:: Курилка
Вирус-шифровальщик
ry
Автор

Сообщений: 2113
Дата регистрации: 24.09.2007
Не минула и меня беда сия. Вчера утром пожаловались пользователи на переименованные и не открывающиеся файлы в папке, созданной на сервере для обмена данными. Быстрый взгляд показал, что там совсем беда - работает шифровальщик. Доступ отключил, другие папки глянул - частично затронута еще одна, рабочая. Ну, от нее бэкап есть, не проблема.

На выявление компа, откуда лезет зараза, еще некоторое время ушло. Выяснил, отключил от сети, пришел в отдел, вырубил комп и отправил пользователя "гулять" до лучших времен. Папку с рабочими данными восстановил из бэкапа, а вот папка для обмена не резервировалась. И ведь сколько народ не предупреждай, все равно норовит там рабочие файлы хранить. В общем, более 11 тыс. файлов "полегло". Большинство, конечно, или мусор, или имеют оригиналы (зачастую более старые версии) на рабочих станциях. Но есть и куча файлов с нужной людям информацией.

Зараженный комп пострадал в меньшей мере - практически все восстановил из бэкапов. Сам вирус с зараженной машины легко удаляется вручную (загрузка с другого носителя).

Увы, вирус Ishtar не слишком старый, декриптера к нему еще нет и в ближайшее время не предвидится. Так что вынужден сообщать пользователям печальные известия о безвовратной утере информации, хотя шифрованные файлы на всякое время сохранил. Процентов 5 информации восстановил из дубликатов, разбросанных по сети, на большее нет времени.

Выяснил путь заражения: ничем не примечательное и не подозрительное письмо с вполне вменяемым текстом о повторном направлении счета на оплату. Разве что название фирмы могло насторожить, но когда большая организации работает с сотнями фирм, на название уже мало обращают внимание. В приложении html-файл, в нем обфусцированный скрипт, скачивающий с сайта тело вируса и сохраняя его под видом документа, содержащего счет на оплату. Сайт взломан: "HACKED BY SyR!4N M43STR0. Message For All: we love russia we love Putin and Iran we love Syria Bashar Al Assad Message For All : fuck USA fuck IsIs fuck Saudia Arabia..." Видно, без "русских хакеров" не обошлось. Заявление с требованием оплаты за расшифровку файлов тоже на русском и английском.

Антивирус, кстати, на действия вируса ругался и часть создаваемых им во временной папке файлов заблокировал. Что там и как пользователь потом нажимал, уже не выяснить, но вирус все-таки сработал.

О самом вирусе наиболее подробно написано здесь: id-ransomware.blogspot.com.by

В общем, я к чему: делать бэкап хоть и банально, зато потом не больно анально.
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
Simple777

Сообщений: 33855
Дата регистрации: 05.11.2006
[attachment 27132 avatar_45.gif]
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
Влад Колосов

Сообщений: 22664
Откуда: Ростов-на-Дону
Дата регистрации: 05.05.2005
А что за антивирус?


------------------
Совершенство - это не тогда, когда нельзя
ничего прибавить, а тогда, когда нечего убавить.
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
Simple777

Сообщений: 33855
Дата регистрации: 05.11.2006
Я недавно сталкивался с шифровальщиком value (у заказчиков беда была). На компе был антивирус. В конторе есть сисадмин. Я пытался выяснить у сисадмина, каким образом шифровальщик (притом ведь не новый) проскочил через антивирус. Из его непонятного для меня ответа следовало, что антивирусы такие шифровальщики не могут отловить из-за механизма активации шифровальщика. Неужто правда? :al:
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
of63

Сообщений: 25161
Откуда: Н.Новгород
Дата регистрации: 13.02.2008
А правда, вот напишу я в коде открытия DOC/XLS-документа что-то типа "shell/API", "FORMAT C:". Антивирус этого кода еще не знает (моя же самопись)... И все? Пипец читателю сего документа? (допущение - макросы включены)
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
Simple777

Сообщений: 33855
Дата регистрации: 05.11.2006
Вот что-то в таком духе сисадмин и рассказывал. Типа, выполняется "обычная команда", в результате чего активируется шифровальщик. То бишь команда активации шифровальщика не есть вирус. А шифровальщик формально тоже не вирус - "просто обрабатывает файлы", притом не запуская механизм тиражирования себя.



