Ladomir

Вирус-вымогатель WannaCry

В теме 139 сообщений

12 минут назад, ГМО сказал:

Взломали петю.

Вот тут хаутушка как расшифровать.

https://geektimes.ru/post/274104/

Если так, то здорово. А то украинское СБУ руки опустило:

СБУ: Зараженные данные вирусом Petya.A расшифровке не подлежат

 

Посмотрел статью по ссылке на Geektimes - это не про нашего Petya.A. Статья еще апрельская и про другого Петю.
А сейчас мы имеем дело опять с WannaCry, только модифицированной.

Изменено пользователем Ladomir

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
11 часов назад, Ladomir сказал:

Индикатором компрометации может быть наличие файла C:\Windows\perfc.dat"

Найден способ локально остановить исполнение программы вируса-вымогателя Petya. Для этого в папке с Windows надо создать файл без расширения с именем "perfc".

Вирус, у которого есть права администратора, перед подменой MBR проверяет наличие по указанному адресу пустого файла без расширения с таким же именем, как название файла dll этого шифровальщика. Если вирус найдет такой пустой файл, то выполнение вирусной программы прекратится.

Однако если у вируса нет прав администратора, он не сможет проверить наличия пустого файла в папке "C:\Windows\". Тогда процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.


 

Изменено пользователем Ladomir

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 В общем получается, что NotPetya - это кибер-оружие, средство уничтожения данных, а не просто очень агрессивный вид шифровальщика.

Дело в том, что  файлы пользователя шифруются (повреждаются, теряются) необратимо - дешифровка не предусмотрена.

К тому же он шифрует еще и MFT (master file table). Этот файл сохраняет расположение файлов на жестком диске. Если он остается зашифрованным, нет никакого способа выяснить расположение файлов на инфицированной машине.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
23 часа назад, Ladomir сказал:

 В общем получается, что NotPetya - это кибер-оружие, средство уничтожения данных, а не просто очень агрессивный вид шифровальщика.

Дело в том, что  файлы пользователя шифруются (повреждаются, теряются) необратимо - дешифровка не предусмотрена.

К тому же он шифрует еще и MFT (master file table). Этот файл сохраняет расположение файлов на жестком диске. Если он остается зашифрованным, нет никакого способа выяснить расположение файлов на инфицированной машине.

 

Но есть IntelliRAW от R.Saver

 

Цитата

 

IntelliRAW — улучшенный алгоритм посекторного сканирования для поиска файлов по известным сигнатурам. В отличие от обычных алгоритмов поиска файлов по сигнатурам, IntelliRAW дополнительно использует информацию из остатков служебных структур файловой системы для построения предположений о началах файлов и их длине. Благодаря этому, R.saver показывает лучшие результаты, чем программы, использующие алгоритмы, основанные на простом посекторном сканировании.

 

Результат работы IntelliRAW, как и других алгоритмов такого рода, выглядит как папки с именами, соответствующие расширениям файлов, в которых лежат пронумерованные файлы соответствующих типов.

 

 

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 01.07.2017 в 12:49, queyron сказал:

крутая прога -лихо востанавливает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вчера приносят на ремонт роутер. Юзается на Телплюсе.

Чтобы проверить как с его логином подключится pppoe втыкаю шланг Телплюса

прямо себе в комп.

Как обычно получается ip локальной сети 10.5.x.x / 255.255.0.0

И вдруг бац :

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вниманию аболохнентов Тел+  !!!

 

Вы в смертельной опасности, если втыкаете провод от Тел+ прямо к себе в комп без роутера.

 

Вчера 08.08.2017 примерно в 23:11 (GMT+4) не меня была произведена атака с адреса 10.5.77.160

 

Хорошо, что AVAST умеет с этим бороться, а если бы был другой антивирус, который не умеет ?

Что тогда ? SvinnaCry ??!?!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я обезопасился. Теперь мои данные хранятся на внешнем 4 тб винте. Включаю его только по необходимости, предварительно отключившись от сети. образ винды в акронисе чтобы если что быстро восстановить ОС

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

чем люди не занимаются только бы безопасные системы не использовать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Безопасные системы - дорогие системы зачастую. Превентивные меры защиты прежде всего

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Меры защиты должны быть презервативные !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

убедил. жёсткий в контом уберу. контом ведь для жёсткого и предназначен

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти