Comments 81
Ну вот! Я с самого начала сомневалась, когда в СМИ была инфа, что все, ни откатиться, ни восстановить ничего нельзя. Все можно. А найдя копию в корневом диске, как я понимаю, можно с Live CD поискать и оригинал ручками. Почиститься, восстановить загрузку и откатиться наконец накрайняк. Вопрос, как он ведет себя с tib. файлами. Затрагивает ли? По идее, они уже бессильны, если успеет повредить кластеры диска. (MFT). Обычно, в этом случае, даже таковое восстановление не выйдет, акронис просто возвестит, что «архив поврежден или не найден». А кто его так обозвал?))) Вирус Петя гуляет по планете)
На самом деле это и не Петя, просто некоторые люди посмотрели на фотки с заражения и увидели знакомое требование о выкупе :) Но ставить диагнозы по фотографиям — занятие неправильное.
Простите за шутку. Так пошутили сотрудники СМИ, прикрепив соответствующие фотки. Да, аналогию я поняла. Спасибо за инфу. ваша информация по закрытию портов на сайте тоже полезна.
Не очень понятно из статьи…

Если вирус получит каким-либо образом права пользователя входящего в группу Administrator, в AD, то через psexec, он положит всю сеть и ему не нужна даже будет уязвимость в протоколе SMB?
Зная учётные данные пользователя с повышенными привилегиями, можно совершенно легальным образом (без использования уязвимостей) получить доступ к удалённым ресурсам с использованием этих данных. Всё же просто и очевидно.
Я немного про другое… Возможно я перепаниковал… Но читая разные источники, пришёл к выводу, что используя локальные уязвимости ОС, возможно выполнить вредоносный код из-под кого угодно на поражённой машине, не зная пароля пользователя. Я не прав?
Можно. Но когда есть учётные данные администратора — зачем извращаться с уязвимостями, которых может не быть?
Ну, как я поняла, это одна из уязвимостей. На пером этапе. Так же используются и утилиты для мониторинга сети на предмет апдейтоов для программ. Так, здесь описывали уязвимость с Nvidia, GeForse Experiense. (Кстати, именно с ней была история).
Так же здесь описывалось в одной из тем, как троянцы способны обойти UAC.
На днях в процессах вдруг активизировался стрим (съемка с экрана, чем я не пользуюсь вообще, не видеоблогер). Мин 15. Обрубила сеть, начала проверку. Какой-то Tool.InstrSrv.5 доктор веб его описывает, как ретрогеймер какой-то. В %AppData% был вирусован некий nssm.exe. А так же нашелся некий драйвер (Dllкакой-то, уж не помню).
У меня порты закрыты, SMB отключен. Выходит, только утилита от GeForse. Была удалена со всеми папками и файлами, даже в Installer. Вроде все в порядке. Только не смотрела реестр. Сейчас чищу, валяются какие-то ошибочные ветки с physxCore. Дырой могла стать только NVIDIA! И ее утилиты.
Кстати, не последнее место в обнаружении заняла утилита от Др. Веб, только не по умолчанию, а при ручных настройках сканирования со всеми выставлеными галочками. Что за ретрогеймер такой, я не нашла (как ПО). Есть сайты, настроенные по веб-кольцу Ретрогеймер.
Ремарка: не «был вирусован», а, судя по времени, был загружен двадцатью минутами ранее. Сам nssm.exe находится в system32, А этот выглядел чуть иначе n_ssm.exe и находился в папке загрузок.
упоминаемый в СМИ как Petya, Petya.A, ExPetya
Этот код в целом идентичен используемому вредоносной программой Petya (за исключением текста требования)

Так этот вирус это Petya или другой? Или есть еще один Petya? Проясните пожалуйста)

Был такой шифровальщик некоторое время назад, некоторые назвали его Петей. Этот внешне на него походил, поэтому некоторые эксперты посмотрели на фотки и сказали — да это ж Петя! Но петя не размножался самостоятельно, да и работал немного по-другому, в общем, кусок кода, похоже, позаимствован, но в целом это другой троянец — а жаль! Ведь тот был гораздо менее опасен.

