Как сегодня ловят вирусы

04.07.14

Администрирование - Информационная безопасность

На днях сам заразил себе компьютер. Вроде не лох, а нет - сам попался на простом приеме - пришло письмо вроде от доктора-веба с антивирусом для лечения моего компьютера

На днях сам заразил себе компьютер. Вроде не лох, а нет - сам попался на простом приеме - пришло письмо вроде от доктора-веба с антивирусом для лечения моего компьютера, якобы он был заражен через почту. И тут мое любопытство меня подвело - сам же запустил скрипт для загрузки очень нехорошего вируса (шифратора), на следующий день у меня аваст нашел подозрительную прграмму в моем случае был неро. Пару раз я, не обращая внимания, игнорировал угрозу, отменял лечение и отправлял в карантин, а на третьи сутки сделал роковую ощибку и добавил его в исключения. После я имел счастье познакомиться с вирусом шифратором воочию ! Благо информации немного было, систему снес, но когда сносил, обратил внимание на некоторые особенности, о которых и хочу рассказать, чтобы в будущем не повторяли моих ошибок.

Во-первых, вирус поел избирательно только файлы с расширением doc, xls, xlsx, docx, rar, jpg, jpeg. Остальное расширение вирус не тронул, базы были целые, это плюс. Был у меня и яндекс диск, гугл диск - вирус добрался и туда и, естественно, они меня не спасли, инфекция перенеслась туда. (Но архивы с расширением .exe вирус не сожрал) - Буду делать бекапы самораспаковывающимися.
Ну это если система уже пробралась, то хоть архивы будут целыми.
Сравнивал инфицированный файл со здоровым, понял только, что здоровый файл весит больше - когда будет время, сравню файлики в хехредакторе

Для предотвращения проникновения вируса в систему через почту главное не запускать или не открывать архивы (естественно, от незнакомых или от подозрительных лиц, зачастую такие письма приходят на корпоративные ящики, т.е. те, которые засвечены в рекламах на страницах интернет-сайтов или при регистрациях в сетях). Можно поставить сборщик почты и разрешить проверять почту на вирусы антивирусам, благо сегодня подавляющее большинство антивирусов это умеет делать. Дать антивирусу полную свободу действий, т.е. 1. Лечить 2. Поместить в карантин 3. Удалить. Все поставить автоматом, не спрашивая человека.

Я еще для полного спокойствия рекомендую делать архив не на локальный жесткий диск и не на сервисы яндекса, майла и гугла, а на соседнюю машину в сети (вероятность накрывания медным тазом двух машин крайне низка).

Жалко, правда, документы с фотографиями.

защита от дурака

+2 –

См. также

AUTO VPN (portable) - автоматический ВПН

Информационная безопасность Системный администратор Программист Платные (руб)

AUTO VPN (portable) - автоматизация подключения пользователей к удаленному рабочему месту или сети посредством создания автоматического VPN (L2TP или L2TP/IPSEC и т.д.) подключения без ввода настроек пользователем (с возможностью скрытия этих настроек от пользователя). Программа автоматически выполняет подключение к VPN серверу и после успешного коннекта , если необходимо, подключение к серверу удаленных рабочих столов (RDP).

1200 руб.

24.03.2020 15365 25 32

Работа с бинарными файлами, форматом ASN1 и криптографией в 1С8

Информационная безопасность Программист Платформа 1С v8.3 Конфигурации 1cv8 Россия Платные (руб)

Предлагается внешняя обработка для просмотра данных в формате ASN1. Есть 2 режима: загрузка из бинарного формата и из BASE64. Реализована функция извлечения всех сертификатов, которые можно найти в ASN1-файле. В дополнении к этому продукту предлагается методическая помощь по вопросам, связанным с технической реализацией криптографии и шифрования в 1С.

2400 руб.

29.08.2016 30054 9 1

Хранение секретов в Hashicorp Vault для 1С

Информационная безопасность Пароли Платформа 1С v8.3 Бесплатно (free)

Все еще храните пароли в базе? Тогда мы идем к вам! Безопасное и надежное хранение секретов. JWT авторизация. Удобный интерфейс. Демо конфигурация. Бесплатно.

30.05.2024 6213 kamisov 17

Настройка аутентификации в 1С с использованием стандарта RFC 7519 (JWT)

Информационная безопасность Программист Платформа 1С v8.3 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024 7319 PROSTO-1C 10

Device flow аутентификация, или туда и обратно

Информационная безопасность Программист Платформа 1С v8.3 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023 2411 platonov.e 1

Установка 1С:Сервера взаимодействия. Заметки на полях

Информационная безопасность Системный администратор Программист Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

Нюансы установки 1С:Сервера взаимодействия в рабочем контуре

11.10.2023 4641 capitan 9

Анализатор безопасности базы сервера 1С

Информационная безопасность Системный администратор Платформа 1С v8.3 Конфигурации 1cv8 Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023 6253 20 soulner 8

Двухфакторная аутентификация в 1С через Telegram и Email

Информационная безопасность Системный администратор Программист Платформа 1С v8.3 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022 7278 50 Silenser 12

Комментарии

Подписаться на ответы Инфостарт бот

Свернуть все

1. AlexSunS 04.07.14 05:46 Сейчас в теме

Безумству храбрых поем мы песню....
Честно жалко вас, лично так и не понял а зачем вы собственно проделали все необходимые манипуляцию по заражению ?

7. uriy 3 04.07.14 10:50 Сейчас в теме

(1) AlexSunS, Ну если знать этапы и методы заражения то в будущем этого можно избежать. Мне на почту уже три таких письма счастья прилетело.А с учетом того что я обслуживаю организации то срочно выезжаю им в офисы и ставлю новые бэ капы, с попутным инструктажем ликбеза.

2. TrinitronOTV 16 04.07.14 05:53 Сейчас в теме

да уж..., сочувствую, но вот я никогда не открываю ссылки от непроверенных источников, да и от проверенных с опаской

3. vcv 89 04.07.14 09:26 Сейчас в теме

пришло письмо вроде от доктора-веба с антивирусом для лечения моего компьютера

Все айтикомпании уже устали предупреждать, что они не рассылают программы, не запрашивают (кроме как по телефону, и то ты сам звонишь) никакую приватную информацию типа паролей...
Никак люди не научатся простому методу - любую входящую в компьютер информацию, если вы именно её не запрашивали, по умолчанию считаем вредоносной и относимся с подозрением. Даже если это от налоговой или от твоего банка.

4. katenok86 246 04.07.14 09:40 Сейчас в теме

Была подобная эпидемия среди клиентов около года назад, только по мимо архивов шифровались все 1с ные базы и 7 и 8 ка и их архивы, письмо приходило якобы из арбитражного суда, следом на почту приходило письмо с телефоном и стоимостью расшифровки, кто-то платил, а паре бюджетных клиентов ключ выслали бесплатно, видно пожалели там дет дом был и школа.

5. makas 44 04.07.14 10:27 Сейчас в теме

Интересно-познавательная статья +

6. vcv 89 04.07.14 10:43 Сейчас в теме

(5) makas, Угу. Статья их разряда "мойте руки перед едой, не тащите всё в рот и смотрите по сторонам, когда дорогу переходите". Впрочем, подобные советы не теряют актуальность уже сотни лет, от повторения хуже не станет :)

8. uriy 3 04.07.14 10:55 Сейчас в теме

(6) vcv, Да именно статья стара как мир и компьютер не относится к пословице "мой дом - моя крепость". Написал статью специально для предупреждения чего делать не стоит!

Но для себя выводы сделал!!!

Надеюсь кому-нибудь статья поможет не встать на мои грабли

20. Артано 795 09.07.14 04:24 Сейчас в теме

(6)Как метко высказался основатель АО МММ: "Лох не мамонт, лох не вымрет"

43. AlexSunS 15.07.14 11:10 Сейчас в теме

(20) Артано, не факт, у меня подспудное ощущущение что троль.

9. DitriX 2101 04.07.14 14:22 Сейчас в теме

ну надо дроп бокс ставить - сделал откат на предыдущую версию и все :)
А еще - не надо сидеть на компе под админом - нужны админские права - указал пароль и логин и все.

Сделал вывод, что аваст это "типа антивирус" :)
И как вы вообще додумались это запустить, если письмо отправлено от др. веба, а у вас стоит аваст? :)

10. vcv 89 04.07.14 14:57 Сейчас в теме

(9)

ну надо дроп бокс ставить

С облаками может совсем весело получиться. Настроил себе какой-нибудь ГуглДиск с синхронизацией на всех своих устройствах. Очень удобно. Дома что-то делал, пришел на работу и видишь все свои последние документы. Пошёл в кафешку, попутно с планшета доделал идею в проекте. Если срочно позвонил заказчик, внести мелкие изменения и смартфона хватит. Ну просто красота, прогресс и глобальное удобство.
А потом подхватываешь шифрующего трояна. Трах-тибидох-тибидох! И все файлы в считанные минуты зашифрованы на всех твоих компах, планшетах и телефонах.

А еще - не надо сидеть на компе под админом - нужны админские права - указал пароль и логин и все

Твои документы от трояна пользовательская учетка не спасёт. А они-то самое ценное. Всё остальные можно переустановить за разумное время.

14. webester 26 06.07.14 06:05 Сейчас в теме

(10)

А потом подхватываешь шифрующего трояна. Трах-тибидох-тибидох! И все файлы в считанные минуты зашифрованы на всех твоих компах, планшетах и телефонах.

Во первых можно отключить устройство от сети если это к примеру ноутбук, что бы он не смог получить обновления, а во вторых вам не просто так сказали именно про дропбокс, он хранит все версии файлов за месяц. Это его киллер-фича. То есть восстановить можно даже удаленные файлы или откатиться на любое состояние файла которое было зафиксировано в течении месяца. Очень удобно.

Ты не сможешь посадить в систему вирус, если у тебя нет прав. Вирус в систему не запишется, системные файлы или программы не подменит, ничего сделать не сможет. А начнет "шевелиться" самостоятельно, антивирус быстро скажет что непонятный файл(а не известная пользователю программа) проявляет подозрительную активность.

16. vcv 89 06.07.14 15:06 Сейчас в теме

(14) webester,

Во первых можно отключить устройство от сети

Это если сразу видишь, что что-то подхватил. Но это редкость. Скорее всего троянчик будет жить у тебя как минимум несколько дней, прежде чем последствия его присутствия увидишь.

вам не просто так сказали именно про дропбокс, он хранит все версии файлов за месяц

Это, конечно, классная фича. Но вот у меня, например, папка с нужными мне документами, проектами и прочими файлами (видео и музыка в другом месте) почти шесть гигов. Количество файлов измеряется тысячами. Если у меня часть файлов окажется зашифрованными, сколько времени и усилий понадобится, что бы отловить их всех и восстановить из версий?

Ты не сможешь посадить в систему вирус, если у тебя нет прав

:) Я уже пять раз сказал "троян", а вы всё про вирусы. Трояну не нужны админские права. Да и вирусу не каждому.
Ну зачем шифрующему трояну какие-то права? Пользователь сам скачал и запустил какой-нибудь 3D-Аквариум. Тот зашифровал всё, на что есть права (то есть все пользовательские документы). И всё. И никаких прав не надо.

36. webester 26 10.07.14 01:56 Сейчас в теме

(16)

Вопрос был о том что если грохнули в облаке, то грохнулось везде и восстановить не возможности. Так вот восстановить возможность есть? вопрос в трудоемкости процесса.
Раз уж такое огромное количество документов(6гигов и тысячи файлов, это прилично). Тут немного по другому надо мыслить, программ которые позволяют оперативно делать копии в разные места просто пруд пруди. А в дропбоксе хранить уже архивы. Поднял нужную версию одного архива и ОК.

Трояну не нужны админские права. Да и вирусу не каждому.
Ну зачем шифрующему трояну какие-то права? Пользователь сам скачал и запустил какой-нибудь 3D-Аквариум. Тот зашифровал всё, на что есть права (то есть все пользовательские документы). И всё. И никаких прав не надо.

Если вы читали статью(вы же ее читали?) там вирус\троян заразил неро. А тот в свою очередь уже начал делать черные дела. Но пользователь верит программе неро и пользуется ей. Поэтому разрешил ей активность. Если бы антивирус ругнулся на только что скачанный аквариум(а вирусу\трояну ничего не остается как самому делать свое грязное дело) то пользователь уже четыре раза бы подумал, что, там что то нехорошее.

11. uriy 3 04.07.14 16:25 Сейчас в теме

(9) DitriX, С таким же успехом акроникс можно поставить с клоном диска- только вот не задачка шифрованные файлы не сразу увидишь, может получиться так что и копия жесткого будет уже с инфекцией. А аваст зря ругаешь он меня предупреждал. Лично мне аваст нравится систему не грузит как каспер.

Как тут не поверишь (Любопытство губит)!

Прикрепленные файлы:

12. vcv 89 04.07.14 17:36 Сейчас в теме

(11) А чему тут верить? От Dr.Web письмо? Отлично! Идем на сайт веба, набирая ссылку руками и читаем новости. Если письмо от них, факт рассылки и ссылка на инструкции и программы будет на сайте.

15. webester 26 06.07.14 06:25 Сейчас в теме

(11)Какой почтовый сервер пропустил письмо с подделанным полем "FROM" ? Что бы избежать подобных казусов там же есть целая система подписей и письмо отправленное с другого адреса палится очень быстро. Гмаил предупреждает, что то вроде "возможно письмо было отправлено не с этого адреса". Или как то так тоже https://support.google.com/mail/troubleshooter/2411000?hl=ru (причем отправитель не должен быть обязательно гмаил)И если речь идет о письме от серьезной компании, то я это письмо просто удаляю. Особенно если надо что то скачать.

ЗЫ а вот нашел полный список сообщений нашел здесь

29. zelevova 09.07.14 12:08 Сейчас в теме

(11) а не смутило что в в описании типа архив zip, а в имени самого файла скрипт js просматривается?
Просто столько несовпадений с логикой в скане сообщения. Я бы пожалуй если стал экспериментировать, то на тестовой машине, но не рабочей. :)

32. uriy 3 09.07.14 14:34 Сейчас в теме

(29) zelevova, Смутило. Почта у меня в майле,хотел глянуть что внутри и щелкнул нетуда вместо просмотра что внутри архив распаковался и запустился.

13. interoman 04.07.14 18:54 Сейчас в теме

лучше всего помогают не антивирусы, а такие программы типа универсальных снифферов

17. masticore 06.07.14 16:30 Сейчас в теме

Из-за злоупотребления с вирусами обычные пользователи фактически перестали делать самораспаковывающиеся архивы, есть только в бухгалтерии 7.7
Вдобавок есть фича не проверять архивы более ... размера, но exeшник антивирус действительно будет проверять.

18. adhocprog 1142 09.07.14 02:10 Сейчас в теме

Касперский не предлагать?

19. DrAku1a 1745 09.07.14 03:19 Сейчас в теме

Вроде не лох, а нет

Это же элементарное правило безопасности. Хотя, давно как-то я и сам так попался (пришел типо прайс, файл EXE с пиктограммой текстового документа notepad).

вероятность накрывания медным тазом двух машин крайне низка

Это если вирус сам не умеет распространяться. Вирусы типа Worm.xxx - умеют искать дыры в безопасности.

Мой совет - установите Agnitum Outpost Firewall, в режиме обучения и без создания автоматического создания правил - он мониторит всю сетевую активность компьютера (и снаружи и изнутри - т.е. если программа захочет подгрузить что-то из интернета, то он об этом сообщит). Если это слишком сложно - то ставьте антивирус Касперского - он у нас вроде считается лучшим, но он ресурсопрожорливый. Аваст же бесплатный антивирус - но не супер-эффективный. Он рекомендуется как бесплатная альтернатива, но при этом надо знать и соблюдать правила безопасности работы на компьютере и в интернете.

