С тегами:

вирус шифровальщик

Любые посты за всё время, сначала свежие, с любым рейтингом
Найти посты
сбросить
загрузка...
660
ФБР арестовало остановившего вирус WannaCry британского компьютерщика
51 Комментарий  
ФБР арестовало остановившего вирус WannaCry британского компьютерщика Wannacry, WannaCrypt, WannaCryptor, вирусы-шифровальщики

ФБР США арестовало британского компьютерного исследователя Маркуса Хатчинса по обвинению в сговоре с целью рекламы и продажи вредоносной программы Kronos, использовавшейся для похищения информации о банковских онлайн-операциях и данных кредитных карт.


Хатчинс был задержан в Лас-Вегасе на этой неделе после участия в ежегодной хакерской конференции Def Con. Ему приписывают помощь в нейтрализации глобальной атаки WannaCry в этом году. При этом представитель правоохранительных органов заявил, что дело Хатчинса не связано с атакой WannaCry.


Распространение вируса-вымогателя WannaCry, поразившего десятки тысяч компьютеров по всему миру, удалось приостановить с помощью регистрации домена с длинным и бессмысленным названием iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.


После того как в коде вируса обнаружили зашитое в коде вредоносной программы незарегистрированное доменное имя, на которое направлялись запросы. Хатчинс решил приобрести домен, что стоило ему менее 11 долларов, после чего распространение вируса прекратилось.

41
Россия, Украина и другие страны Европы атакованы вирусом-вымогателем Petya: обзор ситуации и способ защиты
16 Комментариев  
Россия, Украина и другие страны Европы атакованы вирусом-вымогателем Petya: обзор ситуации и способ защиты Petya, способы борьбы, BleepingComputer, вирусы-шифровальщики, методы борьбы, ransomware, длиннопост, tproger

27 июня страны Европы поразила атака вируса-вымогателя, известного под безобидным именем Petya (в различных источниках также можно встретить названия Petya.A, NotPetya и GoldenEye). Шифровальщик требует выкуп в биткоинах, эквивалентный 300 долларам. Заражены десятки крупных украинских и российских компаний, также фиксируется распространение вируса в Испании, Франции и Дании.


Кто попал под удар?


Украина


Украина стала одной из первых стран, подвергшихся атаке. По предварительным оценкам, атакованы около 80 компаний и госучреждений:


- аэропорты: «Борисполь», Международный Аэропорт Харькова (он, кстати, временно

  перешёл на регистрацию в ручном режиме);

- киевское метро: вирус заразил терминалы пополнения проездных билетов, оплата

картами пока невозможна;

- банки: Национальный банк Украины, «Ощадбанк», «Приватбанк», «Пивденный банк»,

«Таскомбанк» и «Укргазбанк»;

- операторы сотовой связи: «Киевстар», lifecell и «Укртелеком»;

- энергетические компании: «Киевэнерго», «Запорожьеоблэнерго», «Днепроэнерго» и

«Днепровская электроэнергетическая система».


Атаке подверглись и компьютерные сети правительства Украины. Вирус-вымогатель распространился даже в кабинет министров. Сайт правительства оказался недоступен.


Советник министра внутренних дел Украины Антон Геращенко заявил:


"Письмо, содержащее вирус, приходило в большинстве случаев по почте… Организаторы

атаки хорошо знали специфику рассылок служебных писем в украинском коммерческом и

государственном секторе и маскировали рассылки писем, содержащих вирус, под видом

деловой переписки, которую из любопытства открывали неопытные пользователи."


Россия


В России были атакованы «Роснефть», «Башнефть», Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold). «Роснефть» была первой российской компанией, заявившей об атаке вируса на сервера компании.


Шифровщик заразил информационную систему металлургической и горнодобывающей компании Evraz, совладельцем которой значится Роман Абрамович, а также компании Nivea, TESA, Royal Canin, «Новая Почта», и подразделения Damco в России и Европе.


Ситуация в Европе


Petya затронул и другие страны. Компании Испании, Дании, Франции, Нидерландов, Индии и других государств также сообщили об атаке на свои серверы.


По оценкам сотрудника «Лаборатории Касперского» Костина Райю, масштаб атаки меньше, чем во время активности вируса WannaCry, однако урон всё равно является «значительным». Он заявил, что компания наблюдает «несколько тысяч» попыток заражения по всему миру.