Увы, наши местные мастера-ломастера, как всегда, на высоте. Всунули подходящий чип по параметрам, не сверив производителя. На счет, таких замашек, меня уже все местные мастерские обходят стороной))

Возможно, чип нормальный, сетевая. Но я еще не открывала. У меня типа гарантия.

Кстати, я недавно цепанула один вирус 9описан ниже в ответе:
Ну, как я поняла, это одна из уязвимостей. На пером этапе. Так же используются и утилиты для мониторинга сети на предмет апдейтоов для программ. Так, здесь описывали уязвимость с Nvidia, GeForse Experiense. (Кстати, именно с ней была история).
Так же здесь описывалось в одной из тем, как троянцы способны обойти UAC.
На днях в процессах вдруг активизировался стрим (съемка с экрана, чем я не пользуюсь вообще, не видеоблогер). Мин 15. Обрубила сеть, начала проверку. Какой-то Tool.InstrSrv.5 доктор веб его описывает, как ретрогеймер какой-то. В %AppData% был вирусован некий nssm.exe. А так же нашелся некий драйвер (Dllкакой-то, уж не помню).
У меня порты закрыты, SMB отключен. Выходит, только утилита от GeForse. Была удалена со всеми папками и файлами, даже в Installer. Вроде все в порядке. Только не смотрела реестр. Сейчас чищу, валяются какие-то ошибочные ветки с physxCore. Дырой могла стать только NVIDIA! И ее утилиты.
Кстати, не последнее место в обнаружении заняла утилита от Др. Веб, только не по умолчанию, а при ручных настройках сканирования со всеми выставлеными галочками. Что за ретрогеймер такой, я не нашла (как ПО). Есть сайты, настроенные по веб-кольцу Ретрогеймер.

Вам, как я понимаю, с лечащей утилиты отправлены логи. И туда попал некий драйвер (не знаю, диски, на которых найден у вас отображаются или нет? у меня в системе утилитой он не показан, как вирусованный, залочен запасной). Скорее всего, он лаборатории неизвестен и его задетектило. Но дело в том, что мне поменяли видеочип, изменился MAC-адрес и, соответственно, драйвера. единственные, что подошли — эти. На офсайте производителя другие. Папочка подписана вот так обзывается «e7987a127266dea674ea95306aa9ba7ae851ba48» сами дрова Qualcomm Atheros AR956 Wireless, полностью чистые рабочие, ничем не зараженные. Скорее всего, залит на хостинг архив без названия и ему присвоено автоматически такое.Я ошибочно их отправила. Производитель Qualcomm Atheros Communications inc. Т.е. в системе определяется производитель и сертификат. Если их добавят в базу, такие как я, не смогут пользоваться беспроводный соединением((

В общем, это PCI. Скорее всего, была заменена сетевуха на ноутбуке. Саму коробку я не открывала, но мастерам я отказала в устаноке виндовс. У меня Recovery с ключом владельца в комплекте. А посему, мне не сменили MAC в биосе, Что пришлось делать самой в т.ч. Как минимум, при звонке отказались, что мне более ничего не меняли.
Сейчас меня все устраивает, тем более, что PCI в разы лучше Broadcom. Но если их драйвера внесут в базу (они официальны, независимо от того, что были не в exe), то люди не смогут пользоваться PCI-сетевухами.

К сожалению, у меня не было другого выхода… Экзешники не подберешь по Id оборудования типа VID/PID. Они все разные. Только распакованные.

Ну если резервных копий нет, и загрузку не обломали по пути, на сколько я понимаю — нельзя. Файлы то зашифровываются, и без ключа, на домашних мощностях их не расшифровать.
А систему поднять, думаю не для кого не проблема, но толку, самое дорогое это данные.