21. Гошик54 09.07.14 05:54 Сейчас в теме

Вроде не лох, а нет - сам попался на простом приеме

1. Не работай под админскими правами. Все вирусы шарят только доступные папки, а для установки и записи вируса в реестр нужно право на установку программы.
2. Не используйте простые пароли к логином, алгоритмы переборов простых паролей просты, а иногда просто перебирают свою не большую базу

22. Pika84 09.07.14 07:26 Сейчас в теме

Не так давно друг попросил помочь, подхватил шифровка, а на компе было много домашних фото и документов. Нашли дешифровщик у Др.Веба, скормили ему один зараженный файл и где-то через пару суток получили ключ дешифровки с которым запустили эту же утилиту от Веба на зараженном компьютере друга и как буд-то ничего и не было)
Дешифровку проводили на Xeon'е, дешифровщик во время работы загружает все ядра почти на 100%, нужно хорошее охлаждение

23. wolfsoft 2421 09.07.14 09:43 Сейчас в теме

Вроде не лох

Извините, но всё-таки он...

25. uriy 3 09.07.14 10:34 Сейчас в теме

(23) а сарказм здесь не уместен. Я написал пост чтобы моих ошибок не повторяли, повторение мать учения!
И я этот шифратор собираюсь вдоль и поперек излазить и опробовать ваши продолженные методы для борьбы с ним, о результатах обязательно отпишусь
(21) Я сильно подозревая что и без прав админки это не поможет т.к. это был скрипт который я сам же и запустил.

24. alexpa2005 09.07.14 10:31 Сейчас в теме

Расскажу, как мне удалось частично восстановить базу 7.7, зашифрованную подобным вирусом.
Ко мне обратился клиент с просьбой помочь в этом горе. Вирус зашифровал всё содержимое жестких дисков (файлы с расширениями, указанными автором темы плюс файлы dbf). Под раздачу попали все базы 7.7. Базы архивировались, но на этом же компьютере. Файлы архивов тоже входят в список, подлежащий шифрованию, поэтому воспользоваться архивами для восстановления не удалось. Частично ситуацию спасло то, что часть архивов, пусть не первой свежести, хранилась на другом компьютере, который от вируса не пострадал. Восстановили оттуда. А вот одну базу, причем самую нужную, никак было не восстановить. Встал вопрос о создании новой базы, но заполнение справочника номенклатуры (несколько тысяч наименований) и начальных остатков по оценкам работников склада займёт 2 недели. По сути предприятие останавливается на эти две недели, что недопустимо.
Я перепробовал все дешифраторы, имеющиеся на сайтах касперского и доктора веба - не помогло. И тут я обратил внимание на письмо счастья - текстовый файл, который есть во всех зашифрованных папках. В письме предлагается связаться с автором вируса по e-mail и, за некоторую мзду, получить дешифратор. Однако меня больше заинтересовала фраза, где автор в качестве гарантий предоставления дешифратора предлагает бесплатно восстановить несколько файлов. Объём архива для восстановления не должен превышать 5 МБ. Не очень-то веря в письмо я решил воспользоваться этим, упаковал самые нужные файлы (справочник номенклатуры, контрагентов плюс вспомогательные справочники типа справочника единиц), благо dbf файлы упаковываются очень хорошо и отправил архив по указанному адресу с просьбой назвать стоимость дешифратора. И о чудо, на следующий день получил ответ, в котором был архив с восстановленными файлами. Кстати, сумму автор просил относительно небольшую - 15 тыс. руб. Но руководством компании было принято решение ничего не платить (что я полностью поддерживаю). Из полученных файлов я создал новую базу, оставалось завести остатки. Простой компании составил 2 суток.

26. uriy 3 09.07.14 10:37 Сейчас в теме

(24) )))))))) Прикольно !!!!
До чего может додуматься человек !!!

ПЛЮСУЮ ЗА ОТЛИЧНУЮ ИДЕЮ И СМЕКАЛКУ !!!

27. MIracloid2000 09.07.14 11:41 Сейчас в теме

(24) alexpa2005,
таких бы админов убивать нужно, пока они еще не родились! автор статьи описал какой он "м...к"
Авст у него стоит, а он от ДрВеба скрипты выполняет!!!

28. alexpa2005 09.07.14 12:07 Сейчас в теме

(27) MIracloid2000, как говорится: "И на старуху бывает проруха". Не ошибается только тот, кто вместо дела критикует других. :) В моём случае ошибка админа имела место. И базы и архивы баз хранились на одном компьютере, пусть и на физически разных дисках. Сделано так было от бедности. Иметь отдельный сервер для архивов руководство компании посчитало избыточным. Но админ вполне мог делать дубликат архивов хотя бы на свой компьютер, что сделано не было. ну что же, на ошибках надо учиться. Кстати, вирус оказался весьма умным. Ведь чтобы зашифровать все диски сервера, нужно не один и не два часа. Вирус сработал в ночь с пятницы на субботу. И за выходные успел сделать своё грязное дело. Но по этой же причине остальные компьютеры сети не пострадали, поскольку были выключены. Так что отсюда ещё один совет админам - требуйте от пользователей выключения компьютеров после окончания рабочего дня!!!

30. bulpi 217 09.07.14 12:45 Сейчас в теме

(0)
"Вроде не лох, а нет - сам попался на простом приеме - пришло письмо вроде от доктора-веба с антивирусом для лечения моего компьютера "

Извини, но ты таки лох

31. Патриот 458 09.07.14 14:23 Сейчас в теме

Мне кажется, глупо делать самораспаковывающиеся архивы в надежде на то, что следующие вирусы тоже проигнорируют exe файлы. Ведь если бы пришёл вирус, который не ел rar, то по этой логике надо было бы все файлы архивировать? Сомнительно.

33. uriy 3 09.07.14 14:36 Сейчас в теме

(31) Патриот, Все файлы совсем не обязательно а вот базы данных архивировать в двух экземплярах считаю уместно.

34. uriy 3 09.07.14 21:06 Сейчас в теме

Сегодня решил свою тестовую машину заразить этими вирусами. предварительно закидал на нее кучу всякого хлама разные типы архивов с разными расширениями,вордовские документы и опенога, посоздавал разные папки с разными атрибутами. Поставил поочередно два антивируса (аваст фрии и касперский малый бизнес), из расчета, что первый у меня на момент заражения уже стоял, второй мне понравился по функционалу (есть ряд дополнительных фишек как шифрование данных, защита папок, облачные технологии)- ну для фирм думаю подходит более чем касперский интернет секюрити.
Так же установил Agnitum Outpost Firewall- благо с антивирусами он сейчас дружит. Кстати в нем я также нашел много нового (видать давненько я им не пользовался)- также есть защита данных файлов, таких как например, расположенных на рабочем столе или выбранных вручную.

Ну вот вроде подготовился ;-)
Далее полез на почту нашел свои письма счастья.Решил переслать эти письма знакомым (попросили для ознакомления). И первое чудо маил не дал мне отослать письма (подозрение на спам или вирус).Ну да ладно отдал знакомым на флехе.
Первый антивирус с проверкой на прочность - у меня был аваст. Скачал содержимое (вирус в архиве) к себе на компьютер. Проверяю архив- аваст ругается благим матом (что в моем случае несколькими днями ранее не произошло). Качаю архив заново,распаковываю запускаю (и тут тоже аваст ругается).

Сношу аваст ставлю касперский малый бизнес. Провожу теже манипуляции что и с авастом, как нетрудно догадаться результаты те же вылавливает заразу на лету.
Из этих действий делаю вывод Мой вирус в базе сигнатур угроз уже сидит и в авасте и естественно в каспере, плюс подтверждением этому в почтовом сервисе маила стоит встроенный антивирус касперского. Вопрос только кто из них эту угрозу локализовал оперативнее, думаю лаборатория касперского.

