Уроки шифровальщика. Выдергивайте правильный шнур
4 июля 2017
Заметив заражение или какие-то странности в работе компьютера, многие как ни в чем не бывало продолжают работу. Повторим две цитаты из нашего выпуска, посвященного типичным ошибкам пользователей:
Здравствуйте, открыли письмо, компьютер начал виснуть, перезагрузили через какое то время, долго включался. как включился все было зашифровано.
Сидел в интернете, смотрел новости, был в соцсети, ничего не скачивал, по ссылкам не переходил.Компьютер подтормозил и выдал баннер от Wana Decryptor с вымогательством денег.Баннер всплывал каждые 5 сек.
В ходе эпидемии WannaCry пользователи «изобрели» еще один «метод» борьбы с шифровальщиком. Как известно, большинство шифровальщиков работает с использованием командных центров. В частности, это дает возможность генерировать ключи шифрования на удаленном сервере. Следовательно, если мы выдернем сетевой шнур, то шифровальщик лишится связи с сервером и ничего без команд сделать не сможет? Ну и по сети не сможет распространиться. Логично же!
Вот только авторы троянцев – не идиоты. При прекращении связи с сервером или отключении доступа в локальную сеть они сразу начинали шифрование.
#корпоративная_безопасность #Trojan.Encoder #шифровальщикАнтивирусная правДА! рекомендует
Заметили факт заражения или просто нечто подозрительное – обесточили компьютер путем выдергивания кабеля электропитания из розетки.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Toma
15:30:28 2018-10-30
Денисенко Павел Андреевич
13:31:25 2018-08-05
vasvet
20:36:14 2018-04-05
vlm200916
01:57:37 2017-07-10
Boris
15:27:08 2017-07-06
Не обязательно иметь другой компьютер. Достаточно иметь флешку с каким-нибудь Windows PE типа Stea edition либо Porteus Linux. На том же компьютере и запустить систему с флешки. Только на жесткий диск не заходить!
Littlefish
00:13:28 2017-07-05
forrus
23:49:06 2017-07-04
GREII
23:48:13 2017-07-04
razgen
23:05:46 2017-07-04
Теоретически да, а практически это не совсем и просто. У многих могут быть проблемы я бы сказал не технического, а организационного плана.
Допустим, заметив факт заражения согласно рекомендаций Dr.Web мы обесточили компьютер путем выдергивания кабеля электропитания из розетки.
Далее, согласно правил при заражении троянцем-шифровальщиком https://legal.drweb.ru/encoder нам необходимо составить запрос в поддержку «Доктор Веб». Причём запрос составляется на сайте Dr.Web. Но в то же время эти же правила предупреждают :
"Не пользуйтесь зараженным компьютером до получения инструкций от службы поддержки «Доктор Веб» — даже если в нем есть острая (производственная) необходимость!"
Следовательно, для обращения в Службу поддержки «Доктор Веб» и получения инструкций нам нужен другой компьютер.
И вот тут уже начинаются практические проблемы для тех у кого дома нет второго компьютера.
К...н
22:27:15 2017-07-04
aleks_ku
22:15:12 2017-07-04
kyha4
22:09:22 2017-07-04
vla_va
21:48:56 2017-07-04
НинаК
21:36:09 2017-07-04
Dvakota
21:22:15 2017-07-04
ek
21:20:31 2017-07-04
razgen
21:13:08 2017-07-04
А Live CD должен быть свежий. А обновляется он наверно несколько раз в день. Это что же, надо с утра до вечера скачивать обновлённый вариант. И так каждый день. И при это он может быть никогда не понадобится. Нет, этот вариант не подходит
orw_mikle
21:08:31 2017-07-04
kva-kva
21:01:36 2017-07-04
mk.insta
20:35:45 2017-07-04
Геральт
19:11:34 2017-07-04
djabax
19:10:10 2017-07-04
B0RIS
18:47:56 2017-07-04
Шалтай Александр Болтай
18:22:08 2017-07-04
Родриго
17:16:06 2017-07-04
krantroru
16:48:40 2017-07-04
duduka
16:46:58 2017-07-04
phkrant
15:50:15 2017-07-04
AntonIT
15:49:15 2017-07-04
a13x
15:08:27 2017-07-04
dyadya_Sasha
14:47:12 2017-07-04
или повесят того кто посоветовал увидев "нечто подозрительное" выдергивать кабель из розетки(((
dyadya_Sasha
14:41:34 2017-07-04
Татьяна
14:26:34 2017-07-04
Пaвeл
13:17:57 2017-07-04
maestro431
13:10:11 2017-07-04
Влад
13:04:14 2017-07-04
Alexander
12:28:52 2017-07-04
Статью не стоит оценивать по количеству слов и фраз. Ее "важность", на мой взгляд, в целесообразности и достаточности информации для дальнейших действий. Освежить память, - разве это не важно?! Сдуть с нее пыль привычной повседневной спокойной безвирусной работы. Это как протереть экран монитора, чтобы видеть не только главное, но и детали. Банально? Да. Но и "почесать затылок", иногда, помогает. Главное, - это сделать "До", а не "После" неприятного случая.
