Вирус-шифровальщик | |
---|---|
ry Автор Сообщений: 2113 Дата регистрации: 24.09.2007 |
Не минула и меня беда сия. Вчера утром пожаловались пользователи на переименованные и не открывающиеся файлы в папке, созданной на сервере для обмена данными. Быстрый взгляд показал, что там совсем беда - работает шифровальщик. Доступ отключил, другие папки глянул - частично затронута еще одна, рабочая. Ну, от нее бэкап есть, не проблема.
На выявление компа, откуда лезет зараза, еще некоторое время ушло. Выяснил, отключил от сети, пришел в отдел, вырубил комп и отправил пользователя "гулять" до лучших времен. Папку с рабочими данными восстановил из бэкапа, а вот папка для обмена не резервировалась. И ведь сколько народ не предупреждай, все равно норовит там рабочие файлы хранить. В общем, более 11 тыс. файлов "полегло". Большинство, конечно, или мусор, или имеют оригиналы (зачастую более старые версии) на рабочих станциях. Но есть и куча файлов с нужной людям информацией. Зараженный комп пострадал в меньшей мере - практически все восстановил из бэкапов. Сам вирус с зараженной машины легко удаляется вручную (загрузка с другого носителя). Увы, вирус Ishtar не слишком старый, декриптера к нему еще нет и в ближайшее время не предвидится. Так что вынужден сообщать пользователям печальные известия о безвовратной утере информации, хотя шифрованные файлы на всякое время сохранил. Процентов 5 информации восстановил из дубликатов, разбросанных по сети, на большее нет времени. Выяснил путь заражения: ничем не примечательное и не подозрительное письмо с вполне вменяемым текстом о повторном направлении счета на оплату. Разве что название фирмы могло насторожить, но когда большая организации работает с сотнями фирм, на название уже мало обращают внимание. В приложении html-файл, в нем обфусцированный скрипт, скачивающий с сайта тело вируса и сохраняя его под видом документа, содержащего счет на оплату. Сайт взломан: "HACKED BY SyR!4N M43STR0. Message For All: we love russia we love Putin and Iran we love Syria Bashar Al Assad Message For All : fuck USA fuck IsIs fuck Saudia Arabia..." Видно, без "русских хакеров" не обошлось. Заявление с требованием оплаты за расшифровку файлов тоже на русском и английском. Антивирус, кстати, на действия вируса ругался и часть создаваемых им во временной папке файлов заблокировал. Что там и как пользователь потом нажимал, уже не выяснить, но вирус все-таки сработал. О самом вирусе наиболее подробно написано здесь: id-ransomware.blogspot.com.by В общем, я к чему: делать бэкап хоть и банально, зато потом не больно анально. |
Re: Вирус-шифровальщик | |
---|---|
Simple777 Сообщений: 33855 Дата регистрации: 05.11.2006 |
[attachment 27132 avatar_45.gif]
|
Re: Вирус-шифровальщик | |
---|---|
Влад Колосов Сообщений: 22664 Откуда: Ростов-на-Дону Дата регистрации: 05.05.2005 |
А что за антивирус?
------------------ Совершенство - это не тогда, когда нельзя ничего прибавить, а тогда, когда нечего убавить. |
Re: Вирус-шифровальщик | |
---|---|
Simple777 Сообщений: 33855 Дата регистрации: 05.11.2006 |
Я недавно сталкивался с шифровальщиком value (у заказчиков беда была). На компе был антивирус. В конторе есть сисадмин. Я пытался выяснить у сисадмина, каким образом шифровальщик (притом ведь не новый) проскочил через антивирус. Из его непонятного для меня ответа следовало, что антивирусы такие шифровальщики не могут отловить из-за механизма активации шифровальщика. Неужто правда?
|
Re: Вирус-шифровальщик | |
---|---|
of63 Сообщений: 25161 Откуда: Н.Новгород Дата регистрации: 13.02.2008 |
А правда, вот напишу я в коде открытия DOC/XLS-документа что-то типа "shell/API", "FORMAT C:". Антивирус этого кода еще не знает (моя же самопись)... И все? Пипец читателю сего документа? (допущение - макросы включены)
|
Re: Вирус-шифровальщик | |
---|---|
Simple777 Сообщений: 33855 Дата регистрации: 05.11.2006 |
Вот что-то в таком духе сисадмин и рассказывал. Типа, выполняется "обычная команда", в результате чего активируется шифровальщик. То бишь команда активации шифровальщика не есть вирус. А шифровальщик формально тоже не вирус - "просто обрабатывает файлы", притом не запуская механизм тиражирования себя.
