Комментарии 42
Может, для борьбы с такого типа зловредами есть смысл создать микроверсию антивируса для загрузки с СD/USB Flash?
fixmbr уже изобрели. Его можно найти в консоли восстановления на любом установочном диске Windows.
Согласен, но тот, кто может воспользоватся fixmbr сможет воспользоваться и способом описаным в статье (то есть у него есть некоторые понятия о том, как все работает).
А я говорю о обычных пользователях, которые умеют только включить компьютер, залезть в интернет и послушать музыку и подхватили эту штуку. Для них было бы весьма удобно загрузить с сайта антивирусной компании исполняемый файл (запустить на другом компьютере (у друзей, на работе, итд)), который сделает загрузочную флешку с антивирусным продуктом, которая полечит зараженный компьютер.
А я говорю о обычных пользователях, которые умеют только включить компьютер, залезть в интернет и послушать музыку и подхватили эту штуку. Для них было бы весьма удобно загрузить с сайта антивирусной компании исполняемый файл (запустить на другом компьютере (у друзей, на работе, итд)), который сделает загрузочную флешку с антивирусным продуктом, которая полечит зараженный компьютер.
Есть же "спасательный диск"
Дык есть такой диск. С сайта скачивается. Там линух с антивирусом. Сканирует и лечит все.
Дак есть же касперский на основе WinPE
сорри, не знал, поскольку очень редко пользуюся антивирусными продуктами.
Да Вы счастливый человек!
Да не, ему скорее просто вирусы не мешают работать.
Тут все очень просто.
Использую несколько отдельных компьютеров с четко определенными задачами, которые выполняются на каждом из них:
— работа с документами и информацией, которая имеет для меня некоторую ценность выполняется с компьютера1 + бекапы на внешнемвинте1 + имидж винта со всеми необходимыми рабочими данными, который делаю с некоторой регулярностью и храню на внешних дисках + на других домашних компьютерах.
— просмотр видео, фото, хранилище личных данных (фото, видео, старые письма, книги, музыка) на компьютере2 + бекапы на внешних винтах 2 и 3 и на CD/DVD дисках.
— браузинг «стремных» сайтов (форумы по комп. безопасности, сайты-фейки, крякохранилища, итд.) с отдельного компьютера3 (если не лень вставать), либо из под виртуалки на компьютере1 или ноутбуке, или с iPhone/iPod (если вообще лень вставать, или сижу не за столом).
— работа со «стремным» софтом (исходники вирусов, софт полученный с соответствующих ненадежных источником) выполняется либо на отдельном компьютере (после работы с такими вещами опять таки восстанавливаю все из бекапа), либо из под виртуалки.
— осуществление покупок с помощью кредитных карточек делаю с iPhone/iPod (там вроде побезопаснее чем с компьютера), или (очень редко) с компьютера1.
Если на каком либо из устройств подхватил вирус либо с ходу восстанавливаю систему из бекапа (если на каком либо из важных для работы устройств — компьютер1 либо ноутбук), либо отключаю его от локалки до того времени, как не востановлю систему из бекапа (если лень это делать в сию минуту).
Не вижу причин устанавливать антивирусное ПО, которое меня просто раздражает своими глупыми ограничениями, периодическим напоминанием о том, что «А Вы знаете, что у Вас антивирусное ПО отключено? Это же очень опасно» и довольно частым торможением.
Использую несколько отдельных компьютеров с четко определенными задачами, которые выполняются на каждом из них:
— работа с документами и информацией, которая имеет для меня некоторую ценность выполняется с компьютера1 + бекапы на внешнемвинте1 + имидж винта со всеми необходимыми рабочими данными, который делаю с некоторой регулярностью и храню на внешних дисках + на других домашних компьютерах.
— просмотр видео, фото, хранилище личных данных (фото, видео, старые письма, книги, музыка) на компьютере2 + бекапы на внешних винтах 2 и 3 и на CD/DVD дисках.
— браузинг «стремных» сайтов (форумы по комп. безопасности, сайты-фейки, крякохранилища, итд.) с отдельного компьютера3 (если не лень вставать), либо из под виртуалки на компьютере1 или ноутбуке, или с iPhone/iPod (если вообще лень вставать, или сижу не за столом).
— работа со «стремным» софтом (исходники вирусов, софт полученный с соответствующих ненадежных источником) выполняется либо на отдельном компьютере (после работы с такими вещами опять таки восстанавливаю все из бекапа), либо из под виртуалки.
— осуществление покупок с помощью кредитных карточек делаю с iPhone/iPod (там вроде побезопаснее чем с компьютера), или (очень редко) с компьютера1.
Если на каком либо из устройств подхватил вирус либо с ходу восстанавливаю систему из бекапа (если на каком либо из важных для работы устройств — компьютер1 либо ноутбук), либо отключаю его от локалки до того времени, как не востановлю систему из бекапа (если лень это делать в сию минуту).