vinnetou
12:02:47 2017-07-04
Andromeda
11:42:57 2017-07-04
ada
11:32:16 2017-07-04
Hazal
11:27:28 2017-07-04
Viktoria
11:19:32 2017-07-04
Людмила
11:03:36 2017-07-04
https://legal.drweb.ru/encoder
достаточно первой фразы Не пользуйтесь зараженным компьютером до получения инструкций от службы поддержки «Доктор Веб» — даже если в нем есть острая (производственная) необходимость!
и дальше переходим к инструкции по обращению в ТП. Страница на нашем сайте с 2012 года если не ошибаюсь.
Вячeслaв
10:54:02 2017-07-04
- вирус, почувствовав неладное, может замести следы. Маловероятно на самом деле
- чем быстрее вы выключите, тем меньше файлов зашифруется. Уже существеннее. Даже за 4 секунды у вас может зашифроваться что-то нужное
- если вы резко выключили, то в системе все осталось в том виде, как работало. Тоесть если вашу систему будут исследовать, то там будет все разложено удобным образом. Поэтому это правило - из расследования компьютерных преступлений. Помните детективы? На месте преступления все должно быть так, как было, двигать ничего нельзя
Что делать, если компьютер выключен. Засада, я понимаю. Лично я бы скачал свежий LiveCD, проверил компьютер или отсоединил диск и проверил его на иной машине. Потом включил в безопасном режиме и связался с поддержкой, параллельно куда скопировав все нужное, но не на штатное место бекапа
А самая лучшая защита от шифровальщиков сейчас - не иметь на машине ничего критически нужного. Нехай подавятся попыткой шифрования отсутствующих важных файлов. Как этого достичь? Вариантов много:
- военный. два компьютера. Один для почты и серфинга, другой, жестоко ограниченный в правах - для работы
- разделяй и властвуй. все файлы - на отдельном диске или хранилище. Надо поработать - примонтировал, перестал - отмонтировал
- разделение прав пользователя. Все данные должны быть недоступны для изменения. Это уже сложнее, чем предыдущее. Но в линуксе достаточно просто. Вообще линукс конечно тоже дыряв, но идея поставить всю системную часть ОС в read-only - и пускай попытаются ее изменить - мне очень импонирует
Vladimir
10:39:02 2017-07-04
Вячeслaв
10:36:22 2017-07-04
Вы являетесь продвинутым хакером, у вас на компьютере в готовности развернутый набор утилит контроля за системой? Увы, тогда без вариантов. Да, винт может накрыться. Но вспомним, как ОС не хочет закрывать работающие процессы. Пока вы штатным образом выключаете систему - сколько файлов у вас успеют зашифроваться?
Выключить на фильтре - можно и там, главное быстро обесточить
Вячeслaв
10:31:24 2017-07-04
Появился процесс svchost.exe который грузит половину проца, по началу он убивался в диспетчере задач, а с недавнего времени это стало приводить к перезагрузке ОС. CureIt его находит только как файл на диске, а что он висит в памяти не видит... Есть подозрение на уязвимость в ОС, обновления все установлены.
...
антивирус ничего не видит, и как выяснилось по причине что все диски были добавлены в исключение (скрины в приложении), после удаления исключений файл svchost.exe видится и удаляется.
Напоминает ситуацию про маму, которая пытается исключительно добром приучить воспитуемого к порядку
Марина
10:08:43 2017-07-04
DrKV
09:54:42 2017-07-04
А потом уже слышно: "Админ! У меня тут что-то не то и не это! Делай чё-нибудь!!!"
ivan.ivanov1904
09:47:05 2017-07-04
Это понятно.