Россия, Украина и другие страны Европы атакованы вирусом-вымогателем Petya: обзор ситуации и способ защиты Petya, способы борьбы, BleepingComputer, вирусы-шифровальщики, методы борьбы, ransomware, длиннопост, tproger

Current situation of Petrwrap/wowsmith123456 ransomware - percentage of infections by country.

- Costin Raiu


По данным антивирусной компании ESET, в первую десятку пострадавших от вируса стран вошли Украина, Италия, Израиль, Сербия, Венгрия, Румыния, Польша, Аргентина, Чехия и Германия. Россия в данном списке занимает лишь 14-е место.


Как устроен Petya?


По предварительным данным, вирус распространяется на компьютеры под управлением операционной системы Windows, а заражение в основном происходит через фишинговые письма, которые отправляют злоумышленники.


Первая версия Petya была обнаружена ещё в прошлом году. Она также пыталась получить доступ к файлам на жестком диске, но без прав администратора была бессильна что-либо сделать. По словам гендиректора ГК InfoWatch Натальи Касперской, именно поэтому «вирус объединился с другим вымогателем Misha, который имел права администратора. Это был улучшенная версия, резервный шифровальщик».

Россия, Украина и другие страны Европы атакованы вирусом-вымогателем Petya: обзор ситуации и способ защиты Petya, способы борьбы, BleepingComputer, вирусы-шифровальщики, методы борьбы, ransomware, длиннопост, tproger

New Petrwrap/Petya ransomware has a fake Microsoft digital signature appended. Copied from Sysinternals Utils.

- Costin Raiu


На сегодняшний день вирус не просто шифрует отдельные файлы, а полностью забирает у пользователя доступ к жесткому диску. Также вирус-шифровальщик использует поддельную электронную подпись Microsoft, которая показывает пользователям, что программа разработана доверенным автором и гарантирует безопасность. После заражения компьютера вирус модифицирует специальный код, необходимый для загрузки операционной системы. В результате при запуске компьютера загружается не операционная система, а вредоносный код.


Как защититься?


1. Закройте TCP-порты 1024–1035, 135 и 445.

2. Обновите базы ваших антивирусных продуктов.

3. Так как Petya распространяется при помощи фишинга, не открывайте письма из

неизвестных источников (если отправитель известен, уточните, безопасно ли это

письмо), будьте внимательны к сообщениям из соцсетей от ваших друзей, так как их

аккаунты могут быть взломаны.

4. Вирус ищет файл C:\Windows\perfc, и, если не находит его, то создаёт и начинает

заражение. Если же такой файл на компьютере уже есть, то вирус заканчивает

работу без заражения. Нужно создать пустой файл с таким именем. Рассмотрим этот

процесс подробнее.


Методом защиты поделился ресурс BleepingComputer. Для удобства они подготовили скрипт, который сделает всю работу за вас, а ниже приведена подробная инструкция на случай, если вы захотите сделать всё самостоятельно.


Инструкция по защите от Petya


В настройках «Параметры папки» отключите опцию «Скрывать расширения для зарегистрированных типов файлов». Это позволит создать файл без расширения.

Россия, Украина и другие страны Европы атакованы вирусом-вымогателем Petya: обзор ситуации и способ защиты Petya, способы борьбы, BleepingComputer, вирусы-шифровальщики, методы борьбы, ransomware, длиннопост, tproger

Перейдите в папку C:\Windows и найдите файл notepad.exe:

Россия, Украина и другие страны Европы атакованы вирусом-вымогателем Petya: обзор ситуации и способ защиты Petya, способы борьбы, BleepingComputer, вирусы-шифровальщики, методы борьбы, ransomware, длиннопост, tproger

Создайте копию этого файла (система запросит подтверждение):

Россия, Украина и другие страны Европы атакованы вирусом-вымогателем Petya: обзор ситуации и способ защиты Petya, способы борьбы, BleepingComputer, вирусы-шифровальщики, методы борьбы, ransomware, длиннопост, tproger

Переименуйте полученную копию файла в perfc:

Россия, Украина и другие страны Европы атакованы вирусом-вымогателем Petya: обзор ситуации и способ защиты Petya, способы борьбы, BleepingComputer, вирусы-шифровальщики, методы борьбы, ransomware, длиннопост, tproger

Система выдаст предупреждение, что файл может оказаться недоступным:

Россия, Украина и другие страны Европы атакованы вирусом-вымогателем Petya: обзор ситуации и способ защиты Petya, способы борьбы, BleepingComputer, вирусы-шифровальщики, методы борьбы, ransomware, длиннопост, tproger