UFO landed and left these words here
Не знаю, что произойдет сейчас.
Лет пять(ну, наверное, более) назад пробовал такой «фокус». Создал сильно ограниченного пользователя, которому разрешено запускать только ТС, Opera, IceBookReader и еще пяток программ(речь, разумеется, о домашнем компе) без которых ну никак. Разрешил автозапуск с флешки. А потом экспериментировал с флешками зараженными скринлокерами, бутлокерами, псевдокачалками из инета. Ничего из них не сработало.
Может имеет смысл поступать так и сейчас.
UFO landed and left these words here
Вот тут самое интересное. Это первая эпидемия на моей памяти, когда заражались компании с тем же апплокером и всеми обновлениями. К сожалению исследования, где было бы исследовано, какипе ошибки в настройке прав привели к проблемам — я не видел.
Лично от себя я вижу
— нужно сегментировать сети. 12544 воровал учетки и от них распространялся
— никаких записей неразрешенным программам на диск в корень, системные папки и темповые папки
— фильтрация в почте на исполняемые файлы и ссылки
— закрытие всех ненужных сервисов и шар
Самое интересное не написали — используется открытая или закрытая часть RSA ключа, откуда он берется, отправляется ли на сервер?
Ну если бы они использовали приватную часть RSA — проблем с расшифровкой не должно было бы быть.
Пишут, что шифровальщик не был настроен на расшифровку данных. Пока подтверждения я не видел
Все верно. Ключ, которым шируется MFT, никуда не передается, поэтому расшифровать данные невозможно впринципе. Судя по всему, такая задача перед вирусописателями и не стояла.

На сколько понял, RSA ключом они шифровали ключ для зашифровки данных (извините за тавтологию).
А солью использовался тот код который выводиться на экран.
Соответсвенно им не нужно, что бы машина отправляла приватный ключ, он у них один для всех, а вот код отличается, но его скидывают сами жертвы.
Надеюсь специалисты из Dr.Web меня поправят, если в чем-то ошибаюсь.

Пока что всё примерно так и выглядит, да. По одному коду на жёсткий диск.
> .doc, .docx, .ppt, .pptx, .xls, .xlsx.
Пользователей Open/LibreOffice опять забыли. Так и сидят, бедняги, незашифрованные :)
Пользователи файловых 1С тоже могут быть спокойны =)
И, судя по тому, что не шифруются фоточки и видео, шифровальщик не рассчитан на домашних пользователей.
Ну одну бухгалтерскую систему хакнули, ждем атак на 1с, гарант и аналоги
И сразу слова Турчинова подтвердятся, что 1С вообще следит за всеми. Такой себе «большой брат» :D
Имел я в виду не это. Успех атаки псевдопети показал злоумышленникам вектор атаки через обновления. Не то, чтобы этого не было. Было, но без такого громкого успеха. Можно предположить, что сейчас все пионеры переключатся со взломов сайта пентагона и наса на взломы 1с, гаранта и адоба
А вообще Медок долго шел к своей «славе». стоит почитать хотя бы тут. Мне крайне интересно, что за системные вызовы использовала бухгалтерская программа, что все антивирусы без исключений считали ее вредоносной?

Другая, на текущей версии пока нет возможности разблокировать данные и скорее всего не будет

можно поподробней описать как Mimikatz получает пароли, насколько понятно это актуально для корпоративных сетей, в этом случае уровень леса AD 2012r2 может помочь?
UFO landed and left these words here
Если не затруднит, ответьте на эти вопросы:
При включённом белом списке возможно ли заражение, когда пользователь с правами User запускает фейковый офисный файл с полученного письма?
В процессе шифрования ещё на живой системе можно ли в диспетчере задач увидеть процесс вируса?
Некоторые писали, что у них произошло заражение через сеть даже тех компьютеров, у которых стояли мартовские патчи. Это правда? Интересует именно вопрос заражения через уязвимость SMB.
ЛК пишут в своём блоге, что нет возможности расшифровать файлы: https://blog.kaspersky.com/new-ransomware-epidemics/17314/. Получается, что нет пути восстановления?
Cureit на данный момент может определить наличие файлов вируса в пользовательских файлах?
> Cureit
Пользователи через утилиту и лайфсд лечились. Если естественно дело не было запущено. По слухам мы ловили сам процесс шифрования, поэтому при актуальном drweb файлы могли и не зашифроваться.

> Некоторые писали, что у них произошло заражение через сеть даже тех компьютеров, у которых стояли мартовские патчи
Очень много таких сообщений. Связано это видимо с тем, что червь мог использовать для распространения не только SMBv1, но и украденные учетки
«нет возможности расшифровать файлы» — без приватного RSA ключа — нет. А он, вероятно, есть у авторов троя.
Не пойму или Петя или нет?
Насколько я помню Петя был такой безобидный шифровальщик или это была «проба пера» у авторов…
Точно не тот самый петя. Так что если кто пытается расшифровать результаты работы этого троянца старыми утилитками — зря он пытается. Процитирую официальную инструкцию: «Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. В настоящий момент расшифровки файлов нет, ведется анализ и поиск решений, мы сообщим вам об окончательных результатах.»

Такие дела. На остальные вопросы сейчас постараемся ответить.
По последним слухам фиктивный апдейт приехал пользователям Медка не с сервера самой компании, а из какого-то промежуточного дата-центра провайдера. Просто перенаправили трафик. Но на мой взгляд это не снимает вины с Медка — их бинарники работают от имени администратора, по рекомендациям поддержки Медка пользователи добавляли Медок в исключения антивируса.
И, помимо всего этого — тадамм — ни экзешник Медка, ни его апдейты, не имеют цифровых подписей, поэтому при апдейте медок свободно запустит то, что пришло ему в виде обновления, без каких-либо проверок.
по рекомендациям поддержки Медка пользователи добавляли Медок в исключения антивируса


Официальный канал Медка на фейсбуке, жалобы пользователей в комментариях под новостями. Источник, конечно, так себе, но Медок эти комментарии не опровергает.
по рекомендациям поддержки Медка пользователи добавляли Медок в исключения антивируса

Точно так же ведёт себя игра Blade Symphony — антивирус орёт на кривое поведение программы, а техподдержка рекомендует добавить в исключения. (снёс её нафиг)

У меня на одной фирме стоит Медок на сервере, обновляю только я через обновление штатное медка.
Сервер как работал так и работает. Единственное что сделал зашел через VPN на роутер (mikrotik) и отключил всю сетку от инета в момент атаки. Исключение их правил?

У меня тоже так было. Сервер на Win 2003. После отключения в среду я его запустил сегодня и он нормально работает, даже 1С-ка. И вот только сейчас обнаружил, что все doc и xls файлы зашифрованы, хотя readme.txt нет. Выходит, не успело создать?

Вирус же создаёт свою копию в памяти, запускает её и из неё удаляет начальный файл, так что после перезагрузки (назначается через планировщик через час после активации вируса) следы заражения пропадают.
И что самое интересное в этом всем — до сих пор нет внятных рекомендаций оп лечению этой гадости.
Почему же? Лечение весьма тривиально, после обновления баз с этим справится даже бесплатный CureIT!..
Если не отключали систему восстановления, для windows 7 и старше — ПКМ на файле (а лучше сразу папке) и «Восстановить прежнюю версию».
Меня интересует вопрос о цифровых подписях обновлений. Я даже не могу поверить, что большая компания не использовала такой метод защиты. Кто-то подскажет по статистике, какой % софта, работающего как клиент-сервер и постоянно обновляющегося не использует цифровые подписи?
Я сталкивался однажды с таким продуктом. Сознательно не подписывали стартовый exe потому что было несколько референсов на опенсорсные либы без цифровой подписи, и .Net не допускает референса из подписанного экзешника на не подписанные библиотеки. Разработчики упирались ногами и рогами и не хотели ничего менять, ибо слишком дорого.
Возможно у Медка та же ситуация. А вот теперь можно прикинуть репутационные потери и подумать что в итоге дешевле.
Сознательно не подписывали стартовый exe потому что было несколько референсов на опенсорсные либы без цифровой подписи

А нельзя ли было залочить версию нужных библиотек и подписать набор их хешей самим?
Конечно можно, но я ведь и говорю — это дополнительная работа, соответственно проектное время, соответственно дополнительные деньги. Владелец продукта был относительно далёк от технических подробностей процесса разработки и любые попытки выбить лишнее время на непонятные ему телодвижения с продуктом были заранее обречены на непонимание и сопротивление.

Муниципалитет очень любит. У них ворох разнообразного софта, часть еще на фокспро писана. Подозреваю что тамошние программисты еще живых мамонтов видели :)

А продолжение истории с BackDoor.Dande было?
Я так понял, что вы намекаете на то, что сами разработчики «Спарго Технологии» внедрили вирус в «ePrica»?
Что Вы имеете в виду под термином «Инсайдерство»? Какой-то разработчик из компании «Спарго Технологии», тайно от руководства компании, внедрил зловред для собственного обогащения, или таки, с ведома руководства? И, все равно, интересно, было-ли продолжение, санкции, суды, интриги, расследования?
Троянец сливался с их сервера обновления софтиной, имеющей их цифровую подпись. А вот с ведома или нет, тайно или нет — это уже вопрос. Надеюсь, однажды кто-то сможет на него ответить :)
«В первую очередь Trojan.Encoder.12544 портит VBR (Volume Boot Record, загрузочная запись раздела) диска C:, первый сектор диска заполняется мусорными данными. Затем шифровальщик копирует оригинальную загрузочную запись Windows в другой участок диска, предварительно зашифровав ее с использованием алгоритма XOR, а вместо нее записывает свою. Далее он создает задание на перезагрузку компьютера, и начинает шифровать все обнаруженные на локальных физических дисках файлы»

А можно например скопировать первый сектор диска С и загрузочную запись windows и при загрузке системы всегда их перезаписывать сохраненной копией?
«При шифровании используется алгоритм AES-128-CBC, для каждого диска создается собственный ключ. „
Если есть plantext и ciphertext можно ли получить ключ и подойдет ли он ко всем файлам на диске, или диск зашифрован как единый файл?

Ребятки. Ау. В теме есть кто еще? особенно нужен автор!
на днях я писала, что подцепила некий вирус.


На днях в процессах вдруг активизировался стрим (съемка с экрана, чем я не пользуюсь вообще, не видеоблогер). Мин 15. Обрубила сеть, начала проверку. Какой-то Tool.InstrSrv.5 доктор веб его описывает, как ретрогеймер какой-то. В %AppData% был вирусован некий nssm.exe. А так же нашелся некий драйвер (Dllкакой-то, уж не помню).
У меня порты закрыты, SMB отключен. Выходит, только утилита от GeForse. Была удалена со всеми папками и файлами, даже в Installer. Вроде все в порядке. Только не смотрела реестр. Сейчас чищу, валяются какие-то ошибочные ветки с physxCore. Дырой могла стать только NVIDIA! И ее утилиты.
Кстати, не последнее место в обнаружении заняла утилита от Др. Веб, только не по умолчанию, а при ручных настройках сканирования со всеми выставлеными галочками. Что за ретрогеймер такой, я не нашла (как ПО). Есть сайты, настроенные по веб-кольцу Ретрогеймер.

Я закрыла удалила утилиту и сам вирус, пару драйверов (один нормальный, а один, судя по времени, загружен был в тот же день и лежал в %AppData%). Тестила утилитой Др. веб. Три дня у меня нормальная загрузка, нет никаких чекдисков (кстати, правильнее, CHKDSK, check disk). Там по тексту было такое, что вами описываемый вирус нейтрализует одноименный файл без расширения (у меня включены).


Я кое-что нашла. Это расширения не имеет, читается блокнотом (открывается, как txt), называется "9FB6DA6708E9", похож на кеш от адобовской графики (так сохраняются история и кэш эскизов), но не в корне диска и имеют расширение tmp.
Выглядит так:
image


Помня, что название должно быть идентично, по нему нашла такие же в темпах %AppData% (не темпах адоб). Напомню, я отправила отчет (он отправляется автоматически в лечащей утилите). Я чищу мусор, кэш, эскизы ежедневно. У меня никогда ничего не скапливается. Я малость трухаю, потому прошу заранее простить за возможные опечатки и неточности. У меня уникальные эскизы, рукописные авторские тексты, графические работы. Я очень прошу меня понять! Ищите вот такое, если что. Я не знаю, что это. Дата создания давняя, но не-бы-ло. Саму загрузку какого-то вируса я обрубила и начала лечть.
Заранее благодарна за понижение кармы......