Далее я жестко запустил вирус не дав касперскому его слопать. Тут тоже все естественно касперский у меня начал выть и пищать находя вредоносную программу, я специально игнорирую его предупреждения даю шанс программе Agnitum Outpost Firewall защитить меня. Оутпост не сильно ругаясь выдал мне предупреждение правила неизвестного предложения с выбором запуск отмена.

Все манипуляции проводились под учеткой Гостя.

Свою жертвенную машинку оставил на ночь заквашиваться вирусами.

Из проделанного первого этапа своего теста понял, что с письмом счастья мне повезло - я был в числе первых счастливчиков этого зловреда. Получи или открой я его сутками позже (мог еще попросить заново прислать письмо мол файл поврежден как рекомендуют проверять файл на робота или вирус,т.к если выслал автомат или вирус второго письма я бы не получил и удалил бы со спокойной душой первое) сработала бы защита антивируса и жил бы припеваючи. Ставить программу Agnitum Outpost Firewall не вижу смысла если не сидишь активно в интернете и есть навыки работы сней, по одной простой причине - в режиме обучения постоянно выскакивают окошки правил и меня спрашивают - для юзера это не подходит. Что мне в ней понравилось я видел как мой вирус качает мне всякую гадину и куда- Ну это я знал что запустил и специально сидел смотрел (ну любопытно мне, я даже просмотрел этот скрипт в блокноте где банальная запись на сайт домена второго уровня с указанием скачать в папку темп и тому подобное).

Учетная запись гостя меня вообще не защитила по крайней мере на первом этапе моего теста любопытства - скрипт удачно запустился и начал закачку своих зловредностей (пускай даже после одного двух выскакиваний сообщений запуска программ (что для юзера ни о чем не говорит).

Мой вывод! Антивирусы помогли правда с опозданием, но для юзера все должно стоять в автомате и со свежими базами, ах да письма видать лучше открывать не сразу а как минимум пол дня после обновления баз.

Завтра буду смотреть больного

35. Bukaska 140 09.07.14 23:16 Сейчас в теме

А нам принесли на днях ноут с шифровальщиком.. вообще экран черный.. но как сказать.. систему откачали...с помощью утилиты Доктора Веба, только мусора после него параллельного было навалом.. грубо говоря на каждый док и фото - параллельная помойка вируса...
систему спасли.. 1с работала.. но видать повреждена оказалась система по части шифрования... переустановили криптопровайдер.. он все равно вис.. не работал.. а без него сервис электронного документооборота тоже не работает...
как итог - пришлось переустанавливать ОС.. и переустанавливала сертификаты(благо бекап был)))
Базы слава богу оказались нетронутыми.. разве что в папочке лог 1С вычистила параллельный именной файл(помойку от вируса)

37. vvirus 21 11.07.14 12:22 Сейчас в теме

Попался , также на шифратор ,
Закрылись документы и тп.
но в темпе local setting нашёлся лог файл вируса со списков обработанных файлов.

при анализе выяснилось что объём файлов не меняется а идёт побайтное XOR кодирование с применением предъидущего результата
первый байт стал равен 0.
обратить алгоритм не удалось.

38. Bukaska 140 14.07.14 10:48 Сейчас в теме

(37) vvirus, надо было отправить файл в вирлабы)))

39. uriy 3 15.07.14 08:48 Сейчас в теме

(38) не все антивирусные лаборатории обрабатывают такие заразы, да и надо учесть что они обрабатываю дешифратором твои файлы только если у них был куплен и действует антивирус.Из бесплатных была только avira - служба поддержки и то не знаю они делают такое или нет.

