» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

Не совсем понял про контекст. Если ты по защищённому файлу тыкнул пкм-архивировать к примеру, то запустится процесс архиватора который попытается получить доступ к этому файлу, но не сможет. Хипсу всё равно, от супермена или от системы процесс запущен, если он не в списке - доступ блокируется по имени включая путь. Попробуй сам в комодо например, я и так много написал, а к чему, это нужно тем кто вечно ноет что "у нас в офисе шифровальщик".

Если есть способ как-то обойти хипс - пожалуста, пишите. Найдётся и способ как обойти обход и защитить данные. Вечная борьба.

К прискорбию на компьютере поработали "специалисты" которые решили вычистить всё что можно, т.к. с их точки зрения боролись с зловредом ... в итоге остались только зашифрованные файлы ... уничтожены даже файлы для передачи по расшифровку вредителям за деньги ... так что спасибо всем кто откликнулся - в моём случае капут ))

Vanfear
Например,
http://comodorus.ru/forum/viewtopic.php?f=2&t=3901#p6893
Лучшая защита, это своевременный бекап, все остальное от лукавого. Это мое мнение, не более.
DivS

Цитата:

К прискорбию на компьютере поработали "специалисты" которые решили вычистить всё что можно

Дайте им ссылку на будущее Если у Вас зашифрованы файлы... Что НЕ нужно делать

Комодо это антивирус, там написано о другом.
В гугле искал по фразе "comodo уязвимости"?
А кто спорит то про бэкап. Мы же обсуждали ситуацию когда бэкапить уже нечего

Добавлено:
Кто желает может потестировать: https://yadi.sk/d/1dCW8xm1euzzW

Когда собирал, не положил файл лицензии и программа запускается в триале.
Поэтому нужно обновить, а чтобы полуверсия не получилась, нужно добавить хотя бы 2 новые защитные записи.
Она не очень распространена, на почту не писали о вирусах, а ни один знакомый не может заразить флешку с ней.
Задача - установить по инструкции защиту на флешку, и пихать её везде где можно и нельзя.
А о результах написать мне на почту.

Ну это так, кому интересно и делать нечего. ^^

Цитата:

Мы же обсуждали ситуацию когда бэкапить уже нечего

Мы обсуждали защиту, в частности Хипс, которая "защитит"... якобы. Так что...

Да ты скачай шифровальщик и проверь хипс, не надо писать "якобы", у меня глаз от этого дёргается. Я проверял и знаю что пишу, а ты нет и пишешь, в этом абсурд. Всё.

Цитата:

Кстати можешь потестировать?

Спасибо, вполне хватает ОС.

Цитата:

Да ты скачай шифровальщик

Шифровальщики разные бывают и постоянно их модернизируют. Предлагаете дождаться того шифровальщика, который обойдет Хипс? Мне это без надобности. Свое мнение я высказал выше. Ваше выслушал. Этого достаточно. Спасибо за диалог.

я знакомых так защищаю от шифровальщиков:
копирую "ценные файлы" в облако.
затем ставлю скрипт, который раз в месяц архивирует папки, где пользователь хранит ценные файлы,Focusrite

Цитата:

затем ставлю скрипт, который раз в месяц архивирует папки, где пользователь хранит ценные файлы

подскажите пример, как это правильно сделать в РАР например с паролем?

Добавлено:

Периодически lsass.exe куда-то там пытается лезть и фаерволл говорит, что файл был изменён с момента последнего запуска, подмена файла?

Чем такое лучше проверить на вирусы и заблокировать это дело? Или это не вирусы?

В первом случае IP микрософта: 13.107.4.50


А вот во втором уже не ясен товарищ: 66.240.236.119

Файл на Virustotal, провериться можно по быстрому HitmanPro 3.7.13.258, в зависимости от разрядности.

KismetT_old
VirusTotal пишет:
Показатель выявления:     0 / 57

странно, что фаероволл пишет что файл был изменён с последнего разрешённого доступа ему в сеть.

Профилактика вирусов шифровальщиков
в .bat файл пихаем

Код: assoc .js=txtfile
assoc .CMD=txtfile
assoc .vbs=txtfile
assoc .com=txtfile
assoc .hta=txtfile
assoc .bas=txtfile
assoc .pif=txtfile
assoc .GADGET=txtfile
assoc .VBE=txtfile
assoc .VB=txtfile
assoc .jse=txtfile
assoc .SCR=txtfile
assoc .wsf=txtfile
assoc .wsc=txtfile
assoc .wsh=txtfile

и здесь нормас чуваки

KLASS

Цитата:

Например,
http://comodorus.ru/forum/viewtopic.php?f=2&t=3901#p6893

Ну, справедливости ради, следует отметить, что в последнем билде большую часть дырок залатали.
Vanfear

Цитата:

Комодо это антивирус, там написано о другом.

Комод - это, в первую очередь, HIPS + фаервол. Антивирус у него, мягко говоря, откровенно слабый.

---

А по поводу шифровальщиков... Писал как-то программу для шифрования/дешифрования данных, для своих целей. Немного видоизменив, ее легко использовать в качестве вируса-шифровальщика, и ни один антивирус не чухнется, т.к. программа:
• не требует повышения прав,
• не лезет в системные папки,
• не лезет в интернет,
• не использует механизмы шифрования Windows,
сидит тихо в памяти и шифрует все файлы пользователя, до к-рых может дотянуться.
HIPS Комода у меня ее блокирует (настроен режим блокировки всех неизвестных файлов).
Антивирусное поделие Комода - молчит, впрочем, как и все остальные антивирусы.

Цитата:

и ни один антивирус не чухнется

Сначала не чухнется, а с набором статистики заражений придушат её. Тем более есть же не сигнатурные методы определения заразы.

glass4217

Цитата:

Профилактика вирусов шифровальщиков в .bat файл пихаем  

Ежели не затруднит поподробней, дя не спецов, по функциям, что за .bat файл как пихаем (создаем) и и чем , и как и когда он будет запускаться?
У меня 2 раза шифровальщика вылавливал я сам, а прерывал и обезвреживал его
"Зоркий глаз" на пару с Нодом. Держу открытым диспетчер задач, температуру камня, увидел резкий рост и усиление звука работы вентилятора, открыл диспетчер, там несколько мутных процессов, как только первый остановил, запустился Зоркий глаз и вырубил остальные и Нод подключился... Карантин ежели не самоочистился еще может и валяется...))) Так 2 раза и скачивании с русфолдера...

XenoZ

Цитата:

HIPS

Не сочти за труд, расшифруй - напомни что зто, а то комодой пользуюсь, но только фаэром, а сто это за функция не знаю,,,)))

Создаёшь файл с расширением .txt, затем Ctrl+C и Ctrl+V, и Ctrl+S. Дальше расширение меняешь на .bat. Всё.

KismetT_old

Цитата:

затем Ctrl+C и Ctrl+V, и Ctrl+S

Копировать вставить сохранить..., делаю другими сочетаниями клавиш, но понятно...)))
Непонятно другое, файл hosts сидит в опр папке ОСи, urlfilter.ini в определенной папке Оперы. С большего мне понятно назначение этих файлов, созданных аналогичным образом и выполняемые ими функции. А данный bat файл куда определить и, что и как он будет делать? Тем паче, bat, насколько помню, файл как и ехе активный... Не получится что он задробит (прервет, остановит) все нормальные процессы или вааще все уронит? Отзывов по применению данного файла нет, коментариев более опытных постояльцев нет, автор новичок, может он и гений, но сам бы он не понимая назначение впихнул себе в систему какой либо файл?
На мой взгляд, ежели создаешь, что либо для индивидуального пользования то и не стоит это выкладывать в общий доступ, а ежели для всех - претендуешь на признание и известность, в узких кругах_))), то уж будь добр проанонсируй творение.))
Душевно, с наилучшими.
П.С.
Насчет сочетаний клавишь, не сочти за труд, ненароком ткнул по запаре сочетание не помню какое и курсор при замене буквы съедает следующую...))) А как отключить не помню...))) Редко использую, забылось.)

moroka33 13:51 31-03-2016
Цитата:

ненароком ткнул по запаре сочетание не помню какое и курсор при замене буквы съедает следующую...))) А как отключить не помню

кнопку Insert нажми (рядом с кнопкой Home).

moroka33
Ins?