Перейдите в свойства файла perfc:

Россия, Украина и другие страны Европы атакованы вирусом-вымогателем Petya: обзор ситуации и способ защиты Petya, способы борьбы, BleepingComputer, вирусы-шифровальщики, методы борьбы, ransomware, длиннопост, tproger

Установите атрибут «Только чтение»:

Россия, Украина и другие страны Европы атакованы вирусом-вымогателем Petya: обзор ситуации и способ защиты Petya, способы борьбы, BleepingComputer, вирусы-шифровальщики, методы борьбы, ransomware, длиннопост, tproger

Если же вы всё-таки поймаете этот вирус, помните — не в коем случае не перезагружайте компьютер! По данным MalwareTech, процесс шифрования начинается именно в момент включения устройства.

Россия, Украина и другие страны Европы атакованы вирусом-вымогателем Petya: обзор ситуации и способ защиты Petya, способы борьбы, BleepingComputer, вирусы-шифровальщики, методы борьбы, ransomware, длиннопост, tproger

If machine reboots and you see this message, power off immediately! This is the encryption process. If you do not power on, files are fine.

- Hacker Fantastic


Взято с tproger

Показать полностью 10
360
Как обезопасить себя от вируса Petya.A
142 Комментария  

Есть вот такая предварительная информация . Чтобы прекратить распространение Petya.A, нужно закрыть TCP-порты 1024–1035, 135 и 445 . Для этого Выбирайте вкладку «Панель управления» и запускайте параметр «Брэндмауэр». Если, у вас был загружен вид по различным категориям действий, нажмите на ссылку «Система и безопасность». После открытия страницы настроек, щелкните по надписи «Брэндмауэр», чтобы загрузить окно программы. Этот алгоритм действий применяют, в случае, если используется операционная система Windows 7.



Далее, надо щелкнуть по ссылке «Дополнительные параметры» в столбце, что находится на странице слева. После того, как загрузится окно центра контроля учетных записей, нужно будет подтвердить свои намерения и ввести пароль администратора.



Затем, нужно будет нажать на строчку «Правила для входящих подключений» в новом окне слева. После этих действий, появляется список необходимых правил и приложений к ним. Нажмите на надпись «Создать правило», она располагается в правой верхней части окна. Далее, загрузится диалог мастера для создания правил по работе с сетевым экраном.



Затем, нужно будет поставить отметку в строке «Для порта» и нажать «Далее». Потом отметьте пункт «Протокол TCP» на следующей загрузившейся странице сверху, а в нижней ее части вводите номер порта, доступность которого вы хотите ограничить. Потом щелкните по кнопке «Далее».



Нужно поставить отметку напротив пункта «Блокировать подключение» и щелкнуть надпись «Далее». В следующем окне надо будет отметить галочками три пункта: публичный, частный, доменный,— чтобы созданное вами правило срабатывало на все виды подключений. Чтобы перейти к следующей странице настройки, необходимо щелкнуть по кнопке «Далее».


Теперь, нужно задать имя для правила, которое вы создали, например «Port 88», чтобы с его помощью можно было легко его найти, если это потребуется. Можете при необходимости, добавить описание. Щелкните по кнопке «Готово». Процесс создания правила для входящего подключения, теперь успешно завершен.

77
Новая волна заражений вирусами - шифровальщиками
71 Комментарий  

Дамы и господа, сейчас (27.06.2017) в интернете очень активно распространяется вирус похожий по логике работы на WannaCry.


Берегите свои компьютеры


Источник: https://hromadske.ua/posts/ukrposhtu-ukrenerho-ta-banky-atak...

Новая волна заражений вирусами - шифровальщиками вирус, вирусы-шифровальщики, windows, опять
Показать полностью 1
1408
Когда вокруг вирусня
95 Комментариев  
Когда вокруг вирусня хакеры, вирус, атака, мемы, вирусы-шифровальщики, интернет, взлом

В тему поста http://pikabu.ru/story/kriptoshifrovalshchik_porazil_set_mvd...

1260
Как закрыть уязвимость протокола SMBv1(Wana decrypt0r 2.0)
161 Комментарий  
Как закрыть уязвимость протокола SMBv1(Wana decrypt0r 2.0) Wannacry, вирусы-шифровальщики, лечение, пк

Патчи для исправления этой уязвимости можно скачать на официальном сайте:


Microsoft Security Bulletin MS17-010


Патч, для старых систем (Windows XP, Winows Server 2003R2)


Уязвимость так-же можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке запущенной от имени Администратора:


dism /online /norestart /disable-feature /featurename:SMB1Protocol


Установить патчи при этом все равно рекомендуется

взято с https://geektimes.ru/post/289115/

5349
Сбербанк. Просто, профессионально.
1217 Комментариев  

Похоже, выходные у ТП Сбербанка будут весёлыми.