40. Bukaska 140 15.07.14 09:58 Сейчас в теме

(39) Я в своё время слала Доктору вебу - хотя лицензии не имела)))
Потом так же в списках были БитДефендер,НОД32, ТрендМикро(тестила две недели), Сумантек(Пользуюсь трехмесячными пробниками), и Касперский..
Касперский и доктор веб - дадут вам данные для расшифровки, если у вас лицензия.. а если нет.. то просто примут файл для антивирусных баз...
Надо слать, чтобы другие потом не пострадали))))
То -ли в Авиру или Аваст - тоже отсылала файлы))))
По сути даже знаю специальные форумы, где люди тестят антивирусы и у них постоянно там свежие карантины для теста))) но от нас всегда вирлабы принимали файлы)))

41. profess0r 15.07.14 10:39 Сейчас в теме

CureIt! от DrWeb тебе в помощь

42. Bukaska 140 15.07.14 11:00 Сейчас в теме

(41) profess0r, Если шифровальщик есть в антивирусных базах)))
При файловом заражениии.. Или свежий ЛивСД, или с съемного диска запускаем одновременно СалитиКиллер плюс Курейт))))
PS: опять же поможет.. если он есть в антивирусных базах..
А если нет вируса в базах.. шлем файл в вирлаб, ждем день-два пока утвердят его в базах.. и потом снова обрабатываем компьютер)

44. uriy 3 15.07.14 13:25 Сейчас в теме

(42) Я специально тестил свой пойманный вирус занася заразу заново и все антивирусы его уже видели - прошло около 4 дней и он был в списке вирусов.

45. Bukaska 140 15.07.14 13:45 Сейчас в теме

(44) 4 дня - нехило)))))

46. uriy 3 15.07.14 15:03 Сейчас в теме

(45) как руки дошли ))

47. AlexanderKai 16.07.14 10:11 Сейчас в теме

Социальный хакинг самый надежный! :)

48. echo77 1906 31.07.14 13:20 Сейчас в теме

Пару раз я, не обращая внимания, игнорировал угрозу, отменял лечение и отправлял в карантин, а на третьи сутки сделал роковую ощибку и добавил его в исключения.

- друг, зачем вам антивирус на компьютере? Он только место занимает, жрет ресурсы, и ваше внимание :-)

Надеюсь, в жизни вы куда более осторожнее чем в виртуальном пространстве.

49. uriy 3 31.07.14 15:33 Сейчас в теме

(48) врага надо знать в лицо и знать как с ним бороться с помощью или без помощи антивируса. И какие последствия от него идут. Это полезно знать!!!!!!!

И сарказм тут неуместен. Я ладно я все-таки знал чем рискую, но представь если это был бы сервер с 10 летней базой данных и доками.
До того как я сам с ним столкнулся уже читал в форумах и давал виртуальные советы, теперь знаю заразу в лицо и советы мои не виртуальные а действительные. И статья моя специально чтобы люди не делали таких ошибок.

51. AlexSunS 04.08.14 05:25 Сейчас в теме

(49) Очень все индивидуально )

50. validat 1 31.07.14 20:06 Сейчас в теме

Если компьютер подключен к Интернет, то антивирус обязательно нужен.
Хотя бы бесплатный, например, AVG. Конечно, не открывать письма от неизвестного
и тем более ссылки не кликать и файлы не скачивать.
Последствия могут быть самые ужасные. Например, вирус (Penetrator", никому не желаю.
Да и шифровальщики-вымогатели тоже неприятная зараза.

Оставьте свое сообщение

E-mail:

Автор:

(uriy)

Рейтинг: 3

Для получения уведомлений о новых публикациях автора подключите телеграм бот: Инфостарт бот

Публикация:

№ 290549

Создание 04.07.14 00:27

Обновление 04.07.14 00:27

Статистика:

Просмотры 17615

Загрузки 0

Рейтинг 2

Комментарии 52

Характеристики:

Код открыт Не указано

Рубрики Информационная безопасность

Кому Системный администратор

Тип файла Нет файла

Платформа Не имеет значения

Конфигурация Не имеет значения

Операционная система Windows

Страна Не имеет значения

Отрасль Не имеет значения

Налоги Не имеет значения

Вид учета Не имеет значения

Доступ к файлу Бесплатно (free)