Comments 81
Если вирус получит каким-либо образом права пользователя входящего в группу Administrator, в AD, то через psexec, он положит всю сеть и ему не нужна даже будет уязвимость в протоколе SMB?
Так же здесь описывалось в одной из тем, как троянцы способны обойти UAC.
На днях в процессах вдруг активизировался стрим (съемка с экрана, чем я не пользуюсь вообще, не видеоблогер). Мин 15. Обрубила сеть, начала проверку. Какой-то Tool.InstrSrv.5 доктор веб его описывает, как ретрогеймер какой-то. В %AppData% был вирусован некий nssm.exe. А так же нашелся некий драйвер (Dllкакой-то, уж не помню).
У меня порты закрыты, SMB отключен. Выходит, только утилита от GeForse. Была удалена со всеми папками и файлами, даже в Installer. Вроде все в порядке. Только не смотрела реестр. Сейчас чищу, валяются какие-то ошибочные ветки с physxCore. Дырой могла стать только NVIDIA! И ее утилиты.
Кстати, не последнее место в обнаружении заняла утилита от Др. Веб, только не по умолчанию, а при ручных настройках сканирования со всеми выставлеными галочками. Что за ретрогеймер такой, я не нашла (как ПО). Есть сайты, настроенные по веб-кольцу Ретрогеймер.
упоминаемый в СМИ как Petya, Petya.A, ExPetya
Этот код в целом идентичен используемому вредоносной программой Petya (за исключением текста требования)
Так этот вирус это Petya или другой? Или есть еще один Petya? Проясните пожалуйста)
Ну, как я поняла, это одна из уязвимостей. На пером этапе. Так же используются и утилиты для мониторинга сети на предмет апдейтоов для программ. Так, здесь описывали уязвимость с Nvidia, GeForse Experiense. (Кстати, именно с ней была история).
Так же здесь описывалось в одной из тем, как троянцы способны обойти UAC.
На днях в процессах вдруг активизировался стрим (съемка с экрана, чем я не пользуюсь вообще, не видеоблогер). Мин 15. Обрубила сеть, начала проверку. Какой-то Tool.InstrSrv.5 доктор веб его описывает, как ретрогеймер какой-то. В %AppData% был вирусован некий nssm.exe. А так же нашелся некий драйвер (Dllкакой-то, уж не помню).
У меня порты закрыты, SMB отключен. Выходит, только утилита от GeForse. Была удалена со всеми папками и файлами, даже в Installer. Вроде все в порядке. Только не смотрела реестр. Сейчас чищу, валяются какие-то ошибочные ветки с physxCore. Дырой могла стать только NVIDIA! И ее утилиты.
Кстати, не последнее место в обнаружении заняла утилита от Др. Веб, только не по умолчанию, а при ручных настройках сканирования со всеми выставлеными галочками. Что за ретрогеймер такой, я не нашла (как ПО). Есть сайты, настроенные по веб-кольцу Ретрогеймер.
Вам, как я понимаю, с лечащей утилиты отправлены логи. И туда попал некий драйвер (не знаю, диски, на которых найден у вас отображаются или нет? у меня в системе утилитой он не показан, как вирусованный, залочен запасной). Скорее всего, он лаборатории неизвестен и его задетектило. Но дело в том, что мне поменяли видеочип, изменился MAC-адрес и, соответственно, драйвера. единственные, что подошли — эти. На офсайте производителя другие. Папочка подписана вот так обзывается «e7987a127266dea674ea95306aa9ba7ae851ba48» сами дрова Qualcomm Atheros AR956 Wireless, полностью чистые рабочие, ничем не зараженные. Скорее всего, залит на хостинг архив без названия и ему присвоено автоматически такое.Я ошибочно их отправила. Производитель Qualcomm Atheros Communications inc. Т.е. в системе определяется производитель и сертификат. Если их добавят в базу, такие как я, не смогут пользоваться беспроводный соединением((
В общем, это PCI. Скорее всего, была заменена сетевуха на ноутбуке. Саму коробку я не открывала, но мастерам я отказала в устаноке виндовс. У меня Recovery с ключом владельца в комплекте. А посему, мне не сменили MAC в биосе, Что пришлось делать самой в т.ч. Как минимум, при звонке отказались, что мне более ничего не меняли.
Сейчас меня все устраивает, тем более, что PCI в разы лучше Broadcom. Но если их драйвера внесут в базу (они официальны, независимо от того, что были не в exe), то люди не смогут пользоваться PCI-сетевухами.
К сожалению, у меня не было другого выхода… Экзешники не подберешь по Id оборудования типа VID/PID. Они все разные. Только распакованные.
Ну если резервных копий нет, и загрузку не обломали по пути, на сколько я понимаю — нельзя. Файлы то зашифровываются, и без ключа, на домашних мощностях их не расшифровать.
А систему поднять, думаю не для кого не проблема, но толку, самое дорогое это данные.
