|
как обойти криптовирус TeslaCrypt и его производные? 🠗Ø (rphosts 09.12.2015 07:35) | ☑ | ||
---|---|---|---|---|
0
Римбомбони
08.12.15
✎
22:15
|
Криптовирус TeslaCrypt недавно мутировал, изменяя расширения зашифрованных файлов путём добавления суффикса .vvv к зараженным файлам на компьютере жертвы. Это расширение является наиболее заметным маркером обновления кода трояна. Другие атрибуты включают названия текстовых файлов с требованием выкупа ключа к зашифрованным данным.Эти файлы .vvv не могут быть открыты любой из программ по умолчанию или, по очевидной причине: они шифруются с использованием AES (Advanced Encryption Standard), который использует симметричный блочный шифр. Вирус, однако, может сделать работу декодирования при условии, что жертва платит выкуп в Bitcoins. Сумма варьируется, но она, как правило держится в диапазоне 1,5-2 БТД. Все безопасные шлюзы, связывающие с ресурсом расшифровки, а также соответствующие инструкции, приведены в how_recover файлах, которые добавляются на рабочий стол и папки.
В результате долгих поисков нашёл ресурс который по крайней мере заявляет что сканирует ПК на наличие данного вируса http://nabzsoftware.com/types-of-threats/vvv-file. Самому специально не хочется заражаться, но если у кого-то есть подобные проблемы - буду признателен за отзыв. |
|||
1
shuhard
08.12.15
✎
22:24
|
(0) голимая реклама
|
|||
2
Сержант 1С
08.12.15
✎
22:28
|
И ведь кто-то обязательно полезет по ссылке..
|
|||
3
Jump
08.12.15
✎
22:57
|
(2)Конечно, у большинства срабатывает рефлекс.
Особенно если текст непонятный - вот сейчас открою ссылку и все станет понятно. |
|||
4
Смотрящий
08.12.15
✎
23:15
|
Описание там какое то на собачьем, с картинками про этот вирус
|
|||
5
michael512
09.12.15
✎
02:35
|
а нельзя ли взломать этот вирус, чтоб он думал, что оплачено?
|
|||
6
opus70
09.12.15
✎
05:53
|
я дома сделал так переименовал все фото из *.jpg в *.kk1
ну и прицепил прогу просмотра к этому расширению с файлами офиса поступил так же а на работе терминальный сервис в виртуальную машину KVM https://pve.proxmox.com/wiki/Main_Page и жесткий диск для копий на 2Тб с диапазоном в 14 дней так что пусть теперь шифруют |
|||
7
Мэс33
09.12.15
✎
06:12
|
(6) Кардинальный подход - "а давайте обманем вирус" )))
|
|||
8
opus70
09.12.15
✎
06:50
|
(7) на мой взгляд не можешь победить в бою честно нужно поступать подло, победителей не судят
акриптовальщики в 99% случаев работают тупо по маске и в основном это маска не исключающая в включающая т.е. с этим можно бороться тупо сменив расширение |
|||
9
opus70
09.12.15
✎
06:51
|
ведь по сути криптовальщики поступают очень подло с нами а это развязывает нам руки
|
|||
10
Провинциальный 1сник
09.12.15
✎
06:53
|
(9) Это еще первый шаг. Скоро начнут по сигнатурам файлы определять. Не дай шифровальщику зашифровать файлы - зашифруй их сам!)
|
|||
11
Мэс33
09.12.15
✎
07:01
|
А как вообще этот вирус попадает на комп?
|
|||
12
Jump
09.12.15
✎
07:21
|
(6) Как то слишком сложно и мудрено, и не очень эффективно.
Почему вы решили что шифровальщик будет шифровать файлы по расширению? Фотографии, документы ворда, архивы винрар - они все имеют в заголовочной части файла указания формата, по которым можно понять что это такое. Поэтому я например за полчаса напишу скрипт который будет выбирать фото из папки с разными документами, вне зависимости от расширения. Так что смена расширения это не панацея, хотя от простейших атак может и защитить. |
|||
13
Jump
09.12.15
✎
07:25
|
(11) Ну для начала это не вирус, а вредоносная программа.
Это очень важный момент. А попадает он многими путями, вот основные - 1)письмо на почту, с вложенным исполняемым файлом шифровальщика. Вы сами открываете письмо и запускаете этот файл. 2)письмо на почту, с джава скриптом, вы запускаете скрипт и он скачивает и устанавливает шифровальщик. 3)Взлом удаленного доступа - подбирают пароли к терминалу, если он у вас разрешен, и через терминал устанавливают. Это основные моменты. Иногда, для доставки шифровальщика используют вирусы. |
|||
14
Jump
09.12.15
✎
07:28
|
(10) Дело в том что последнее время шифровальщики исползуются адресно.
Т.е не рассылка всем кому ни попадя, а строго определенной аудитории, и настраивают сам шифровальщик и способы его доставки специально под эту аудиторию. А сменить алгоритм поиска с расширений на заголовки - особого ума не надо. |
|||
15
Jump
09.12.15
✎
07:32
|
Вот пример -
Я запустил рекламу бухгалтерских услуг, и через неделю на почту указанную в рекламе начали приходить письма от заинтересованных клиентов, которые пишут что им нужен аутсорсинг бухгалтерии, спрашивают сколько это будет стоить, и подробное описание проблем предлагают прочитать в приложенном файле - с виду обычный вордовский файл, только расширение почему-то .exe |
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |