Немецкая фирма обнаружила новый тип вымогателя

[AndreyUA]

Кто-то прочитал книгу Е. Касперского «Компьютерные вирусы MS-DOS» и решил написать свой one half?

[ertaquo]

Офигительная книга, кстати. Читал ее в свое время как приключенческий роман :)

[Old_Chroft]

Ссылка в посте на новость от 24 марта. На гиктаймсе было 30 марта. На хабре было упоминание 1 апреля. Надеюсь, в ESET защиту пишут быстрее, чем "новости"? :-)

[Lertmind]

Определять его они начали с 26 марта [Mar-26-2016, 10:10 CET (UTC/GMT +01:00)] http://www.virusradar.com/en/Win32_Diskcoder.Petya/detail, включён в это обновление Update 13237.

[esetnod32]

Первоначально вредоносная программа была добавлена в базу антивирусных сигнатур под именем Win32/Diskcoder.A, это произошло 24 марта 2016: http://www.virusradar.com/en/update/info/13230
26 Марта это обнаружение было переименовано в Win32/Diskcoder.Petya.A
http://www.virusradar.com/en/update/info/13237

[Greendq]

Там всё веселее — если послать им образец перед праздниками (послал как-то в первых числах мая), то в базу он попадает очень сильно не сразу (в моём случае попал после 12 мая). Имея подписку и бесплатную авиру дома — сделал вывод не в пользу нода. Хотя по сравнению с прожорливым касперским действительно шустрее.

[gecube]

Низкий уровень — обычно, классически подразумевается работа не секторами, а со служебной информацией жесткого диска. См. "форматирование на низком уровне". С другой стороны, конечно, считая то количество уровней абстракции, что есть сейчас, работа в обход с файловой системой на уровне секторов и с таблицей разметки разделов становится "низкоуровневой". Хотелось бы, чтобы терминология в статье была консистентной и соответствующей общепринятой.

[DrPass]

«Низкий уровень» в отношении жесткого диска — обычно, классически подразумевается работа как раз работа на уровне доступа к секторам. Работа со служебной информацией — это именно работа со служебной информацией, так оно и называется. А «форматирование на низком уровне» уже примерно четверть века как заводская/лабораторная технологическая операция, которая вообще не может быть выполнена в бытовых условиях, и про неё речь, конечно же, не идет.

[MacIn]

… уже примерно четверть века… которая вообще не может быть выполнена в бытовых условиях, и про неё речь, конечно же, не идет.

Может при условии наличия сервисной программы. Не знаю, как сегодня, но некоторое время назад (7 лет) эти программы еще предоставлялись.

[DrPass]

Не может, никакой сервисной программой. Магнитная головка жесткого диска физически не в состоянии провести форматирование современного «блина», сервометки наносятся намного более сильным магнитным полем на специальном стенде. Сервисные программы были и есть, но они касаются диагностики, корректировки таблицы адаптивов, прошивки и т.д. Кроме того, для доступа к программно-аппаратным средствам диагностики подключаться как правило надо не через SATA, а искать на плате выходы диагностического интерфейса.

[MacIn]

Пишу по своему опыту — 7 лет назад (не современный диск, нет. Но выше говорилось о четверти века, это точно не так), обычный интерфейс, через сервисную программу производилось форматирование. Допускаю, что сам процесс форматирования был просто профанацией (хотя и шел очень долго), но опция в сервисной программе была.

[DrPass]

> Допускаю, что сам процесс форматирования был просто профанацией
Это скорее всего и было. Дело в том, что команда форматирования в АТА никуда не делась. Жесткий диск её просто проигнорирует, но если программа глуповатая, она будет честно проходить по всем трекам с этой командой.

[Paul_Smith]

"После выполнения своих вредоносных функций, пользователь увидит следующий экран"… Задумался, какие же вредоносные функции выполняет пользователь...

[lostpassword]

А вот нечего что не попадя запускать!!!1

[mickvav]

xor? а сколько там длина ключа декодер уже написали?

