THG.RU | \"Поиск\" Поиск \"Поиск\" | Новости | Видеокарты | Процессоры | Материнские платы | Мониторы | Аудио/видео | HDD и CD/DVD | Собери сам | Игры | Софт | Домашний ПК


Клуб экспертов THG.ru   

Вернуться   Клуб экспертов THG.ru > Софт > Антивирусная защита, Malware (вредоносное ПО)

Регистрация Правила форума FAQ форума Справка Пользователи Поиск Сообщения за день Все разделы прочитаны

Антивирусная защита, Malware (вредоносное ПО) Вирусы, руткиты, троянцы, программы-блокираторы - обмен опытом по избавлению компьютерного пространства от непрошеных гостей и подбору утилит, способных в этом помочь.

Ответ
 
Опции темы Опции просмотра
Старый 29.09.2015, 13:39   #1
Меню пользователя nobrain
THG Russia Forum Team
 
Аватар для nobrain
  
Вирусы-шифровальщики

Вирусописатели тоже хотят кушать, пусть даже за счет невнимательных пользователей. Давайте рассмотрим типичную ситуацию. На рабочую почту приходит письмо. На рабочую, потому что организации точно есть что терять: бухгалтерские документы, письма, базы данных (если повезет). Значит, я могу запросить больше. В теме письма я обычно указываю что-нибудь беспроигрышное: «Судебный иск», «Акт сверки», «Письмо по номеру 1234567». Больше цифр, дат, канцеляризмов, чтоб похоже было на серьезное государственное учреждение, не любящее шуток.

Ну или выберу что-то менее официальное: «Когда ждать погашения долга?», «В продолжение дискуссии», «Карточка предприятия». Это пишу вам я, ваш партнер, смотрите, я даже могу подписаться Орловой Анастасией из ООО «Аспект». Только не надо обращать внимания на ошибки в официальном письме, вспоминать «своих» контрагентов и адресатов или тем более обращаться к системному администратору. Он точно заметит, что вложение письма упаковано архиватором (так легче обойти проверку на почтовом сервере). А в архиве спрятан какой-нибудь файл «Исковое заявление.exe». Не на строгое «заявление» будет смотреть сисадмин, а на хвост имени «exe», который однозначно выдает исполняемый файл (*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.hta). Впрочем, я могу завернуть свой вирус даже в офисный документ. Вы откроете «Акт сверки.doc», увидите предложение кликнуть ссылку… И всё. На первый взгляд, ничего не случится. Ни заявления, ни акта, ни буденовки, ни сабли. Активизировавшись из вложения или ссылки в письме, вирус начнет свое черное дело. И только через какое-то время вы заметите, что пропали нормальные значки файлов, а вместо привычных имен какие-то длинные строчки символов. Всех файлов, куда дотянулся вирус, включая сетевые папки. Поздравляю, теперь вы готовы услышать мое коммерческое предложение. Скорее всего, оно будет в текстовом файле (на рабочем столе или в каждой папке с пострадавшими файлами), во всплывающем окошке или просто текстом на рабочем столе. Шифровальщики потому так и называются, что шифруют файлы определенных типов (картинки, офисные и pdf-документы, базы данных, файлы 1С). Длина ключа и сама методика шифрования у самых опасных вирусов практически не оставляет шансов на декодирование файлов, не имея части кода, который есть у злоумышленника. Как можно заразиться? В основном, человеческий фактор: кликнув по сомнительной ссылке в письме или запустив исполняемый файл из архива во вложении. Почему не среагировал антивирус? Вирусы постоянно совершенствуются, плюс данный тип вируса не стремится к заражению других файлов. Сколько времени требуется на заражение? Немного. Несмотря на сложность ключа, надо знать, что вирус кодирует только часть файла. Что делать, если вы заметили признаки заражения? Если есть системный администратор, то самое время звать на помощь. Если нет, то остановите процесс заражения (снимите подозрительный процесс в диспетчере задач или хотя бы просто перезагрузите компьютер). Хорошо бы загрузить компьютер с другого носителя (Live-CD, он же загрузочный диск) или подключить жесткий диск для проверки к другому компьютеру. Для лечения самого вируса можно использовать бесплатные утилиты, если у вас не установлен антивирус. Как вернуть свои данные? Самый лучший вариант – из архивной копии, потому что остальные более сложные и не дающие гарантий. Могут помочь программы для восстановления удаленных данных, потому что шифровальщик удаляет оригинальные файлы. В этом случае очень важно прекратить использовать жесткий диск с данными, чтобы не перезаписались удаленные файлы. Для особо продвинутых пользователей напомню про Shadow Volume Copies (теневой том копий), по умолчанию эта функция бывает в Windows включена, что позволяет вернуться к предыдущей, неиспорченной версии файла.

Если у вас есть лицензионный антивирус, обращайтесь в техподдержку. Для некоторых известных шифровальщиков есть утилиты для расшифровки, но в тяжелых случаях и техподдержка разводит руками. В таком случае можно отложить зашифрованные файлы до лучших времен, когда вирус будет побежден или его автор пойман. И наконец, остается вариант заплатить немалую сумму. Я не могу приветствовать этот вариант, потому что он поощряет преступную деятельность, но советую в таком варианте разбить платеж и расшифровку на несколько частей, чтобы не потерять всю сумму разом в случае мошенничества со стороны создателей вируса. И не удаляйте никаких файлов, если планируете расшифровку, чтобы не потерять необходимую часть ключа. В общем, делайте архивные копии, обновляйте антивирусную программу и будьте очень бдительны с письмами с незнакомых вам адресов – тогда вам не страшны вирусы-шифровальщики.

© Shkolazhizni.ru
__________________
Хватит откладывать деньги, пора их высиживать!
nobrain вне форума   Ответить с цитированием
Старый 15.08.2019, 22:37   #2
Меню пользователя akok
Модератор
Консультант VN
 
Аватар для akok
  
Любителям RDP посвящается:

Windows (CVE-2019-1181/1182), уязвимы:
  • Windows 10 for 32-bit/x64-based
  • Windows 10 Version 1607 for 32-bit/x64-based Systems
  • Windows 10 Version 1703 for 32-bit/x64-based Systems
  • Windows 10 Version 1709 for 32-bit/x64-based Systems
  • Windows 10 Version 1709 for ARM64-based Systems
  • Windows 10 Version 1803 for 32-bit/x64-based Systems
  • Windows 10 Version 1803 for ARM64-based Systems
  • Windows 10 Version 1809 for 32-bit/x64-based Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1903 for 32-bit/x64-based Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows 7 for 32-bit/x64-based Systems Service Pack 1
  • Windows 8.1 for 32-bit/x64-based systems
  • Windows RT 8.1
  • Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

Что делать:
  1. Установить необходимые обновления для уязвимых ОС Windows, начиная с узлов на периметре и далее для всей инфраструктуры, согласно принятым в компании процедурам управления уязвимостями:
    portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
    portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
  2. При наличии опубликованного сервиса RDP на внешнем периметре для уязвимой ОС – рассмотреть ограничение (закрытие) доступа до устранения уязвимостей.
  3. Как альтернативный вариант скрыть RDP за VPN
__________________

Microsoft Most Valuable Professional in Consumer Security
akok вне форума   Ответить с цитированием
Старый 15.08.2019, 23:01   #3
Меню пользователя Злой Геймер
Старожил
 
Аватар для Злой Геймер
  
Ага помню в своё время письма типа неустойка, штраф, долг и пр ворохом шли, один раз я просто ответил - Вы думаете на самом деле что я открою ваше письмо? После этого как бабка отшептала.
__________________
i7 2670QM/ 16 GB Ram/ SSD/SSD 512/2000 GB/ Win 8.1 Pro
Корпуса Кулеры Похождения в 4К
Резервуар Фитинги Радиатор
Злой Геймер вне форума   Ответить с цитированием
Старый 16.08.2019, 18:28   #4
Меню пользователя O_Smirnoff
Эксперт Клуба THG | PC
 
Аватар для O_Smirnoff
  
Цитата:
Сообщение от Злой Геймер Посмотреть сообщение
один раз я просто ответил - Вы думаете на самом деле что я открою ваше письмо? После этого как бабка отшептала.
Так то - ты. А у клиентов пару лет назад две девочки открывали-таки...
Спрашиваю: вот нафига?!. Ответ: ну у нас же вроде есть какое-то дело в Арбитраже...
__________________
С уважением,
Олег Р. Смирнов
O_Smirnoff вне форума   Ответить с цитированием
Старый 16.08.2019, 20:52   #5
Меню пользователя RedAngryWolf
Старожил
 
Аватар для RedAngryWolf
  
Эх, всё ещё письмами это всё распространяется, никакого развития...

Хоть бы попытался кто воплотить Полицейскую Академию 7, что ли...
RedAngryWolf вне форума   Ответить с цитированием
Старый 16.08.2019, 20:57   #6
Меню пользователя akok
Модератор
Консультант VN
 
Аватар для akok
  
Письмами очень редко сейчас распространяют, в тренеде варез и RDP. Очень много предприятий плюют на защиту периметра... пока не клюнет.
__________________

Microsoft Most Valuable Professional in Consumer Security
akok вне форума   Ответить с цитированием
Старый 16.08.2019, 23:09   #7
Меню пользователя dark-forse
Супер-модератор
Эксперт Клуба THG | видеокарты
 
Аватар для dark-forse
  
akok, Через центр обновлений обновить возможно ? или только отдельным файлом .
__________________
Не доверяйте никому кроме себя
dark-forse вне форума   Ответить с цитированием
Старый 17.08.2019, 01:17   #8
Меню пользователя Злой Геймер
Старожил
 
Аватар для Злой Геймер
  
А почему не организовать на предприятии предварительный просмотр писем в виртуальной среде, всяко дешевле чем потом рвать на пятой точке волосья.
__________________
i7 2670QM/ 16 GB Ram/ SSD/SSD 512/2000 GB/ Win 8.1 Pro
Корпуса Кулеры Похождения в 4К
Резервуар Фитинги Радиатор
Злой Геймер вне форума   Ответить с цитированием
Старый 17.08.2019, 01:53   #9
Меню пользователя akok
Модератор
Консультант VN
 
Аватар для akok
  
Цитата:
Сообщение от dark-forse Посмотреть сообщение
Через центр обновлений обновить возможно ?
Через центр обновлений должен на автомате влететь (в зависимости от настроек).

Цитата:
Сообщение от Злой Геймер Посмотреть сообщение
А почему не организовать на предприятии предварительный просмотр писем в виртуальной среде, всяко дешевле чем потом рвать на пятой точке волосья.
Хороший вопрос...

Добавлено через 6 минут
От себя еще добавлю, если уж решили RDP выпустить в интернет (чего лучше вообще не делать), то стоит настроить политики которые не позволят брутить пароли без ограничений.
Обязательно сменить стандартные имя администратора... и не использовать имена от его производные с ним (админ, admin и т.д.)

Ибо сервер который виден в сети находят за ~90 секунд.
__________________

Microsoft Most Valuable Professional in Consumer Security
akok вне форума   Ответить с цитированием
Старый 17.08.2019, 23:45   #10
Меню пользователя RedAngryWolf
Старожил
 
Аватар для RedAngryWolf
  
Ага, а если через vpn - то не sstp. В этом глупом nih-индусском поделии дыр полно, да все приватные
RedAngryWolf вне форума   Ответить с цитированием
Старый 19.08.2019, 17:26   #11
Меню пользователя O_Smirnoff
Эксперт Клуба THG | PC
 
Аватар для O_Smirnoff
  
Цитата:
Сообщение от RedAngryWolf Посмотреть сообщение
а если через vpn - то не sstp.
PPTP разрешаешь, или тоже низзя?..
__________________
С уважением,
Олег Р. Смирнов
O_Smirnoff вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Справочник словарей
Словари русского языка - www.gramota.ru Яndex - Словари Википедия - ru.wikipedia.org

Часовой пояс GMT +4, время: 22:27.


Powered by: vBulletin, ©2000 - 2007, Jelsoft Enterprises Limited.
Перевод: zCarot
Распространение информации возможно только с письменного разрешения администрации издания.

THG.ru ("Русский Tom's Hardware Guide") входит в международную сеть TG Publishing

РЕКЛАМА

Rambler's Top100 Рейтинг@Mail.ru