KismetT_old

Цитата:

Сначала не чухнется, а с набором статистики заражений придушат её. Тем более есть же не сигнатурные методы определения заразы.

Про сигнатуры и речи не было. А ловить ее не на чем, программа не использует ни одной подозрительной/потенциально опасной функции, за к-рую антивирус может зацепиться.

moroka33

Цитата:

Не сочти за труд, расшифруй - напомни что зто, а то комодой пользуюсь, но только фаэром, а сто это за функция не знаю,,,)))

Сочту. Есть Гугл, есть онлайн-справка Комода. Спрашивай, изучай.

regist2

Цитата:

кнопку Insert нажми

Germanus

Цитата:

Ins?

Душевно, понял, как раз ее и пользую в сочетании с Ctrl и Shiht, видать ткнул по запаре и забыл.)
XenoZ

Цитата:

Есть Гугл, есть онлайн-справка Комода. Спрашивай, изучай

А форум типа столба или дерева - пробежал пометил территорию, чтобы другие такие-же знали, что автор тут наследил?...)))
Может причина негативного восприятия просьбы в чем-то другом?...

Цитата:

А данный bat файл куда определить и, что и как он будет делать?

Хоть на Рабочий стол положи.


Цитата:

Не получится что он задробит (прервет, остановит) все нормальные процессы или вааще все уронит?

Ничего он не уронит. Только все файлы с указанными расширениями в Блокноте открывать будет. Vbs скрипты кое-где в системе работают, но настолько редко применяются, что можно забить на это, у меня по крайней мере проблем с этим нет.

Цитата:

Профилактика вирусов шифровальщиков
в .bat файл пихаем

Код:
assoc .js=txtfile
assoc .CMD=txtfile
assoc .vbs=txtfile
assoc .com=txtfile
assoc .hta=txtfile
assoc .bas=txtfile
assoc .pif=txtfile
assoc .GADGET=txtfile
assoc .VBE=txtfile
assoc .VB=txtfile
assoc .jse=txtfile
assoc .SCR=txtfile
assoc .wsf=txtfile
assoc .wsc=txtfile
assoc .wsh=txtfile


После выполнения перестают работать все шифровальщики что я повстречал на своем веку. (точнее они просто открываются в блокноте.)
помимо этого перестают работать VBскрипты, тут уже каждый сам для себя определяет что важнее.

Готовый файл для адептов лиги лени
https://yadi.sk/d/KwN3O5enqZVtX

Цитата:

Профилактика вирусов шифровальщиков

Дабы затем кому-то не было мучительно больно за бездумное ассоциирование,
перед применением сего следует сделать бекап оригинальных ассоциаций:


Цитата:

REM Backup associations to file
assoc .js >ext_backup.txt
assoc .CMD >>ext_backup.txt
assoc .vbs >>ext_backup.txt
assoc .com >>ext_backup.txt
assoc .hta >>ext_backup.txt
assoc .bas >>ext_backup.txt
assoc .pif >>ext_backup.txt
assoc .GADGET >>ext_backup.txt
assoc .VBE >>ext_backup.txt
assoc .VB >>ext_backup.txt
assoc .jse >>ext_backup.txt
assoc .SCR >>ext_backup.txt
assoc .wsf >>ext_backup.txt
assoc .wsc >>ext_backup.txt
assoc .wsh >>ext_backup.txt

можно, конечно, и в пару-тройку строк сделать, но так понятней конечному потребителю...