[pwrlnd]

Называется читал статью по диагонали:

также использует свой загрузчик, который размещает в первых секторах раздела диска. Оригинальное содержимое секторов шифруется простой операцией XOR и хранится на диске.

Толку от расшифровки загрузчика windows?

[sweetbrick]

Да, на неискушенного пользователя это действует для загрузки и запуска неизвестно чего и неизвестно от куда.
Рекомендация на все случаи жизни: не пей из лужицы, станешь.

[MgmZog]

По идее этот локер менее опасен чем обычные, которые шифруют файлы. Даже с зашифрованной MFT можно восстановить много данных по сигнатурам программами типа R-Studio.
И в качестве защиты от такого типа гадости и вообще для того чтобы волосы были блестящие и шелковистые, стоит использовать Secure Boot.

[pwrlnd]

По идее этот локер менее опасен чем обычные, которые шифруют файлы

Тем более этому локеру нужны права администратора, когда обычному шифровальщику достаточно доступа к файлам пользователя на запись.

[qrck13]

Если у пользователя все файлы синхронизированы с облаком, то такой тип вымогателя — менее опасен, т.к. достаточно все снести и переустановить систему, + OneDrive/Dropbox/etc.
А вот обычные файловые шифровальщики — куда более опасны, т.к. пользуясь OneDrive/Google Drive/Dropbox/etc, пользователь может понадеятся на то, что у него всегда есть резервная копия. Однако если зашифрованная версия файла успела засинхронизироваться поверх оригинала, то ряд облаков не дадут восстановить прошлые версии, т.к. не поддерживают версионность (например OneDrive), и как следствие — пользы от такого «бэкапа» будет ноль. (Dropbox к счастью поддерживает версионность, но хранит старые версии не более месяца, про Google Drive не знаю).

[Lerg]

В Google Drive тоже есть версионность, но не в курсе какие там лимиты.

[qrck13]

Нужно еще убедится, что версионность полноценная. Например в том-же OneDrive вроде как есть версионность для офисных документов. Но стоит поверх документа записать какой-нибудь мусор — доступ к старым версиям теряется (т.е. оригинал документа не восстановить никак).

[Lerg]

Да, полноценная.

[Xaliuss]

Onedrive поддерживает версионность, по крайней мере для документов office, что самое важное.

[qrck13]

Только работает она, эта версионность, криво, и от крипто-локеров не спасет, что важно.
В частности — если записать поверх файла мусор (или зашифрованную версию файла) — то доступ к версиям теряется, и уже не восстановить никак оригинальный документ. Я проверял. Можете сами проверить тоже.

[Lerg]

Раз система после шифрования не запускается, то это равносильно просто внезаптному выходу из строя жёсткого диска. Храните свои документы в Google Drive, Dropbox или другом облаке (можно даже своём или на флешке) и не будет у вас никаких проблем.

[foxmuldercp]

В облаке И своём "облаке на флешке".

[Geograph]

А шифруются все диски или только системный?
Например, если у пользователя SSD под систему, а на HDD хранятся все важные данные — то "вымогатель" пролетает?

[roboter]

восстанавливает ли вирус работу компьютера если заплатить? проводятся ли такие испытания? по идее вирусописатель может спалится как раз в момент оплаты.

[Veliant]

Функция расшифровки после ввода корректного ключа в коде присутствует. Вопрос лишь в том, высылают ли ключ.

[DjOnline]

Гораздо интересней как вымогается оплата, через bitcoin? Там же видно все транзакции, сколько уже сделали переводом этому вымогателю и на какую сумму?

[vkudrik]

Как-то с новостью опоздали: geektimes.ru/company/icover/blog/273534

[w_bishop]

Ну вот у меня есть свои предрассудки, я вообще не юзаю антивири, ну вот совсем, есть такое у меня, и UAC тоже на мин. Т.е. в таком варианте реальный способ только судорожно при вылете бсода вырубать комп, вытаскивать винт, подрубать его к другому компу (только не как загрузочный) делать резервы т.к. наверняка зашифровать еще Петя не успел. и все, форматить винт. И т.д.