Войти

Показать полную графическую версию : вирусы-шифровальщики.


Страниц : [1] 2 3 4

r-studio
02-08-2013, 00:22
Вопрос чисто теоретического-практического плана. Что об этих вирусах известно и как они лечатся?

LehaMechanic
02-08-2013, 06:53
как они лечатся? »
Так же как и все прочие - выносом их с компьютера вперед ногами.
А вот последствия их деятельности (зашифрованные файлы) практически не лечатся. Хорошо если вирус писал школьник-недоучка и алгоритм шифровки прост, как две копейки, либо добрый робингуд выложил в сеть лекарство-расшифровщик. Но бывают и патовые ситуации. Взять в пример WinRAR, со своим алгоритмом шифрования. По сути то же самое. Ставишь пароль на архив и без этого пароля никто не сможет вынуть из него файлы, даже создатель программы, о чём сам и предупреждает в справке. Только тяжелым и трудным перебором всех комбинаций. А это по времени стремится в бесконечность.

r-studio
02-08-2013, 09:55
Leha Ares, так , а как они лечаться, стандартно как порнобанер или есть отдельные способы?

и какие на данный момент есть дешифровальщики.

Rezor666
02-08-2013, 10:11
а как они лечаться »
Последствия лечатся дешифратором.
и какие на данный момент есть дешифровальщики. »
Для каждого вируса свой, но не стоит забывать что далеко не для каждого есть дешифратор.

Судя по нику вам уже приходилось ими пользоваться :laugh:

r-studio
02-08-2013, 10:39
Rezor666, а сам троян как удалить?))
Р-студио дешифратор?))) я думал просто восстановитель данных. Я так понял, что зашифрованные файлы имеют расширение ebf.

так, где почитать о том какие дешифраторы к каким вирусам подходят.

И оный сорт гАвна шифрует файлы только на диске С или на всех сразу?))

Rezor666
02-08-2013, 10:50
а сам троян как удалить?)) »
Антивирусом.
Р-студио дешифратор?))) »
Нет но по моим соображениям вы несли винду с файлами а потом нашли дешифратор и начали восстанавливать файлы :)
Хотя может и не прав :) Но все равно смешно когда человек с таким ником задает такие вопросы :)

так, где почитать о том какие дешифраторы к каким вирусам подходят. »
Ну например вот о Xorist (http://support.kaspersky.ru/2911?el=88446)
А полных списков нету.

И оный сорт гАвна шифрует файлы только на диске С или на всех сразу?)) »
Зависит от вируса.

LehaMechanic
02-08-2013, 10:53
а сам троян как удалить?)) »
Конкретных инструкций нет. Каждый вирус в чём-то уникален и требует уникального подхода, это касается их всех, не только шифровальщиков. Уникальны они по той простой причине, что создаются разными людьми, которые по определению не могут творить одинаково. Иначе антивирусы уже давно остались бы без работы, но нет же, им базы каждый день обновлять надо, иначе не узнают новую разновидность заразы.

зашифрованные файлы имеют расширение ebf »
Не факт. Расширение само по себе ничего не значит, простой набор букв, можно изменить прямо в Проводнике с клавиатуры.

И оный сорт гАвна шифрует файлы только на диске С или на всех сразу?)) »
Как вирусописатель захочет, так и сделает, неужели не очевидно?

где почитать о том какие дешифраторы к каким вирусам подходят »
Нигде. И зачем о них всех что-то читать? Какой смысл?

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте.
Эт не реклама, просто пример сервиса, который оказывает компания Др.Вэб. Весьма похвально с их стороны, хотя и не понимаю, за чёй счет банкет и зачем им нужна благотворительность. Антивирус их тоже не жалую.

Rezor666
02-08-2013, 11:01
что создаются разными людьми, которые по определению не могут творить одинаково. »
Да ладно, половина из них чуть-чуть поправлена каким то гавнокодером и вот уже новый вирус.

просто пример сервиса, который оказывает компания Др.Вэб »
Помойму это сейчас все оказывают.
Каперский (http://www.kaspersky.ru/news?id=207732751)аж с 2008 года это делает.

