Имя: Пароль:
1C
 
как обойти криптовирус TeslaCrypt и его производные?
🠗Ø (rphosts 09.12.2015 07:35)
, ,
0 Римбомбони
 
08.12.15
22:15
Криптовирус TeslaCrypt недавно мутировал, изменяя расширения зашифрованных файлов путём добавления суффикса .vvv к зараженным файлам на компьютере жертвы. Это расширение является наиболее заметным маркером обновления кода трояна. Другие атрибуты включают названия текстовых файлов с требованием выкупа ключа к зашифрованным данным.Эти файлы .vvv не могут быть открыты любой из программ по умолчанию или, по очевидной причине: они шифруются с использованием AES (Advanced Encryption Standard), который использует симметричный блочный шифр. Вирус, однако, может сделать работу декодирования при условии, что жертва платит выкуп в Bitcoins. Сумма варьируется, но она, как правило держится в диапазоне 1,5-2 БТД. Все безопасные шлюзы, связывающие с ресурсом расшифровки, а также соответствующие инструкции, приведены в  how_recover файлах, которые добавляются на рабочий стол и папки.
     В результате долгих поисков нашёл ресурс который по крайней мере заявляет что сканирует ПК на наличие данного вируса http://nabzsoftware.com/types-of-threats/vvv-file. Самому специально не хочется заражаться, но если у кого-то есть подобные проблемы - буду признателен за отзыв.
1 shuhard
 
08.12.15
22:24
(0) голимая реклама
2 Сержант 1С
 
08.12.15
22:28
И ведь кто-то обязательно полезет по ссылке..
3 Jump
 
08.12.15
22:57
(2)Конечно, у большинства срабатывает рефлекс.
Особенно если текст непонятный - вот сейчас открою ссылку и все станет понятно.
4 Смотрящий
 
08.12.15
23:15
Описание там какое то на собачьем, с картинками про этот вирус
5 michael512
 
09.12.15
02:35
а нельзя ли взломать этот вирус, чтоб он думал, что оплачено?
6 opus70
 
09.12.15
05:53
я дома сделал так переименовал все фото из *.jpg в *.kk1
ну и прицепил прогу просмотра к этому расширению
с файлами офиса поступил так же

а на работе терминальный сервис в виртуальную машину KVM
https://pve.proxmox.com/wiki/Main_Page

и жесткий диск для копий на 2Тб с диапазоном в 14 дней
так что пусть теперь шифруют
7 Мэс33
 
09.12.15
06:12
(6) Кардинальный подход - "а давайте обманем вирус" )))
8 opus70
 
09.12.15
06:50
(7) на мой взгляд не можешь победить в бою честно нужно поступать подло, победителей не судят
акриптовальщики в 99% случаев работают тупо по маске и в основном это маска не исключающая в включающая т.е. с этим можно бороться тупо сменив расширение
9 opus70
 
09.12.15
06:51
ведь по сути криптовальщики поступают очень подло с нами а это развязывает нам руки
10 Провинциальный 1сник
 
09.12.15
06:53
(9) Это еще первый шаг. Скоро начнут по сигнатурам файлы определять. Не дай шифровальщику зашифровать файлы - зашифруй их сам!)
11 Мэс33
 
09.12.15
07:01
А как вообще этот вирус попадает на комп?
12 Jump
 
09.12.15
07:21
(6) Как то слишком сложно и мудрено, и не очень эффективно.
Почему вы решили что шифровальщик будет шифровать файлы по расширению?

Фотографии, документы ворда, архивы винрар - они все имеют в заголовочной части файла указания формата, по которым можно понять что это такое.
Поэтому я например за полчаса напишу скрипт который будет выбирать фото из папки с разными документами, вне зависимости от расширения.
Так что смена расширения это не панацея, хотя от простейших атак может и защитить.
13 Jump
 
09.12.15
07:25
(11) Ну для начала это не вирус, а вредоносная программа.
Это очень важный момент.

А попадает он многими путями, вот основные -
1)письмо на почту, с вложенным исполняемым файлом шифровальщика. Вы сами открываете письмо и запускаете этот файл.

2)письмо на почту, с джава скриптом, вы запускаете скрипт и он скачивает и устанавливает шифровальщик.

3)Взлом удаленного доступа - подбирают пароли к терминалу, если он у вас разрешен, и через терминал устанавливают.

Это основные моменты.
Иногда, для доставки шифровальщика используют вирусы.
14 Jump
 
09.12.15
07:28
(10) Дело в том что последнее время шифровальщики исползуются адресно.

Т.е не рассылка всем кому ни попадя, а строго определенной аудитории, и настраивают сам шифровальщик и способы его доставки специально под эту аудиторию.
А сменить алгоритм поиска с расширений на заголовки - особого ума не надо.
15 Jump
 
09.12.15
07:32
Вот пример -
Я запустил рекламу бухгалтерских услуг, и через неделю на почту указанную в рекламе начали приходить письма от заинтересованных клиентов, которые пишут что им нужен аутсорсинг бухгалтерии, спрашивают сколько это будет стоить, и подробное описание проблем предлагают прочитать в приложенном файле - с виду обычный вордовский файл, только расширение почему-то .exe