Лет пять(ну, наверное, более) назад пробовал такой «фокус». Создал сильно ограниченного пользователя, которому разрешено запускать только ТС, Opera, IceBookReader и еще пяток программ(речь, разумеется, о домашнем компе) без которых ну никак. Разрешил автозапуск с флешки. А потом экспериментировал с флешками зараженными скринлокерами, бутлокерами, псевдокачалками из инета. Ничего из них не сработало.
Может имеет смысл поступать так и сейчас.
Лично от себя я вижу
— нужно сегментировать сети. 12544 воровал учетки и от них распространялся
— никаких записей неразрешенным программам на диск в корень, системные папки и темповые папки
— фильтрация в почте на исполняемые файлы и ссылки
— закрытие всех ненужных сервисов и шар
На сколько понял, RSA ключом они шифровали ключ для зашифровки данных (извините за тавтологию).
А солью использовался тот код который выводиться на экран.
Соответсвенно им не нужно, что бы машина отправляла приватный ключ, он у них один для всех, а вот код отличается, но его скидывают сами жертвы.
Надеюсь специалисты из Dr.Web меня поправят, если в чем-то ошибаюсь.
Пользователей Open/LibreOffice опять забыли. Так и сидят, бедняги, незашифрованные :)
А вообще Медок долго шел к своей «славе». стоит почитать хотя бы тут. Мне крайне интересно, что за системные вызовы использовала бухгалтерская программа, что все антивирусы без исключений считали ее вредоносной?
При включённом белом списке возможно ли заражение, когда пользователь с правами User запускает фейковый офисный файл с полученного письма?
В процессе шифрования ещё на живой системе можно ли в диспетчере задач увидеть процесс вируса?
Некоторые писали, что у них произошло заражение через сеть даже тех компьютеров, у которых стояли мартовские патчи. Это правда? Интересует именно вопрос заражения через уязвимость SMB.
ЛК пишут в своём блоге, что нет возможности расшифровать файлы: https://blog.kaspersky.com/new-ransomware-epidemics/17314/. Получается, что нет пути восстановления?
Cureit на данный момент может определить наличие файлов вируса в пользовательских файлах?
Пользователи через утилиту и лайфсд лечились. Если естественно дело не было запущено. По слухам мы ловили сам процесс шифрования, поэтому при актуальном drweb файлы могли и не зашифроваться.
> Некоторые писали, что у них произошло заражение через сеть даже тех компьютеров, у которых стояли мартовские патчи
Очень много таких сообщений. Связано это видимо с тем, что червь мог использовать для распространения не только SMBv1, но и украденные учетки
Насколько я помню Петя был такой безобидный шифровальщик или это была «проба пера» у авторов…
Такие дела. На остальные вопросы сейчас постараемся ответить.
И, помимо всего этого — тадамм — ни экзешник Медка, ни его апдейты, не имеют цифровых подписей, поэтому при апдейте медок свободно запустит то, что пришло ему в виде обновления, без каких-либо проверок.
по рекомендациям поддержки Медка пользователи добавляли Медок в исключения антивируса
по рекомендациям поддержки Медка пользователи добавляли Медок в исключения антивируса
Точно так же ведёт себя игра Blade Symphony — антивирус орёт на кривое поведение программы, а техподдержка рекомендует добавить в исключения. (снёс её нафиг)
Сервер как работал так и работает. Единственное что сделал зашел через VPN на роутер (mikrotik) и отключил всю сетку от инета в момент атаки. Исключение их правил?
Возможно у Медка та же ситуация. А вот теперь можно прикинуть репутационные потери и подумать что в итоге дешевле.
Муниципалитет очень любит. У них ворох разнообразного софта, часть еще на фокспро писана. Подозреваю что тамошние программисты еще живых мамонтов видели :)
Я так понял, что вы намекаете на то, что сами разработчики «Спарго Технологии» внедрили вирус в «ePrica»?
А можно например скопировать первый сектор диска С и загрузочную запись windows и при загрузке системы всегда их перезаписывать сохраненной копией?
Если есть plantext и ciphertext можно ли получить ключ и подойдет ли он ко всем файлам на диске, или диск зашифрован как единый файл?
Ребятки. Ау. В теме есть кто еще? особенно нужен автор!
на днях я писала, что подцепила некий вирус.
На днях в процессах вдруг активизировался стрим (съемка с экрана, чем я не пользуюсь вообще, не видеоблогер). Мин 15. Обрубила сеть, начала проверку. Какой-то Tool.InstrSrv.5 доктор веб его описывает, как ретрогеймер какой-то. В %AppData% был вирусован некий nssm.exe. А так же нашелся некий драйвер (Dllкакой-то, уж не помню).
У меня порты закрыты, SMB отключен. Выходит, только утилита от GeForse. Была удалена со всеми папками и файлами, даже в Installer. Вроде все в порядке. Только не смотрела реестр. Сейчас чищу, валяются какие-то ошибочные ветки с physxCore. Дырой могла стать только NVIDIA! И ее утилиты.
