Трояны-шифровальщики. Насколько защищены ваши данные

Если постараться, можно это чудо и под линем запустить
Ставим wine, скорее всего понадобится еще установить mono или dotnet.
Запускаем и радуемся

Вот после этого абзаца можно даже не читать, обзор делали самоучки, кстати хренового уровня, объясню:
1. Сигнатура "Packed" - означает, что исполняемый файл был упакован с помощью обычного, вполне легального pe packer'a, например UPX. Данная сигнатура не значит вообще ничего, она полностью неинформативна!
Кстати, эвристики часто вешают на вполне легальный и законопослушный софт такие сигнатуры только из-за использования упаковщиков (лечится/обходится подписыванием исполняемых файлов);
2. BackDoor.Andromeda22 - это самый обычный Trojan-Downloader, то есть трой, который сам ничего не делает, а только качает и запускает из сети другие вирусы Нормальный эвристический анализ палит даунлодеров на раз (комбинация системных апи). Так что так же - мимо!

Как минимум выбор "зверинца" уже мимо, про выбор "защитников" я вообще молчу...

Далее, сложность эвристического анализа шифровальщиков заключается в том, что алгоритмы всегда разные
К примеру, упомянутый выше даунлодер, в его случае все более или менее понятно, алгоритм:
1) Постучаться в сеть за ссылкой на скачивание другого файла;
2) Скачать файл из сети используя стандартные компоненты среды разработки или винапи (вот тут его и ловят );
3) Запустить файл (тут возможны извращения с винапи, cmd.exe, скриптовыми языками и даже подделкой ярлыков на рабочем столе пользователя )
Как видите - все просто (ну относительно), нужно просто выловить комбинацию функций - обращений к cети + скачивание файла + (опционально) запуск.
В случае с шифровальщиком, он может вообще не использовать апи и стандартных компонентов сдк Алгоритм шифрования (например rc4) хер расшифруешь без мейнфрейма, реагировать эвристик на него конечно сможет, но ведь можно сделать код полиморфным, нет привязки к винапи и компонентам, в этом вся соль...

Имхо статью создавали люди, далекие от ИБ...

Это сообщение отредактировал bimb0 - 30.06.2016 - 23:00

Вывод тут один. Хотите сохранности данных - делайте бэкапы )

Пока видим, что нахер ходят пользователи альтернативной ОС, со своими шифровальщиками )))

Доктор Ёб и 25-ё кадр, старые песни о новом. Перелогиньтесь блять. Еще и ценник незаметен шопездес.

А где его скачать можно? Я б попробовал...

У Каспера есть kaspersky free antivirus.
На мой взгляд прекрасный продукт. Пользуюсь как бесплатной, так и платной версиями.

273 и 274 УК РФ, вроде, но можно спросить секретарей и отдел кадров - им часто шлют.

С дуру и хуй можно сломать. Так что линукс не панацея

На работе пользуюсь Громоптицей, она блокирует все ссылки в письме.

Ни разу проблем не было.

Дома через Огнелиса с плагинами для суицида пользуюсь и тоже без проблем.

Самую большую опасность представляют шифровальщики, которых нет в базах. Обычно как раз на них и попадаются офисные работники. Как раз - когда начинает идти рассылка по всему рунету. Тут то и должен спасать антивирус с поведенческим модулем. В организациях на антивирусных серверах настраивают как раз так, чтобы работала расширенная эвристика. А вот при установке на комп локально, так сказать из коробки, как раз и должно работать так как надо. И антивирус должен подобного рода ересь выкашивать без изменения дополнительных настроек.

Это сообщение отредактировал Jamski - 30.06.2016 - 23:06

Фиг знает. Не попадались еще шифровальщики.
Хотя нет, было дело OneHalf когда-то притаскивали

оно дальше вайна не пойдет.

Был у нас спец по линуксу, показывал как вирусы под вайном копошатся.

Полезная инфа, спасибо.

В /home в теории может залезть. Но не дальше.

Можно даже встроенное средство архивации. Однако проблема всегда упирается в дополнительные затраты и непонимание домашними пользователями необходимости регулярных бекапов (пока жареный петух не клюнет).

Какая расширенная эвристика на серверах?0_о На серваны ставят анализаторы трафа, то есть пользователь сети еще только пытается скачать вирус, а серверный авер уже его режет, еще до поступления пакетов на машину

Эврестический анализ с шифравальщиками, как и блокерами - миф, выше указал почему...

Про антивирус Попова ни слова, непорядок!
Кстати, кто в курсе, отчего кряки в некоторых случаях определяются как вирусы, какие компоненты или что там антивирус считает зловредом?

Благодарю модеров!
Повторюсь:
1 Снимайте резервные копии.
2 Используйте менее уязвимое ПО - обновлённый офис, винду, в идеале - линукс\макось-бсд.
3 правильно прописывайте политики - нечего обычному буху делать в одноклассниках, вк, и прочей порнухе - есть у них "главбух", консультант - и хватит.
4 учить людей надо - ведь моют руки перед едой, после туалета (большинство) - так и пусть исполняемые не открывают из почты.
5 Серваки нормальные всё сами обрезают.

Если лениться, не задумываясь открывать всё - то и bat файл устроит fdisk)

Это сообщение отредактировал СироИсии - 30.06.2016 - 23:12

имя\пакеры\ способ внедрения в исп. файл игры.

Фишка в том, что современные шифровальщики успешно шифруют и сетевые ресурсы (винда имеется в виду). А на работе мало кто работает исключительно с локальными дисками.

better call saul, в годичной версии модификации, использует штатные механизмы винзипа виндового.
Ни каспер, ни аваст, ни авира, ни авг, ни 360. В самых навороченных версиях- ни ухом, ни рылом не повели. ХУИТА- ваша реклама.

Все пользователи делятся на два типа - те, кто еще не делает бэкапы...

от упоротой бухгалтерши ни один антивирь не спасет

Да потому что к крякам клеют вирусы
Есть специальный класс хактулз под названием binders/joiners, то есть, дословно объединяльщики, берутся n исполняемых файла и клеются в один в формате:
Ядро (stub) джоинера + разделитель + упакованный файл #1 + разделитель + упакованный файл #n + разделитель и в конце энд файл. при запуске данного пакета стаб просто поочереди вытаскивает исполняемый код (через раздилитель) и выполняет его...

Самовнедрением занимаются только черви В 99% случаев его просто клеют, ибо 0-day на всякие шифровальщики палить не будут, а вот для червячка - в самый раз, ботнеты от червей достигают реально сотен миллионов устройств!
P.S. Конфикера все помнят?

Это сообщение отредактировал bimb0 - 30.06.2016 - 23:20