Исправлено 1 раз(а). Последнее : Simple777, 28.02.17 18:58
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
of63

Сообщений: 25161
Откуда: Н.Новгород
Дата регистрации: 13.02.2008
Так в этих документах офиса (и в HTML) можно писать прогу на VB, или на каком-то скрипте. Скрипт (и VB) выполняется под какой учеткой в ОС? Какие файлы и действия доступны этой учетке?
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
Simple777

Сообщений: 33855
Дата регистрации: 05.11.2006
Ну, видимо, файлы пользователя для шифрования доступны. Собственно системные файлы шифровальщик и не трогает.
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
of63

Сообщений: 25161
Откуда: Н.Новгород
Дата регистрации: 13.02.2008
Тогда, таким "вирусо"-писателем может стать любой школьник, и завалить письмами любую контору? Че-то тут не так.
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
Simple777

Сообщений: 33855
Дата регистрации: 05.11.2006
Без поллитры IK не разберешься... :al:
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
of63

Сообщений: 25161
Откуда: Н.Новгород
Дата регистрации: 13.02.2008
А мы что? Давай у ry письмо это попросим, почитаем, проведем эксперимент? Слабо? )
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
Simple777

Сообщений: 33855
Дата регистрации: 05.11.2006
Мы за колхоз... но не в нашем районе. [sm128]
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
of63

Сообщений: 25161
Откуда: Н.Новгород
Дата регистрации: 13.02.2008
А интересно, че там за скрипт, в чем идея, что даже "антивирус" (например, в лице всемирно известного, Касперского) не может такое простое ловить? Почему ОС разрешает делать такое? Кому предьявлять претензии в таких случаях, что "документ заразил", или "ОС не смогла" ?
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
Simple777

Сообщений: 33855
Дата регистрации: 05.11.2006
Ну человек же может, например, застрелиться? Кому тогда предъвлять претензии? Производителю пистолета, производителю пули, жене застрелившегося, его детям или его родителям? Или сайту про самоубийства, где застрелившийся в последнее время "торчал"? :al:
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
Simple777

Сообщений: 33855
Дата регистрации: 05.11.2006
Или банку, требующему очередных выплат по ипотеке? :moder:
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
of63

Сообщений: 25161
Откуда: Н.Новгород
Дата регистрации: 13.02.2008
Кстати, да, люди же умные, живут по понятиям, божественным. И кому же вменять?
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
sphinx

Сообщений: 31166
Откуда: Каменск-Уральски
Дата регистрации: 22.11.2006
of63
люди же умные, живут по понятиям, божественным

Живут или по понятиям, или без оных. Божественное тут не при чем.


------------------
"Veni, vidi, vici!"(с)
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
sphinx

Сообщений: 31166
Откуда: Каменск-Уральски
Дата регистрации: 22.11.2006
of63
И кому же вменять?
Отвечает Александр Друзь!


------------------
"Veni, vidi, vici!"(с)
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
of63

Сообщений: 25161
Откуда: Н.Новгород
Дата регистрации: 13.02.2008
Он присутствует? ...Этот на все ответит )
Ratings: 0 negative/0 positive
Re: Вирус-шифровальщик
sphinx

Сообщений: 31166
Откуда: Каменск-Уральски
Дата регистрации: 22.11.2006
of63
Он присутствует?
Он только что от меня к тебе поехал. Встречай.


------------------
"Veni, vidi, vici!"(с)
Ratings: 0 negative/0 positive


Извините, только зарегистрированные пользователи могут оставлять сообщения в этом форуме.

On-line: 10 (Гостей: 10)

© 2000-2024 Fox Club 
Яндекс.Метрика