бэкап на компакт-диске... там тоже вирус... так и лежит у меня эта заражённая компашка.

Что то подобное было с обвалом DNS сервера рунета... полетела глобально база... они восстановились из бэкапа, который был уже забекапен с ранее побитой базой...
сутки искали небитый бэкап...

Я вот например долгие годы хранил бэкапы инсталляторов на Рапидшарном облаке... Рапидшара служила верой и правдой... быстрее мог скачать с неё, чем найти инсталлятор в коробке...
Бэкап накрылся и с 31-го марта прекратит своё существование.

не могут и не хотят очень разные вещи

И тех, кто иногда даже бэкапит бэкапы. И с завидной периодичностью смотрит состояние винтов, на которых это все хранится.
Паранойя, она такая.... Зато сплю спокойно.

Это сообщение отредактировал Ворванье - 11.03.2015 - 15:54

При работе шифровальщика меняется расширение, точнее, в конец имени файла дописывается что-то типа *.fds3re. А что мешает создать производителю антивируса правило, по которому антивирь будет блочить массовое изменение расширений файлов?

руки рубить
Либо все права обрезать по максимуму, если на Win ОС работаете.

Я просто оставлю это здесь: http://vmartyanov.ru/

Отлавливать по смене в файле заголовка. Независимо от расширения. Для каждого формата 4 байта заголовка file header уникальны. При попытке изменить заголовок антивирусу выдавать алерт. Уж не знаю куда проще хотя бы сделать так антивирусам.
Откуда антивирусу знать массовое переименование или нет? Скрипт вируса делает переименование по мере нахождения последовательно, а не массово. Да кстати переименование происходит уже ПОСЛЕ криптования так что пользы блокировки изменений расширений нет.

Ну так подробно и дотошно эти ребята бессильность своего недешевого продукта могут на примере любого прорвавшегося вируса абсолютно любого типа популярно объяснить. Кстати в свое время этим упырям пару собственноручно выловленных зловредов (не таких, не помню что за хня была) высылал - в обоих случаях ответ вместо "спасибо, доработаем" - типа, да, есть такой вирус, мы зовем его Альфа-центвры-центурион.zz77ч бла-бла бла.... Дык а хули ваш епливый АВ его пропускает тогда? И только через пару дней, глядишь, сигнатура появилас.... А пиздежу-то про фантастически заебатый Евристический Онализ и поведенческие бла-бла - дохуя. Короче, имхо все современнные антивири тока деньги качают, а бесполезны абсолютно. Вон суки, даже онлайн-сканеры файло у себя поудаляли с сайтов
Нахуй их всех. Если за бабло - жаль его в отсутствие гарантий, а еботарий с ломкой (походу защита своего продукта имхо на самом деле 80% функционала походу) не всрался. Поудалял давно, мелгомягкого оставил, пусть болтается для смеху, есть не просит. А так - не тыкать куда не попадя

Это сообщение отредактировал Ungydrid - 11.03.2015 - 22:35

Я, конечно, не знаю принципа работы шифровальщика, но по-моему, он делает так: берет файл, дописывает (или меняет) байты на свои по алгоритму, дописывает в конец имени файла свое расширение и переходит к следующему.

В принципе да, переименование происходит последовательно, я немного не так выразился. Имелось в виду, что почему бы не блочить программу, если, к примеру, антивирус увидел что она поменяла минимум 10 расширений файлов за секунду? Да, информация в этих десяти файлах потеряется, но это будут минимальные потери.

Каждому на набекапишься.
Пользователь должен сам головой думать, а не открывать вложения из писем хз от кого.

последняя версия хуярит и сетевые диски. Так чтор, комраден, предупредите свои стада о серьезной угрозе.

лучшая защита - это продуманная заранее самозащита.
как в боксерских секциях учат пацанов правильной стойке - голова наклонена, ноги полусогнуты, руки подняты на уровень глаз, локти прижаты, постоянно двигаться...??? - их тренер или старший партнер тупо пиздит руками по голове за ошибки.
зато вбивается на уровне рефлекса.
зато потом даже бывшего боксера видно за километр.
может и в компьютерном обучении ввести такое - не сохранился/забэкапился через 10 минут - хуяк... и вся твоя работа за год коту под хвост... начинай сначала.
я сам давненько (когда еще фрилансил по дизайну) потерял за 5 секунд ВСЕ свои работы и наработки, всю почту за 5 лет. не из-за вируса, тупо винт сдох, хотя было куда бэкапить... и это тогда были просто работы, а не базы 1С с их ценнейшей инфой.
с тех пор Акронис мой друг, автоматический бэкап на внешний HDD, контрольные точки восстановления и периодические образы системы.
Если уж очень охота поэкспериментировать - в том же Акронисе есть Try&Deside, есть масса всяких "песочниц" - запускай хоть format:C
Было дело, 2 раза точно меня моя паранойа реально спасала.

Так что антивирус - это гуд, Бэкап - маст хэв.

Это сообщение отредактировал papatyn - 12.03.2015 - 11:54

Попались с пользователем так. Касперский пропускает и за вирус не считает его.
Восстановить файлы к сожалению не получилось...

без регистрации и смс

А шифрование как-то можно отслеживать? Например, разрешить шифрование только белому списку приложений, которым оно надо для нормальной работы, а при попытке шифрования из любого другого источника затребовать особый пароль, например

а порезать пользователю права на запуск .js файлов реально?
можно же учетке урезать права, чтоб .exe'шки не запускались.
а с этим как?

ну.. способ конечно тупой как табуретка, но почему нет?

Не, ну "как" - понятно, куча упырей с IE, но вот одмина конторы где сервак пропускает *.zip файло стоило бы высечь витухой

А где наши доблестные подразделения киберсупернаноспецслужб?вот они четко раскрывают и дают сроки за какие то записи в блогах(или хрен знает где),не покладая рук борятся с порнухой, отважно борятся с пиратством
Но со всякими интернет мошенниками, вымогателями их нету.Пора бы уже оторваться от порнухи и начать по настоящему работать, и если мошенники находятся на территории России, то их возможно вычислять и хорошенько наказывать.
И это не только всяких высоколобых хрякеров, но и всевозможные инет магазины и прочие лохотроны.