Сбербанк. Просто, профессионально. сбербанк, шифровальщик-вымогатель, шифровальщик, вирусы-шифровальщики, Wannacry
Показать полностью 1
1334
Криптошифровальщик поразил сеть МВД.
675 Комментариев  

Началось массовое заражение криптовирусом сети мвд по стране. Точно уже есть в липецкой ,пензенской, калужской областях. На рабочем столе просят 300 баксов. Название вируса @wanadecriptor. На некоторых компах идет отчет до 19 мая. Кто что еще слышал - делимся.

Криптошифровальщик поразил сеть МВД. вирусы-шифровальщики, мвд

https://lenta.ru/news/2017/05/12/wannacry/

http://tass.ru/mezhdunarodnaya-panorama/4248397

http://www.bbc.com/news/technology-39901382


UPD: Позднее поступило опровержение.


https://www.gazeta.ru/tech/news/2017/05/12/n_10040471.shtml


В пресс-центре МВД «Газете.Ru» факт хакерской атаки опровергли.

«Идут плановые работы на внутреннем контуре», — уточнили в МВД.

Ранее сообщалось, что серверы Нацслужбы здравоохранения Британии подверглись массовой кибератаке.

Получить оперативный комментарий СК пока не удалось.

424
Противодействие вирусам-шифровальщикам
143 Комментария в Информационная безопасность  

Добрый день! В связи с появлением большого числа новых шифровальщиков и возросшей угрозой утери данных хочу немного просветить народ и рассказать о проблеме и способе борьбы с данным видом угроз.


Сперва собственно об угрозе.


Вирусы-шифровальщики делятся на 3 категории:


1. Классические с хранением ключа на компьютере пользователя. Вирус шифрует данные, при этом ключ дешифровки хранится на компьютере пользователя. При вводе правильного пароля дешифрует данные и удаляется.

2. Классические с хранением ключа на удаленном компьютере. Вирус шифрует данные, при этом ключ дешифровки хранится на сервере в интернете. При оплате предоставляется ключ, вирус с помощью этого ключа дешифрует данные и удаляется.

3. Симулянты. Данные не шифруются, а необратимо повреждаются. После оплаты ничего не происходит.


По принципу работы делятся на 2 категории:


1. На уничтожение данных. В случае не оплаты вирус уничтожает все данные.

2. На публикацию данных. Помимо шифрования вирус отправляет содержимое жесткого диска на удаленный сервер. В случае не оплаты авторы вируса публикуют данные пользователя в открытый доступ.


Особым подвидом являются вирусы, которые дают на оплату очень ограниченное время и затем начинают удалять/публиковать файлы.


Самое главное здесь то, что оплата не гарантирует восстановление или не опубликование файлов... По прогнозам специалистов, данный вид вирусов станет основным трендом в вирусописании на ближайшие годы. Ожидается, что следующим ходом в вирусописании станет возможность атаки на облачные хранилища данных для исключения возможности восстановления файлов.


Теперь о защите:


Тезис о том, что "лучшая защита - это нападение" в данном случае принципиально не применим. Для отражения угрозы нужно подготовить плацдарм для отступления и последующей успешной контратаки. Давайте рассмотрим работу вируса и выделим ключевые моменты.


Этап 1::Заражение. Вирус тем или иным способом проникает на компьютер.


Анализ угрозы: Основная угроза безопасности - пользователь. Подавляющее большинство заражений - открытое письмо с вирусом, переход на взломанный сайт и т.д.


Методы защиты:

1. "Белый список" сайтов куда разрешен доступ. Желательно прописать сайты в локальный DNS-сервер.

2. "Белый список" разрешенных для запуска приложений. Можно в редакторе реестра (запускается Win+R и ввести regedit и ОК) в ветке HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer создать DWORD параметр RestrictRun со значением 1, затем в этой же ветке создаем раздел RestrictRun, а имена исполняемых файлов прописываем в этом же разделе в строковых параметрах в формате: имя параметра = номере по порядку (1,2,3); значение = имя исполняемого файла. В ОС Linux на отдельные диски выносятся точки монтирования /bin /usr/bin (если нестандартный софт, то добавить в этот список), а для остальных разделов ставиться флаг монтирования noexec.

