Comments 33
Кто-то прочитал книгу Е. Касперского «Компьютерные вирусы MS-DOS» и решил написать свой one half?
+4
Ссылка в посте на новость от 24 марта. На гиктаймсе было 30 марта. На хабре было упоминание 1 апреля. Надеюсь, в ESET защиту пишут быстрее, чем "новости"? :-)
+10
Определять его они начали с 26 марта [Mar-26-2016, 10:10 CET (UTC/GMT +01:00)] http://www.virusradar.com/en/Win32_Diskcoder.Petya/detail, включён в это обновление Update 13237.
+1
Первоначально вредоносная программа была добавлена в базу антивирусных сигнатур под именем Win32/Diskcoder.A, это произошло 24 марта 2016: http://www.virusradar.com/en/update/info/13230
26 Марта это обнаружение было переименовано в Win32/Diskcoder.Petya.A
http://www.virusradar.com/en/update/info/13237
26 Марта это обнаружение было переименовано в Win32/Diskcoder.Petya.A
http://www.virusradar.com/en/update/info/13237
+1
Там всё веселее — если послать им образец перед праздниками (послал как-то в первых числах мая), то в базу он попадает очень сильно не сразу (в моём случае попал после 12 мая). Имея подписку и бесплатную авиру дома — сделал вывод не в пользу нода. Хотя по сравнению с прожорливым касперским действительно шустрее.
0
Низкий уровень — обычно, классически подразумевается работа не секторами, а со служебной информацией жесткого диска. См. "форматирование на низком уровне". С другой стороны, конечно, считая то количество уровней абстракции, что есть сейчас, работа в обход с файловой системой на уровне секторов и с таблицей разметки разделов становится "низкоуровневой". Хотелось бы, чтобы терминология в статье была консистентной и соответствующей общепринятой.
-2
«Низкий уровень» в отношении жесткого диска — обычно, классически подразумевается работа как раз работа на уровне доступа к секторам. Работа со служебной информацией — это именно работа со служебной информацией, так оно и называется. А «форматирование на низком уровне» уже примерно четверть века как заводская/лабораторная технологическая операция, которая вообще не может быть выполнена в бытовых условиях, и про неё речь, конечно же, не идет.
+5
… уже примерно четверть века… которая вообще не может быть выполнена в бытовых условиях, и про неё речь, конечно же, не идет.
Может при условии наличия сервисной программы. Не знаю, как сегодня, но некоторое время назад (7 лет) эти программы еще предоставлялись.
0
Не может, никакой сервисной программой. Магнитная головка жесткого диска физически не в состоянии провести форматирование современного «блина», сервометки наносятся намного более сильным магнитным полем на специальном стенде. Сервисные программы были и есть, но они касаются диагностики, корректировки таблицы адаптивов, прошивки и т.д. Кроме того, для доступа к программно-аппаратным средствам диагностики подключаться как правило надо не через SATA, а искать на плате выходы диагностического интерфейса.
+1
Пишу по своему опыту — 7 лет назад (не современный диск, нет. Но выше говорилось о четверти века, это точно не так), обычный интерфейс, через сервисную программу производилось форматирование. Допускаю, что сам процесс форматирования был просто профанацией (хотя и шел очень долго), но опция в сервисной программе была.
0
"После выполнения своих вредоносных функций, пользователь увидит следующий экран"… Задумался, какие же вредоносные функции выполняет пользователь...
+2
xor? а сколько там длина ключа декодер уже написали?
-1
Да, на неискушенного пользователя это действует для загрузки и запуска неизвестно чего и неизвестно от куда.
Рекомендация на все случаи жизни: не пей из лужицы, станешь.
Рекомендация на все случаи жизни: не пей из лужицы, станешь.
0
По идее этот локер менее опасен чем обычные, которые шифруют файлы. Даже с зашифрованной MFT можно восстановить много данных по сигнатурам программами типа R-Studio.
И в качестве защиты от такого типа гадости и вообще для того чтобы волосы были блестящие и шелковистые, стоит использовать Secure Boot.
И в качестве защиты от такого типа гадости и вообще для того чтобы волосы были блестящие и шелковистые, стоит использовать Secure Boot.
+3
Если у пользователя все файлы синхронизированы с облаком, то такой тип вымогателя — менее опасен, т.к. достаточно все снести и переустановить систему, + OneDrive/Dropbox/etc.
А вот обычные файловые шифровальщики — куда более опасны, т.к. пользуясь OneDrive/Google Drive/Dropbox/etc, пользователь может понадеятся на то, что у него всегда есть резервная копия. Однако если зашифрованная версия файла успела засинхронизироваться поверх оригинала, то ряд облаков не дадут восстановить прошлые версии, т.к. не поддерживают версионность (например OneDrive), и как следствие — пользы от такого «бэкапа» будет ноль. (Dropbox к счастью поддерживает версионность, но хранит старые версии не более месяца, про Google Drive не знаю).
А вот обычные файловые шифровальщики — куда более опасны, т.к. пользуясь OneDrive/Google Drive/Dropbox/etc, пользователь может понадеятся на то, что у него всегда есть резервная копия. Однако если зашифрованная версия файла успела засинхронизироваться поверх оригинала, то ряд облаков не дадут восстановить прошлые версии, т.к. не поддерживают версионность (например OneDrive), и как следствие — пользы от такого «бэкапа» будет ноль. (Dropbox к счастью поддерживает версионность, но хранит старые версии не более месяца, про Google Drive не знаю).
0
В Google Drive тоже есть версионность, но не в курсе какие там лимиты.
0
Onedrive поддерживает версионность, по крайней мере для документов office, что самое важное.
0
Раз система после шифрования не запускается, то это равносильно просто внезаптному выходу из строя жёсткого диска. Храните свои документы в Google Drive, Dropbox или другом облаке (можно даже своём или на флешке) и не будет у вас никаких проблем.
+2
А шифруются все диски или только системный?
Например, если у пользователя SSD под систему, а на HDD хранятся все важные данные — то "вымогатель" пролетает?
Например, если у пользователя SSD под систему, а на HDD хранятся все важные данные — то "вымогатель" пролетает?
0
восстанавливает ли вирус работу компьютера если заплатить? проводятся ли такие испытания? по идее вирусописатель может спалится как раз в момент оплаты.
0
Гораздо интересней как вымогается оплата, через bitcoin? Там же видно все транзакции, сколько уже сделали переводом этому вымогателю и на какую сумму?
0
Как-то с новостью опоздали: geektimes.ru/company/icover/blog/273534
0
Ну вот у меня есть свои предрассудки, я вообще не юзаю антивири, ну вот совсем, есть такое у меня, и UAC тоже на мин. Т.е. в таком варианте реальный способ только судорожно при вылете бсода вырубать комп, вытаскивать винт, подрубать его к другому компу (только не как загрузочный) делать резервы т.к. наверняка зашифровать еще Петя не успел. и все, форматить винт. И т.д.
0
Sign up to leave a comment.
Немецкая фирма обнаружила новый тип вымогателя