Исправлено 1 раз(а). Последнее : Simple777, 28.02.17 18:58 |
Re: Вирус-шифровальщик | |
---|---|
of63 Сообщений: 25161 Откуда: Н.Новгород Дата регистрации: 13.02.2008 |
Так в этих документах офиса (и в HTML) можно писать прогу на VB, или на каком-то скрипте. Скрипт (и VB) выполняется под какой учеткой в ОС? Какие файлы и действия доступны этой учетке?
|
Re: Вирус-шифровальщик | |
---|---|
Simple777 Сообщений: 33855 Дата регистрации: 05.11.2006 |
Ну, видимо, файлы пользователя для шифрования доступны. Собственно системные файлы шифровальщик и не трогает.
|
Re: Вирус-шифровальщик | |
---|---|
of63 Сообщений: 25161 Откуда: Н.Новгород Дата регистрации: 13.02.2008 |
Тогда, таким "вирусо"-писателем может стать любой школьник, и завалить письмами любую контору? Че-то тут не так.
|
Re: Вирус-шифровальщик | |
---|---|
Simple777 Сообщений: 33855 Дата регистрации: 05.11.2006 |
Без
|
Re: Вирус-шифровальщик | |
---|---|
of63 Сообщений: 25161 Откуда: Н.Новгород Дата регистрации: 13.02.2008 |
А мы что? Давай у ry письмо это попросим, почитаем, проведем эксперимент? Слабо? )
|
Re: Вирус-шифровальщик | |
---|---|
Simple777 Сообщений: 33855 Дата регистрации: 05.11.2006 |
Мы за колхоз... но не в нашем районе.
|
Re: Вирус-шифровальщик | |
---|---|
of63 Сообщений: 25161 Откуда: Н.Новгород Дата регистрации: 13.02.2008 |
А интересно, че там за скрипт, в чем идея, что даже "антивирус" (например, в лице всемирно известного, Касперского) не может такое простое ловить? Почему ОС разрешает делать такое? Кому предьявлять претензии в таких случаях, что "документ заразил", или "ОС не смогла" ?
|
Re: Вирус-шифровальщик | |
---|---|
Simple777 Сообщений: 33855 Дата регистрации: 05.11.2006 |
Ну человек же может, например, застрелиться? Кому тогда предъвлять претензии? Производителю пистолета, производителю пули, жене застрелившегося, его детям или его родителям? Или сайту про самоубийства, где застрелившийся в последнее время "торчал"?
|
Re: Вирус-шифровальщик | |
---|---|
Simple777 Сообщений: 33855 Дата регистрации: 05.11.2006 |
Или банку, требующему очередных выплат по ипотеке?
|
Re: Вирус-шифровальщик | |
---|---|
of63 Сообщений: 25161 Откуда: Н.Новгород Дата регистрации: 13.02.2008 |
Кстати, да, люди же умные, живут по понятиям, божественным. И кому же вменять?
|
Re: Вирус-шифровальщик | |
---|---|
sphinx Сообщений: 31166 Откуда: Каменск-Уральски Дата регистрации: 22.11.2006 |
Живут или по понятиям, или без оных. Божественное тут не при чем. ------------------ "Veni, vidi, vici!"(с) |
Re: Вирус-шифровальщик | |
---|---|
sphinx Сообщений: 31166 Откуда: Каменск-Уральски Дата регистрации: 22.11.2006 |
Отвечает Александр Друзь! ------------------ "Veni, vidi, vici!"(с) |
Re: Вирус-шифровальщик | |
---|---|
of63 Сообщений: 25161 Откуда: Н.Новгород Дата регистрации: 13.02.2008 |
Он присутствует? ...Этот на все ответит )
|
Re: Вирус-шифровальщик | |
---|---|
sphinx Сообщений: 31166 Откуда: Каменск-Уральски Дата регистрации: 22.11.2006 |
Он только что от меня к тебе поехал. Встречай. ------------------ "Veni, vidi, vici!"(с) |
© 2000-2024 Fox Club  |