3. Работа в сети через "интернет-дистрибутивы" Linux, это специально подготовленный дистрибутив, запущенный из виртуальной системы с правами "только чтение", для обмена данными выделяется каталог реальной системы куда скачиваются файлы. Следует отметить, что интернет-дистрибутив является DMZ-решением т.е. он не даст "закрепиться" вирусу в системе (все изменения удаляются при перезагрузке), однако если пользователь скачает файл и запустит его, то данное решение уже не спасет.

4. "Специально обученный" хомячок на шлюзе со "специально настроенной" ОС. Весь потенциально опасный траффик (прежде всего электронная почта) должны быть обработаны в DMZ. То есть на машине запуск вирусов на которой практически невозможен, крайне желательно перекодировать потенциально опасные файлы, полученные из не доверенных или условно-не доверенных источников. Например(!), документы WORD и PDF конвертировать в PNG, а затем из PNG собирать PDF и именно в PDF запускать в сеть. В этом случае информация останется читаемой человеком, а активное содержимое будет утеряно. !!!Из практики видел организацию, где секретарь весь поступающий траффик печатала на принтере, потом сканировала на другой машине и уже в виде сканов отправляла в сеть. Сотрудники работали исключительно со списком из 3-4 разрешенных сайтов, флешки запрещены. О заражении чем-либо в этой организации я не слышал!!!.

5. Работа из "неизменяемой" операционной системы. Данный пункт ОЧЕНЬ объемный, поэтому за справкой отправлю в Яндекс.


НЕ НАДЕЙТЕСЬ НА АНТИВИРУС!!! Во-первых, тестирование вируса на невидимость антивирусами перед "продакшеном" является даже не классикой, а само собой разумеющейся процедурой, следовательно, в самом лучшем случае антивирус будет способен к сопротивлению через сутки-двое после "релиза" и то при поимке сигнатур вирусов. Во-вторых, "антивирус" может быть подменен. Средства объективного контроля за работой ОС и ПО не существуют и понять, что работает "заглушка" демонстрирующая интерфейс и "работу" антивируса в принципе невозможно.


НЕ ИСПОЛЬЗУЙТЕ ДЛЯ БЭКАПОВ ЖЕСТКИЙ ДИСК С КОПИРОВАНИЕМ ФАЙЛОВ ИЗ ОСНОВНОЙ ОС!!!!

Во-первых, шифровальщик может зашифровать файлы не только на компьютере, но и на съемном диске. Особенно печально если на 1 диск копируются данные с нескольких машин. Во-вторых, вирус может заразить съемный диск и вместо 1-й зараженной машины будут атакованы все где проводятся операции с этим диском.


Этап 2.1::Шифрование. Вирус шифрует или повреждает файлы.

Анализ угрозы: После успешного заражения вирус начинает шифровать или повреждать файлы. При этом отдельные шифровальщики до окончания шифрования могут выдавать незашифрованные копии файлов при обращении. Следовательно, на атакуемой системе или массово изменяются файлы или копируются. При этом вирус может скрывать свое присутствие в системе, а, следовательно, средствами ОС


Методы защиты:

1. Тест-сервер. На рабочих станциях создаются пользователи с правами "только на чтение", рабочие каталоги открываются на доступ по паролю из сети. RO-Сервер (неизменяемый) с ОС Linux сканирует сеть (например, каждый час) и ищет изменения файлов. Как только на рабочей станции за период сканирования изменяются больше файлов чем обычно подается тревога. Данный метод работает только на "слабые" шифровальщики т.к. зашифрованные данные могут храниться в другом месте. Тест-сервер можно заменить на бэкап-сервер, который будет не только сканировать, но и сохранять файлы.

2. Мониторинг загруженности дисков. Совместно с первым способом 2-3 раза в день смотреть в свойствах системы сколько места занято на дисках, если загруженность дисков поползла вверх, то это признак заражения.

