Комментарии 30
Далее вредоносная программа запускает на исполнение файл клиента Tor для установления подключения со своим C&C-сервером на 85-й порт. После подключения к серверу, вымогатель отображает пользователю сообщение с требованием выкупа.А если соединение с C&C-сервером установить не удастся, то ключ шифрования не будет загружен и файлы не будут зашифрованы?
<...>
После этого Ransom32 запускает процедуру шифрования файлов для следующих расширений.
<...>
Новый ключ шифрования генерируется для каждого файла. Ключ шифруется с использованием алгоритма RSA и публичного ключа, который загружается с управляющего сервера в процессе первого подключения.
+2
Ну вот, теперь из-за этих уродов антивирусы начнут блокировать приложения на NW.js и Electron!
+1
… Пока не научатся полноценно анализировать Javascript код. Интересно, кто из AV вендоров первый встроит себе V8?
+1
Если я правильно помню, то уже 1-2 года назад что-то было реализовано (анализ JS). Возможно сейчас уже многие это умеют.
0
Насколько мне известно, есть JavaScript сигнатуры для анализа веб-трафика (в комплексных продуктах); и есть анализ вызовов WinAPI, не зависящий от того, откуда они дергаются. Анализ же нативного исполняемого кода на порядок более глубок, там возможна куча эвристик и т.д.
Было бы здорово, если бы специалисты ESET пролили свет на этот момент.
Было бы здорово, если бы специалисты ESET пролили свет на этот момент.
0
Есть анализаторы, но весьма глупые. Их можно атаковать под разными углами. Например циклами на миллионы итераций, чтобы анализатор затаймаутился и так далее. Мало того, их легко детектировать, а следовательно и не запускать зловред вообще и не попадаться на удочку.
0
Таким образом, злоумышленники могут просто адаптировать вымогатель для платформ Linux и OS X.
Напомнило старую шутку:
a: а linux'вская версия gcc может exe'шник выдать?
b: Может.
b: g++ file.c -o file.exe
b: ./file.exe — всё работает
А главное адаптировать пользователей линукса чтобы они скачали какой-то scr файл, затем сделали chmod +x и затем выполнили ( подозреваю что еще и с рут правами ).
А так да, адаптировать легко.
+2
Зачем рут права?
Документы у пользователя все под его учеткой, а значит шифровальщик до них доберется.
Ну да, у вас будет рабочая не поврежденная ОС. Но это не спасет доки.
Документы у пользователя все под его учеткой, а значит шифровальщик до них доберется.
Ну да, у вас будет рабочая не поврежденная ОС. Но это не спасет доки.
0
Рут права затем, что привыкли уже люди так писать. Разумеется правильно написанная программа обдерет линукс пользователя не хуже чем любого другого. Но много ли их пишут, правильных то? Это во-первых. А во вторых как я уже говорил — на линукс систему нужно как-то попасть, и это как раз главная сложность, упускаемая в подобных новостях.
+1
Попадет так, как большая часть вирусни попадает… Нужно будет некоторое ПО, скачают его из сомнительного источника, запустят… Получат результат.
Если уж всякие sourceforge'и засветились на всовывании в дистры мусора, то вполне можно ожидать что неискушенному пользователю линукса, который не всегда обновляется через рпеозитории и уж тем более не занимается компиляцией из исходников, вирусня придет вполне традиционными способами.
Если уж всякие sourceforge'и засветились на всовывании в дистры мусора, то вполне можно ожидать что неискушенному пользователю линукса, который не всегда обновляется через рпеозитории и уж тем более не занимается компиляцией из исходников, вирусня придет вполне традиционными способами.
+3
может затем, что без рут прав он не запустит файлы
в папках C:\Users\%UserName% и %TEMP% %корень диска% %сменный носитель%
Ну а если у вас еще не измена ассоциация на scr файлы, то мне вас жаль!
Астрал Отчет вот хотят права админа… Ребята из Астрала, стыд и срам и пепел на вашу голову!!!
в папках C:\Users\%UserName% и %TEMP% %корень диска% %сменный носитель%
Ну а если у вас еще не измена ассоциация на scr файлы, то мне вас жаль!
Астрал Отчет вот хотят права админа… Ребята из Астрала, стыд и срам и пепел на вашу голову!!!
0
В списке расширений нет .1cd; значит это не наших умельцев рук дело.
0
А что такое .1cd? Что-то поиск сходу ничего внятного не выдал.
0
Как это не выдал? =D Первый результат — файлы баз 1C.
0
Ха, ну вы меня прям за живое зацепили. Смотрите, я специально собрал первые 10 результатов по каждому из запросов, которые я искал:
По запросу ".1cd format":
По запросу ".1cd extension":
По запросу ".1cd description":
По запросу ".1cd structure":
По запросу ".1cd file":
Причем всевозможные «How to Open 1CD File» — это тупо дорвеи, которые предлагают очистить компьютер от ненужных файлов 1cd и скачать специальный 1cd universal viewer, и т.д. и т.п.
По запросу ".1cd format":
- ICD-10 Coding Structure | CIHI
- G2N | ICD-10 Structure: Format of ICD-10-PCS
- [PDF]Format of ICD-10 PCS (Inpatient Procedural Coding)
- [PDF]The Differences between ICD-9 and ICD-10 — UnityPoint ...
- List of ICD-9 codes — Wikipedia, the free encyclopedia
- ICD-10-CM — Centers for Disease Control and Prevention
- [PDF]ICD-10-CM/PCS The Next Generation of Coding Fact Sheet
- Dzuma — (audiobook, Polish edition) 1CD (format mp3 ...