WindowsNT
02-08-2013, 12:38
Что известно:
- им уже много лет. Несколько лет подряд я наблюдаю на форумах ежедневные вопли "помогите, зашифрованы документы и базы 1С!";
- внятную защиту от них обеспечивает только software restriction policies, именно шифровальщики блестяще доказывают БЕСПОЛЕЗНОСТЬ антивирусных программ;
- поражённая машина находится под полным контролем автора вируса. Он может сделать ВСЁ, в том числе обыскать все локальные диски, съёмные носители и сетевые соединения; некоторые глупые люди думают, что файлы на файл-сервере находятся в безопасности, и что ограничивать доступ к документам в сети не следует, "мы все друг другу доверяем". Вирус доказывает иное;
- вина администратора в заражении шифровальщиком и/или потере данных всегда безусловна и безоговорочна, однако, многие этого понять не в состоянии. Они обвиняют плохой антивирус, пользователя или браузер; крайне редко кто делает правильные выводы после происшествия;


Как лечится:
- данные восстанвливаются из резервных копий. И на Windows Server, и на Windows Professional настроить ежечасные shadow copies (копия прозрачно делается раз в час!) не составляет ни малейшей проблемы, это можно и нужно заранее сделать не только из-за шифровальщиков. Бэкап является единственным гарантированным источником чистых данных, всё остальное (зашифрованное) может либо никогда не быть расшифровано, либо необратимо повреждено, либо скомпрометировано иным способом, в том числе неоднократно повторно. В целом, все люди делятся на две категории — те, кто ЕЩЁ НЕ делает бэкап и те, кто УЖЕ делает бэкап. Выбирайте, какая категория вам ближе.
- скомпрометированная система уничтожается и переустанавливается с нуля. Вы уже не можете знать, что живёт внутри компьютера, куда проник хакер;
- администратор наказывается в рамках политики организации. Это стопроцентно его вина;
- политика управления компьютером меняется на внятную, правильную.

exo
02-08-2013, 12:56
именно шифровальщики блестяще доказывают БЕСПОЛЕЗНОСТЬ антивирусных программ; »
в таком случае, Linux блестяще доказывает УЯЗВИМОСТЬ ОС Windows...

WindowsNT, просьба: вы когда пишите про SRP дописываете, пожалуйста, данная защита присутствует в версиях с Про. Так же и про вину администратора в домашних условиях.
Всё таки нужно разделять домашний и корпоративный сектор.
Спасибо.

на Windows Professional настроить ежечасные shadow copies (копия прозрачно делается раз в час!) »
есть ссылка на документацию по настройке VSS каждый час для клиентской ОС ?
В целом, все люди делятся на две категории — те, кто ЕЩЁ НЕ делает бэкап и те, кто УЖЕ делает бэкап »
увы, после того, как я однажды не смог восстановить из бекапа акрониса фотографии (лет 5 назад), лично я добавил третью категорию: те, кто делают два бекапа.
Да, паранойя, но обоснованная.

WindowsNT
02-08-2013, 13:08
Dear exo,

В вопросе сектор не обозначен, поэтому не вижу препятствий для. С другой стороны, иметь даже дома Home-версию считаю неправильным, небезопасным.
Инструкция есть, уже показывал сайт.
Бэкапы нужно чередовать и _проверять_.

exo
02-08-2013, 13:21
Инструкция есть, уже показывал сайт. »
а можно ещё раз повторить. Припоминается только ссылка на SPR, а нов на VSS не припомню. Спасибо.
С другой стороны, иметь даже дома Home-версию считаю неправильным, небезопасным. »
и тем не менее, именно эта ОС идёт в основном как ОЕМ. Видимо Майкрасофт считает, что она достаточно безопасна для пользователей.
Бэкапы нужно чередовать и _проверять_. »
ну я тогда как-то доверился акронису и не проверил. там то ли бекап кривой создался то ли ещё что.
Часть фоток вытащил с диска потом с помощью Ontrack Recovery

LehaMechanic
02-08-2013, 13:35
иметь даже дома Home-версию считаю неправильным, небезопасным »
Тогда уж сюда надо добавить неправильным использование только одного HDD, а вдруг он навернется так, что и вирусы лучше не справятся?
А также вообще считаю неправильным считать по-умолчанию и безоговорочно неправильным применение дома Home версии. Надо всё-таки понимать, что мы хотим защитить и как мы хотим это защитить, т.е. принять во внимание ценность защищаемой системы и информации на ней. Есть такая поговорка в тему: иногда просто овчинка выделки не стоит.