Кстати, не последнее место в обнаружении заняла утилита от Др. Веб, только не по умолчанию, а при ручных настройках сканирования со всеми выставлеными галочками. Что за ретрогеймер такой, я не нашла (как ПО). Есть сайты, настроенные по веб-кольцу Ретрогеймер.
Я закрыла удалила утилиту и сам вирус, пару драйверов (один нормальный, а один, судя по времени, загружен был в тот же день и лежал в %AppData%). Тестила утилитой Др. веб. Три дня у меня нормальная загрузка, нет никаких чекдисков (кстати, правильнее, CHKDSK, check disk). Там по тексту было такое, что вами описываемый вирус нейтрализует одноименный файл без расширения (у меня включены).
Я кое-что нашла. Это расширения не имеет, читается блокнотом (открывается, как txt), называется "9FB6DA6708E9", похож на кеш от адобовской графики (так сохраняются история и кэш эскизов), но не в корне диска и имеют расширение tmp.
Выглядит так:
Помня, что название должно быть идентично, по нему нашла такие же в темпах %AppData% (не темпах адоб). Напомню, я отправила отчет (он отправляется автоматически в лечащей утилите). Я чищу мусор, кэш, эскизы ежедневно. У меня никогда ничего не скапливается. Я малость трухаю, потому прошу заранее простить за возможные опечатки и неточности. У меня уникальные эскизы, рукописные авторские тексты, графические работы. Я очень прошу меня понять! Ищите вот такое, если что. Я не знаю, что это. Дата создания давняя, но не-бы-ло. Саму загрузку какого-то вируса я обрубила и начала лечть.
Заранее благодарна за понижение кармы......
Ну, я просто была не уверена, что это. Этот файл без расширения появился у меня несколько позже чистки (вроде все вируса удалила) обнаружился в корне диска С. С одной стороны — он похож по своему названию на tmp с эскизами (мусор от графической программы). С другой (если сверить имена логов после проверки вашей утилитой Dr.Web CureIt) наполнение того файла (я его открыла и показала) — копия названий этих логов в темпах папки Dr. Web.(с такими названиями файлы создаются после проверок, имеют в названии по 40 символов в верхнем регистре, заглавных букв. Тем не менее — это ни то, ни другое. А, скопировав в буфер имя файла, я нашла еще три в %AppData%
Я отлично помню эту статью (не подробности кода, но все таки)!
Контроль своего повторного запуска энкодер осуществляет с помощью файла, сохраняемого им в папке C:\Windows. Этот файл имеет имя, соответствующее имени троянца без расширения. Поскольку распространяемый злоумышленниками в настоящий момент образец червя имеет имя perfc.dat, то файл, предотвращающий его повторный запуск, будет иметь имя C:\Windows\perfc. Однако стоит злоумышленникам изменить исходное имя троянца, и создание в папке C:\Windows\ файла с именем perfc без расширения (как советуют некоторые антивирусные компании), уже не спасет компьютер от заражения.
Итак. Снаружи в корне диска нечто без расширения, а внутри нечто пролеченное утилитой или похожее на код, оставленный утилитой. Поэтому и только поэтому я описала все здесь. Как вы сами писали выше, не все известны и т.п. и т.д.Помощь в лечении мне не требуется. Сейчас все в порядке, протестила все компы и даже прошила роутер. Все чисто. Доктор, ваш диагноз?
Я малость трухаю, потому прошу заранее простить за возможные опечатки и неточности. У меня уникальные эскизы, рукописные авторские тексты, графические работы. Я очень прошу меня понять!
Так начните с архивирования на съемный носитель (хотя бы флешки) или копирования всего ценного в облако. У вас же все информация еще доступна? Когда на компе не будет ничего реально ценного, можно уже заниматься лечением и прочим.
Ни в коем случае! Разнести вирус???? Прежде всего — меня спасала быстрота реакции и вырубленный интернет! Затем лечение, а уж потом файлы в облако? Вы хотели бы, чтоб через вас прошли зараженные чьи-то файлы?
Кстати, присваиваются хэши названий архивов обычно там, где загружаемый файл на файлообменник или какой хостинг, не имеет присвоенного загружающим имени… Пока сверяю, у моего драйвера названия разнятся. Я имею в виду вот это «e7987a127266dea674ea95306aa9ba7ae851ba48». Вы читали мои комменты выше? В таком виде я взяла, потому как мне нужны были распакованные индивидуально под серийник нестандартного оборудования. Залочило архив с названием в виде хеша. А сам драйвер в системе чист. Проверяла на всякий случай антивирусами от разных компаний. У всех свои базы, как я понимаю.
СНОВА ОБНОВЛЕН: Технические подробности новой глобальной атаки Trojan.Encoder.12544 (в разных источниках — Petya и т.п.)