Добрый день! Автор-то есть, но тут же совершенно о другом статья :) Тут, скорее, подойдёт наш форум, раздел «помощь по лечению»: https://forum.drweb.com/index.php?showforum=35

Ну, я просто была не уверена, что это. Этот файл без расширения появился у меня несколько позже чистки (вроде все вируса удалила) обнаружился в корне диска С. С одной стороны — он похож по своему названию на tmp с эскизами (мусор от графической программы). С другой (если сверить имена логов после проверки вашей утилитой Dr.Web CureIt) наполнение того файла (я его открыла и показала) — копия названий этих логов в темпах папки Dr. Web.(с такими названиями файлы создаются после проверок, имеют в названии по 40 символов в верхнем регистре, заглавных букв. Тем не менее — это ни то, ни другое. А, скопировав в буфер имя файла, я нашла еще три в %AppData%
Я отлично помню эту статью (не подробности кода, но все таки)!


Контроль своего повторного запуска энкодер осуществляет с помощью файла, сохраняемого им в папке C:\Windows. Этот файл имеет имя, соответствующее имени троянца без расширения. Поскольку распространяемый злоумышленниками в настоящий момент образец червя имеет имя perfc.dat, то файл, предотвращающий его повторный запуск, будет иметь имя C:\Windows\perfc. Однако стоит злоумышленникам изменить исходное имя троянца, и создание в папке C:\Windows\ файла с именем perfc без расширения (как советуют некоторые антивирусные компании), уже не спасет компьютер от заражения.

Итак. Снаружи в корне диска нечто без расширения, а внутри нечто пролеченное утилитой или похожее на код, оставленный утилитой. Поэтому и только поэтому я описала все здесь. Как вы сами писали выше, не все известны и т.п. и т.д.Помощь в лечении мне не требуется. Сейчас все в порядке, протестила все компы и даже прошила роутер. Все чисто. Доктор, ваш диагноз?

Я малость трухаю, потому прошу заранее простить за возможные опечатки и неточности. У меня уникальные эскизы, рукописные авторские тексты, графические работы. Я очень прошу меня понять!

Так начните с архивирования на съемный носитель (хотя бы флешки) или копирования всего ценного в облако. У вас же все информация еще доступна? Когда на компе не будет ничего реально ценного, можно уже заниматься лечением и прочим.

Ни в коем случае! Разнести вирус???? Прежде всего — меня спасала быстрота реакции и вырубленный интернет! Затем лечение, а уж потом файлы в облако? Вы хотели бы, чтоб через вас прошли зараженные чьи-то файлы?

Копирование архива на флешку, диск или облако никак не приведут к разнесению вируса и файлы не через кого идти не будут. А зачем вы спрашиваете советов, если считаете, что сами знаете лучше? Знаете лучше — ну удачи.

Кстати, присваиваются хэши названий архивов обычно там, где загружаемый файл на файлообменник или какой хостинг, не имеет присвоенного загружающим имени… Пока сверяю, у моего драйвера названия разнятся. Я имею в виду вот это «e7987a127266dea674ea95306aa9ba7ae851ba48». Вы читали мои комменты выше? В таком виде я взяла, потому как мне нужны были распакованные индивидуально под серийник нестандартного оборудования. Залочило архив с названием в виде хеша. А сам драйвер в системе чист. Проверяла на всякий случай антивирусами от разных компаний. У всех свои базы, как я понимаю.

Only those users with full accounts are able to leave comments. Log in, please.
Information
Founded

December 22, 2003

Location

Россия

Employees

Registered

9 August 2008

Habr blog