3. Бэкап данных. Самый эффективный способ бэкапа данных требует "в идеале" 2 флешки и 1 съемный диск, но можно обойтись и Linux-сервером в сети. "Идеальная схема" - на 1 флешку мы записываем ОС Linux, на вторую - установочник ОС Windows. Устанавливаем ОС и делаем или классическую 2-х дисковую разметку (ОС + данные) или более продвинутую 3-х дисковую (ОС + данные + раздел под резервную ОС). После "чистой" установки устанавливаем весь нужный софт и проводим все мероприятия по защите ОС. Получаем "эталонную систему" (которую, кстати, можно клонировать на все однотипное железо). Затем загрузившись через флешку с Linux копируем системный раздел в резервную область (если создавали) и на съемный диск. Оставшуюся часть съемного диска или сетевой диск мы будем использовать в качестве хранения архивных копий. С установленной периодичностью запускаем тестовую синхронизацию (сравнивает файлы) через rsync и если изменились только те данные, которые должны были измениться, то запускаем основную синхронизацию. Более продвинутые могут написать скрипты зеркалирования, сохраняющие версии файлов. Желательно хранить 2-3 еженедельные/ежемесячные копии файлов т.к. помимо вируса могут быть случайно стерты и просто важные данные.

"Ограниченный" вариант подразумевает установку Linux в дуалбут, а вместо съемника работать с сервером по протоколу синхронизации.


Этап 2.1::Загрузка файлов внешний сервер. Вирус отправляет значимые для шантажа файлы на внешний сервер.

Анализ угрозы: Для шантажа вирус может направлять файлы из локальных компьютеров. Указанные файлы (базы данных, фото и видео) могут использоваться для шантажа пользователей.


Методы защиты:

1. Шифрование файлов. Все важные данные опубликование которых может нанести Вам вред должны быть зашифрованы. В этом случае даже если эти данные и будут скопированы, то они не смогут быть использованы против Вас. Так что для хранения таких файлов нужно использовать хотя бы зашифрованные архивы, а желательно более серьезные системы шифрования. Однако не забывайте, что вирус может быть настроен на повреждение шифрованных данных, следовательно, бэкап никто не отменял.

2. Мониторинг исходящего трафика. Для передачи данных вирус будет использовать сеть. Следовательно, нужно мониторить объем исходящего трафика и, если он вдруг вырос, но при этом никто не заливает данные на удаленный сервер... Крайне желательно поставить шлюз перед модемом/роутером с логированием соединений. Это позволит мониторить соединения и вычислять зараженный компьютер.


Этап 3::Вымогательство. Вы получили сообщение с требованием денег.

Анализ угрозы: Если появилось сообщение, то значит Вас уже взломали и все превентивные меры успеха не принесли. Скорее всего Ваши данные необратимо испорчены и даже оплата не поможет их спасти.

Метод (единственный!!!) защиты:

1. Выключаем жёстко компьютер (выдергиванием вилки из сети или 10 секундным нажатием на кнопку питания).

2. Создаем или используем загрузочную флешку с антивирусом или просто Linux.

3. Проверяем действительно ли файлы повреждены (есть 0,01% вероятность шутки).

4. Если действительно повреждены - удаляем разделы дисков.

5. Переустанавливаем/восстанавливаем ОС и скачиваем последний бэкап.


НИ В КОЕМ СЛУЧАЕ ПЛАТИТЬ НЕЛЬЗЯ!!!

Данные вирусы пишут те, кто собирается заработать на выкупах. Не будет выкупов - не будет и вирусов.


Всем удачи.

Показать полностью
188
Как обезопаситься от вируса-шифровальщика или настроить простенькие резервные копии.
111 Комментариев  

В силу нашумевшего бестселлера http://pikabu.ru/story/kak_nas_vzlomali_ili_unosite_byekapyi... и моего обещания запилить пост #comment_85817561 выполняю его:


Здесь будет рассматриваться наиболее простенький и более ли менее надёжный способ защиты от вируса-шифровальщика, да и вообще резервного копирования важных данных пользователя, которым является например маленькое ИП с всего одним ноутбуком. Я бы даже сказал, что это несколько ключевых моментов и концепт, вы можете использовать любое другое программное обеспечение и т.д. т.п.(естественно никакой рекламы) , если у вас возникли какие-нибудь вопросы касательно изложенного ниже, например как создать пользователя или добавить ему права администратора, вы можете смело набрать свой вопрос в любой поисковой системе аля гугл/яндекс. Также подразумевается что вы умеете делать такие банальные вещи как создать папку, щёлкнуть правой кнопкой по папке ну и т.д.

Заранее отвечу на разного рода кАмменты касательно «да всё это можно сделать по-другому /всё это не так уж и секьюрно/и т.д. т .п.» - таргет сего поста не рассуждать о дата-центрах и кластерах виртуальных хостов на bladecenter, таргет объяснить рядовому пользователю как избежать неприятностей с потерей всего и всЯ.