Не вижу причин устанавливать антивирусное ПО, которое меня просто раздражает своими глупыми ограничениями, периодическим напоминанием о том, что «А Вы знаете, что у Вас антивирусное ПО отключено? Это же очень опасно» и довольно частым торможением.
нет просто после определенной точки антивирусы кажутся лишь обузой.
Я думаю обычно кода разблокировки нет, всмысле не подходит никакой. Деньги за SMS та они получат, а потом ведь можно вывести «ещё одно SMS».
А, не судьба, просто загрузиться с загрузочного диска,
и в зависимости от версии MBR ввести:
fdisk /mbr
ну, или там типа:
FIXBOOT
FIXMBR
I would..
и в зависимости от версии MBR ввести:
fdisk /mbr
ну, или там типа:
FIXBOOT
FIXMBR
I would..
Если я не ошибаюсь, то оно ещё и таблицу разделов портит.
А давно портит?
Именно эта модификация не должна. Если не обманывает память, то Trojan.MBRlock.1 портил.
vms.drweb.com/virus/?i=589788
Или может я просто неправильно понял строку «НЕ рекомендуется для лечения использовать утилиты, позволяющие восстанавливать стандартный MBR, т.к. в этом случае не происходит восстановление таблицы разделов диска.»?
Или может я просто неправильно понял строку «НЕ рекомендуется для лечения использовать утилиты, позволяющие восстанавливать стандартный MBR, т.к. в этом случае не происходит восстановление таблицы разделов диска.»?
Я правильно понимаю, что на «фискальном чеке из терминала» этого кода и в помине не будет?
Ээээ, ребята, без обид — но мы немного раньше об этому уже писали. Более того, линк был и на Хабре.
Хотя бы укажите, у кого пальма первенства.
Хотя бы укажите, у кого пальма первенства.
Мы видели тот пост, но все же нас очень просили осветить данную тему, кроме того, написано несколько в другом стиле, поэтому каждому — свое.
Я тоже видел этот пост. И название Вашей статьи — «Извлечение ключа разблокировки из MBR-блокера». Только вот в тексте я нигде не увидел собственно извлечения ключа, который, кстати, легко виден в дампе заражённой MBR.
Поэтому просьба осветить тему остаётся актуальной :)
Поэтому просьба осветить тему остаётся актуальной :)
Вы пишете: «легко виден в дампе заражённой MBR.» Мы написали тоже самое в P.S.
Я пишу так, потому что мы статью писали под другим названием, нас ни о чём не просили да и цель статьи была иная.
Ладно, раз Вам нравится и всем нравится — значит отлично. В любом случае радует, что на Хабре описания вредоносов появляются даже раньше, чем даже на официальных ресурсах :)
Ладно, раз Вам нравится и всем нравится — значит отлично. В любом случае радует, что на Хабре описания вредоносов появляются даже раньше, чем даже на официальных ресурсах :)
Картинки дампов стоило сделать кликабельными, так как видно плоховато…
fixboot/fixmbr из консоли восстановления и всех делов.
Плюс ко всему, если мне не изменяет память, boot не одна копия даже на FAT32, не говоря уже о NTFS. Аналогично и с MBR, его винда сейвит куда-то в файл, но можно по сигнатуре найти. Да любой загрузочный диск хоть с Nortod Disk Editor или WinHex, или ваще любая софтина и дел на пару минут.
Плюс ко всему, если мне не изменяет память, boot не одна копия даже на FAT32, не говоря уже о NTFS. Аналогично и с MBR, его винда сейвит куда-то в файл, но можно по сигнатуре найти. Да любой загрузочный диск хоть с Nortod Disk Editor или WinHex, или ваще любая софтина и дел на пару минут.
Далее, происходит проверка текущей даты и времени с эталонным значением. В моем случае, это значение (очевидно, представленное в удобном виде) равнялось 04.06.2011 15:04. Сообщение с требованием об оплате будет появляться только в том случае, если текущий отпечаток времени меньше, чем эталонный. А если он больше, то блокер восстанавливает оригинальный МБР и загружает компьютер, как ни в чем не бывало.
Перевод системных часов в таком случае должен бы выполнить роль антивируса :)
Или я чего-то недопонял?
Перевод системных часов в таком случае должен бы выполнить роль антивируса :)
Или я чего-то недопонял?
> Ваш компьютер заблокирован за просмотр (перечесление всяких вкусняшек)
Какой шаловливый компьютер. Надо бы поставить фаервол, вдруг мой тоже тихонько в сети смотрит.
Какой шаловливый компьютер. Надо бы поставить фаервол, вдруг мой тоже тихонько в сети смотрит.
Dis is one half.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Извлечение ключа разблокировки из MBR-блокера