P.S. если хотите сделать бекап всех оригинальных ассоциаций, то ещё проще:
ASSOC >ext_backup_all.txt

KismetT_old

Цитата:

Хоть на Рабочий стол положи

В ранее расказанном о заражении шифровальщиками забыл уточнить, они одновременно начали работать на всех дисках, в т.ч. флешке... Может имеет смысл кидать данный .bat файл в корень каждого диска?

Цитата:

все файлы с указанными расширениями в Блокноте открывать будет

Правильно ли понимаю: цепляешь шифровальщика, он срабатывает и в момент запуска, вместо шифровки файла открывается в блокноте, автоматом перед носом пользователя, или как? Как и в чем выражается факт сработки данного .bat файла?
glass4217

Цитата:

Готовый файл для адептов лиги лени

Душевно, от ленивых персонально...)))
spinout

Цитата:

перед применением сего следует сделать бекап оригинальных ассоциаций:

Набор оригинальн. ассоциаций разный для каждой ОСи или универсальный?

Цитата:

ASSOC >ext_backup_all.txt

Это, ежели правильно понял, через командную строку? Файл сформируется на рабочем столе? Вопрос как откатить - вернуть все назад с помощью данного бэкапа? По ходу, надо на его основе формировать другой .bat файл, удалять антишифровальный от glass4217 и вместо него вставлять собранный из бэкапа? Или как?
Просьба не журить сильно, но таких слабо представляющих весь процесс много, мало кто рискнет поинтересоваться подробностями - постесняется, да и сформулировать, что хотят ноныча многие затрудняются...))) Сделает неправильно, поимеет проблемы, а грешить будет на автора .bat файла и форум... С целью избежания...
Пример насчет бэкапов:
http://forum.ru-board.com/topic.cgi?forum=8&active=&topic=70015#1
Душевно, с наилучшими.

Цитата:

Может имеет смысл

moroka33
Ну ты даёшь... )) Этот батник изменяет соответствие, связь типов файлов с приложениями, обрабатывающими конкретный тип файлов, в зависимости от расширения. Достаточно одной табл одного запуска этого батника из любого места, а далее пофиг где он лежит и есть ли он вообще.

З.Ы. Для дом.юзеров решение сгодится. Шифровальшик будет сильно напуган. ))

VV2015

Цитата:

Этот батник изменяет соответствие, связь типов файлов с приложениями, обрабатывающими конкретный тип файлов, в зависимости от расширения

Во, по тиху истинная суть - сучность батника проявляется...)))

Цитата:

Шифровальшик будет сильно напуган. ))

А работоспособность - сучность гадского характера он потеряет, т.е. ежели сей батник удалить шифровальщих восстановится и начнет делать свое дело?

moroka33
Да нет же, после запуска батника меняются ассоциации в системном реестре, т.е. в самой ОС.
Мавр Батник сделал своё дело, и его наличие вообще уже роли не играет.

Цитата:

т.е. ежели сей батник удалить шифровальщих восстановится и начнет делать свое дело?

Шифровальщик не сможет работать, если он конструирует себя, используя файлы с расширениями, которые батник переназначил. Но! Ничто не мешает exe-шному варианту шифровальщика, запущенному с повышенными привилегиями, сделать всё, что ему нравится. И да, в том числе и поменять ассоциациии так, как ему понадобится.

VV2015

Цитата:

да, в том числе и поменять ассоциациии так, как ему понадобится

Понял...(((
А насчет возврата ассоциаций в исходное состояние с помощью бэкапа?
Тут как раз в тему обратились с .bat проблемой.
http://forum.ru-board.com/topic.cgi?forum=62&active=&topic=30011#1
Не приведет ли применение, обсуждаемого нами .bat файла к схожей ситуации? И тем более актуальным становится вопрос отката ассоциаций к штатному состоянию

Добавлено:
bifido76

Цитата:

Нет не приведет.

Цитата:

...exe-шному варианту шифровальщика все это никак не помешает сделать свое черное дело.

Теперь ясность присутствует, на мой взгляд...)))