Бонусом в конце будет куллстори о мамкином ОЙтишнеге, с которым как то я столкнулся, в период начала своей карьеры.


Далее повествование будет идти в качестве пошагового руководства:

1. Создаём в операционной системе нового пользователя, в моём примере это Уася, задаём ему хороший пароль и добавляем его в группу Администраторы

Как обезопаситься от вируса-шифровальщика или настроить простенькие резервные копии. резервное копирование, вирусы-шифровальщики, ойтишнег, береги своё ИП смолоду, небольшая памятка, длиннопост
Показать полностью 7
1927
К вопросу о вирусах-шифровальщиках
291 Комментарий в Информационная безопасность  
К вопросу о вирусах-шифровальщиках vault, вирус, вирусы-шифровальщики, длиннопост
Показать полностью 1
37
Пассивный антивирус
50 Комментариев  

В последнее время участились атаки на организации и частные лица с помощью "писем счастья" из якобы госструктур (налоговой, департамента природопользователей и даже судебных исполнителей)

Несколько раз сотрудники организации в которой я работаю, ловили данные бяки, что приводило к шифрованию не только локальных машин но и общих документов на сетевых дисках. А самое обидно антизверь призванные защищать от этих бяк в упор не замечал и половины атак.


Благо я знаю про такое колдунство как теневое копирование и бэкапы.

Но в любом случае 200-300 гигов документации нужно было восстанавливать а это в среднем несколько часов.


В итоге мне все это надоело и я изучив те письма выявил закономерность...

В большинстве случаев это были файлы формата Блаблабла_типа_оченьважный_документ_счет_договор.js или *.vbs и даже как то раз пришел файлик *.lnk(самый прикольный ибо маскировался очень хорошо, и на рабочем столе от вордовского документы почти не отличить).


вот список типов файлов что я собрал.

.js
.CMD
.vbs
.com
.hta
.bas
.pif
.GADGET
.VBE
.VB
.jse
.SCR
.wsf
.wsc
.wsh

Я прикинул как бы мне навсегда избавиться от головняка с данными файлами и письмами, ибо пользователь по умолчанию считается неразумным и любые инструкции даже в картинках им(пользователем) в 99% случаев игнорируется, ведь это же письмо со счетом или даже с договором о поставках, надо срочно открыть, даже не смотря на вопли антизверя(если он конечно дэтэктил эту бяку).


На свет родилось решение, что нужно законодательно запретить таким файлам выполнять свою функцию, а именно запускаться как скрипт.


И на свет появился он Пасивный антизверь(не путать с другими пасивными сущностями ибо это несет спасение)


ВСЕ хватит гулять вокруг да около.



Открываем великий и ужасный notepad(обычные люди его знают как блокнот)

во внутрь его пхаем вот такой вот текст

assoc .js=txtfile
assoc .CMD=txtfile
assoc .vbs=txtfile
assoc .com=txtfile
assoc .hta=txtfile
assoc .bas=txtfile
assoc .pif=txtfile
assoc .GADGET=txtfile
assoc .VBE=txtfile
assoc .VB=txtfile
assoc .jse=txtfile
assoc .SCR=txtfile
assoc .wsf=txtfile
assoc .wsc=txtfile
assoc .wsh=txtfile

Не забудьте проверить что пробелов в конце каждой строки нет(бывает при копировании с сайта появляются) иначе не сработает.

Затем нам нужно сохранить это как командный скрипт. Это не сложно...

Файл - Сохранить как

Далее в открывшемся окне выбираем тип файла "Все файлы"

а в имени файла задаем любое имя добавляем .cmd (например anticrypt.cmd)

Пассивный антивирус вирусы-шифровальщики, Компьютерный вирус, Защита, Пассивный антивирус, сисадмин, длиннопост

Теперь файл сохранен и выглядит примерно так как на картинке

Пассивный антивирус вирусы-шифровальщики, Компьютерный вирус, Защита, Пассивный антивирус, сисадмин, длиннопост

После того как скрипт отработал он станет выглядеть как обычный текстовый документ блокнота(а значит все получилось), добавлю ко всему прочему данный скрипт запускается единожды и больше требует внимания пользователя.

Единственное что делает данный скрипт это меняет ассоциации перечисленных видов файлов со своей программы на запуск в блокноте.

Пассивный антивирус вирусы-шифровальщики, Компьютерный вирус, Защита, Пассивный антивирус, сисадмин, длиннопост

Мой первый пост. Пинайте как хотите не за рейтингом пришел, а людям помочь.