- [PDF]ICD-9 and ICD-10 Diagnosis Code Comparison — NCTracks
- What is ICD? What Opens a ICD? File Format List from ...
По запросу ".1cd extension":
- File Extension 1CD — What is .1cd file? How to Open 1CD File
- file extension 1cd — Главная — Uol
- .1cd File Extension — Software to open 1cd files
- File Extension 1Cd — blogzentertainment
- Open file extension 1cd: 1CDファイル — PC Pitstop
- ICD File — What is it and how do I open it? — File.org
- Open .1CD (Best)
- 1cd — Common File Extensions — awdit
- File Formats Recovered By PhotoRec — CGSecurity
- stricter check for .1cd file — testdisk — TestDisk & PhotoRec
По запросу ".1cd description":
- Help. 2010 .1cd. CAM.dhrZ — Kickass Torrents
- Download Jai Veeru 2009 .1CD DVDRip.XviD Team IcTv ...
- Download Darling A Killer Love Story (2007) 1CD — DvDRip ...
- Win32/Filecoder.NCS | ESET Virusradar
- Win32/Filecoder.NCN | ESET Virusradar
- Trojan.Ransomcrypt.M | Symantec
- Download Not A Love Story.2011.(Audio Cleaned).1CD MC ...
- [PDF]Word Template — Check Point Blog
- Trojan.Encoder.398 — Dr.Web — innovative IT ...
- CryptoLocker-v3 Ransomware Hits Europe and USA ...
По запросу ".1cd structure":
- Engineering Software Crack, Key, Licence Intergraph Smartplant
- SoftwareCK -> software.ck@gmail.com — eLumit
- Oil and Gas / Petrochemical / Petroleum and other… — Altova
- Topics from the 8th Annual UNCG Regional Mathematics and ...
- How can i build the simplest dc inverter? | Electronics and ...
- tool 1cd — acer 5620 игры мини футбол драйвера — Uol
- Intergraph Smart Plant 3D Suit v 8.0 2007 — openSUSE Forums
- tool 1cd — Uol
- Re: FREE DOWNLOAD POPULAR 2009's CRACKED SOFTWAR
- Re: crack engineering software very cheap price — The ...
По запросу ".1cd file":
- .1cd File Extension — Software to open 1cd files
- ICD File — What is it and how do I open it? — File.org
- file extension 1cd — Главная — Uol
- File Extension 1CD — What is .1cd file? How to Open 1CD File
- Open .1CD (Best) — Open My Files
- Open file extension 1cd: 1CDファイル — PC Pitstop
- 1cd — Common File Extensions — awdit
- jagadam srt file subtitles
- Download Jai Veeru 2009 .1CD DVDRip.XviD Team IcTv ...
- Jagadam srt file subtitles — gosubtitles.com
Причем всевозможные «How to Open 1CD File» — это тупо дорвеи, которые предлагают очистить компьютер от ненужных файлов 1cd и скачать специальный 1cd universal viewer, и т.д. и т.п.
+1
Надо было поискать просто 1cd в Яндексе.
0
«1cd расширение», Гугл:
1 результат
=D
Да и из Инкогнито выдаёт первым результатом даже на .1cd format. У Вашего Гугла какая локализация? Ох уж эта чёртова персонализация выдачи. Кстати, DDG на .1cd format выдал мусор, а на 1cd расширение — ту же ссылку первой.
… Перечитал Ваши результаты, они какие-то очень странные 0_0
1 результат
=D
Да и из Инкогнито выдаёт первым результатом даже на .1cd format. У Вашего Гугла какая локализация? Ох уж эта чёртова персонализация выдачи. Кстати, DDG на .1cd format выдал мусор, а на 1cd расширение — ту же ссылку первой.
… Перечитал Ваши результаты, они какие-то очень странные 0_0
0
Ждем антивирус на JavaScript
+3
Это такой албанский вирус который просит, чтоб его установили и запустили с нужными правами? И вообще, все эти «скриптовый язык WinRAR» и «запускает процедуру шифрования» делают впечатление, будто статью писала то ли секретарша, то ли для слабоумных, то ли слухи о том, что гугл-переводчик научился постить статьи на хабр на самом деле не слухи (это я к тому, что половину буков из статьи можно выкинуть без потери смысла). Хотя статья любопытная.
+2
Я уже писал за это вот тут. У ESET статьи пишут домохозяйки, которые не разбираются в проблеме. Слава богу, что их не пускают писать код для самого антивируса.
0
Думаю что авторы русскоговорящие. По особенностям грамматических ошибок на скриншотах.
0
Можно поподробнее? Просто мне так не кажется.
0
Прямой же перевод с русского:
you must send [...] to the next bitcoin address — вы должны отправить на следующий биткоин-адрес.
0
нет такого bitcoin address. Есть bitcoin wallet adress :) Поэтому да, сдается мне, что crx все правильно сказал.
0
Мне у DrWeb подход нравится — защищенное хранилище для ценных файлов (использование которого, конечно, не отменяет необходимости создания обычных резервных копий ценного) и мониторинг их изменений на случай, если какая-то гадость стала массово эти файлы изменять.
0
Не хочу никого обидеть и уж тем более разжечь холивар, но ДрВеб уже не торт, имхо
Ну а по теме, Разруха-она не в клозетах, она в головах (с) Преображенский
P.S. Прочитал про защищенное хранилище — бэкап? Вы серьезно? А у Вас настроен?
Ну а по теме, Разруха-она не в клозетах, она в головах (с) Преображенский
P.S. Прочитал про защищенное хранилище — бэкап? Вы серьезно? А у Вас настроен?
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Специалисты Emsisoft обнаружили вымогатель на JavaScript