Rezor666
02-08-2013, 13:37
в таком случае, Linux блестяще доказывает УЯЗВИМОСТЬ ОС Windows... »
Нет, тоже самое и на Linux можно.

и тем не менее, именно эта ОС идёт в основном как ОЕМ »
Тоже нет, она идет только на бюджетных устройствах.

WindowsNT
02-08-2013, 13:40
Первая же страница в гугле по "shadow copies windows 7": http://blog.windowsnt.lv/2011/12/14/previous-versions-on-windows7-russian/

Заодно ещё и "статистика продаж windows 7" поискал. Ничего толкового, но вот хотя бы такой пример: http://www.f1cd.ru/news/soft/456/
"Windows 7 Home Basic приходится 3 % оформленных заказов, Windows 7 Home Premium – 34 %"
"Windows 7 Professional – 47 %. Версию Windows 7 Ultimate выбирают 16 % клиентов". То есть, SRP можно настроить на более 50% продаваемых машин "из коробки". И не забываем о некоем проценте апгрейдов, которые тоже имеют место быть. Get real. Поиск оправданий нежеланию некоторых ударить палец о палец просто не нужен.

Rezor666
02-08-2013, 13:40
просьба: вы когда пишите про SRP дописывает »
Тоже просьба, вы когда про Linux говорите указывайте версию.

WindowsNT
02-08-2013, 13:41
неправильным использование только одного HDD »

Get Facts: Да, бэкапы следует делать на отдельный носитель. И у многих такой диск есть. И многие это делают.

ценность защищаемой системы и информации на ней »

XXI век, онлайн-транзакции в каждом доме.

exo
02-08-2013, 13:54
Тоже просьба, вы когда про Linux говорите указывайте версию. »
Линукс не мой мейн профиль. Если есть разница в безопасности и уязвимости дистрибутивов - с удовольствием послушаю вас.

Первая же страница в гугле по "shadow copies windows 7" »
собственно там и написано:
Да, Предыдущие Версии создаются. Но не каждый час. Может оказаться, что и не каждый день. А лишь иногда, в некоторые особые моменты вашей жизни.
+

Так в каких конкретно случаях создаются Previous Versions? Таких случаев не так уж много:
- При выполнении резервного копирования программой Windows Backup;
- В момент создания Restore Point (точки восстановления)
т.е. очень сильно отличается от сервера, и настроить резервную копию каждый час? Точку восстановления?
для домашнего пользователя это не есть гуд. производительно может заметно упасть во время резервной копии.

Возможно, тенденция на облачные хранилища имеет свой плюс в этом плане. Возможно...

Я поясню, почему я беру упор на домашних пользователей и не рассматриваю корпоративный сектор.
Считаю, что домашние компьютеры имеют больше возможностей для заражения, т.к. в компания работают квалифицированные (должны быть квалифицированными) сотрудники IT, отдела безопасности.
Компании вкладывают деньги в ПО, в обучения сотрудников IT. Сколько домашний пользователей готовы потратить деньги на подобное обучение?
Далее. Я думаю, что вы согласитесь что домашние роутеры не так безопасны, как например, межсетевые экраны Cisco. Сколько домашних пользователей готовы заплатить за такое оборудование?
Я считаю, что корпоративные сектор лучше защищён по умолчанию. Если нет - то эта компания на уровне домашних компьютеров.

п.с.: мы снова отходим от темы.

LehaMechanic
02-08-2013, 13:58
XXI век, онлайн-транзакции в каждом доме. »
Да ну? Может быть какая-то статистика есть? Или данные соц. опросов? В моем доме транзакций нет. Это значит уже не в "каждом" доме, => утверждение ложно, так?

Rezor666
02-08-2013, 14:01
Если есть разница в безопасности и уязвимости дистрибутивов - с удовольствие послушаю вас. »
Вроде только не давно приводил список CVE?
собственно там и написано: »
Тоже не нашел, только ежедневно.
Правда можно сделать 24 задания :)
Вообще использую для документов Cobian Backup (http://www.cobiansoft.com/index.htm) ну а для OS уже утилиту Microsoft на раз в день.

В моем доме транзакций нет. »
Частный дом?
Но согласен, на моей даче тоже нету транзакций :(




© OSzone.net 2001-2012