Показать полностью 3
34
Из обширных просторов комментов
5 Комментариев  
Из обширных просторов комментов
93
Внимание новый развод вирусов шифровальщиков. (свежий предпраздничный)
28 Комментариев  

Приходит письмо вроде как от manager_nat@info.ru (или любого другого) ,

в письме вас слезно просят:


"Здравствуйте,

Нужно дублирование поставки, а можно сегодня оформить? А то не очень хочется затягивать это на праздники.

Заранее спасибо

здесь лежит документ  <---------идет ссылка на "документ"

С уважением, Наталья Сергеева"


Отгадайте что по ссылке? По ссылке php файлик с телом



window.location="http://155.94.67.9/(затру на всякий случай)"



смотрим адрес:


IP 155.94.67.9

Хост: 9.67.94.155.static.reverse.as19531.net

Город: Jacksonville

Страна: United States

IP диапазон: 155.94.64.0 - 155.94.111.255

Название провайдера: Nodes Direct


p.s По ссылке скачивается что то похожее на *.doc.exe Ну а дальше я объяснять не буду. Раньше просто тупо слали сами файлы но т.к. теперь их бьют уже в процессе доставки (ну не все нам просочились "договора.jar" и "отдать в бухгалтерию срочно.scr")присылают уже ссылки на всякие файлопомойки (бедный гуглодиск.. и "скайп" ;) ) Предупредите бухов и секретарей что бы не открывали такую пакость. А то праздники проведете на работе. ;) А какие письма приходят вам?  Удачных выходных.

2447
Обещанный пост о том как защитить ПК от вирусов шифровальщиков
448 Комментариев  
Показать полностью 1 Обещанный пост о том как защитить ПК от вирусов шифровальщиков
772
Как отбить свои файлы от вируса-шифровальщика бесплатно
Возвращаем свои файлы после шифровки вирусом типа "vault".
104 Комментария  
Показать полностью 1 Как отбить свои  файлы от вируса-шифровальщика бесплатно Возвращаем свои файлы после шифровки вирусом типа "vault".
186
Вирусы-шифраторы массово атакуют компьютеры российских пользователей!
67 Комментариев  
Показать полностью Ребят, был тут недавно пост про вирус, который шифрует все данные на компьютере, и просит перечислить энную сумму на виртуальный кошелек. Так вот, ситуация приобретает все большие масштабы, ведь шифруются все важные и нужные файлы, и антивирь действительно пока не определяет его, и ничего не блокирует, хотя надеюсь, что лаборатория Касперского трудится над этим... Напоминаю, как работает этот монстр: Пользователь получает письмо, от незнакомого адресата, содержащее архив, причем текст в теме письма вполне может соответствовать профилю Вашей организации (предположим, бухгалтеру приходит письмо, с темой "акт сверки"), открываем архив, и вирус молниеносно шифрует все файлы, и на экран выводится окошечко, с сообщением, что все файлы заблокированы, и предложением ввести ключ, которого у Вас естественно нет, затем на почту приходит письмо, с реквизитами на которые нужно перечислить энную суму денег, за то, чтоб получить свои дорогие файлики обратно, причем, чтоб вы поверили, эти гады даже могут расшифровать один файл на ваш выбор... Так было раньше, но Они стали умнее, они подстраиваются, теперь письмо может прийти и со знакомого адреса, потому что вирус, сканирует список почтовых контактов, и автоматически отсылает "гребаные письма счастья", всем почтовым адресатам. Вот так эта гадость и работает, естественно, начального адресата отследить нельзя, и того, кто на чье имя зареган виртуальный кошелек-тоже.
КАК РЕШАТЬ:
1.СКИДЫВАЕМ НА ВНЕШНИЙ ЖЕСТКИЙ ДИСК ВСЕ ВАЖНЫЕ ФАЙЛЫ.
2. Не открываем архивы с незнакомых адресов.
3. Для тех, кто разбирается, в настройках Касперского , указываем, что доступ у файлам, предположим doc/docs, имеет только программа MC Word, а файлам jpg-программа Picasa. Так, при вирусной атаке, Касперский заблокирует несанкционированную попытку доступа, и предупредит Вас.
4. Для корпоративных клиентов, настраиваем каждодневное резервное копирование на сервера, особенно тем, у кого база 1С большая.
Надеюсь пригодилась, ваша Я.


Пожалуйста, войдите в аккаунт или зарегистрируйтесь