Уроки шифровальщика. Выдергивайте правильный шнур

Закодировать всё

добавить в избранное

Уроки шифровальщика. Выдергивайте правильный шнур

Прочитали: 6050 Комментариев: 79 Рейтинг: 142

4 июля 2017

Заметив заражение или какие-то странности в работе компьютера, многие как ни в чем не бывало продолжают работу. Повторим две цитаты из нашего выпуска, посвященного типичным ошибкам пользователей:

Здравствуйте, открыли письмо, компьютер начал виснуть, перезагрузили через какое то время, долго включался. как включился все было зашифровано.

Сидел в интернете, смотрел новости, был в соцсети, ничего не скачивал, по ссылкам не переходил.Компьютер подтормозил и выдал баннер от Wana Decryptor с вымогательством денег.Баннер всплывал каждые 5 сек.

В ходе эпидемии WannaCry пользователи «изобрели» еще один «метод» борьбы с шифровальщиком. Как известно, большинство шифровальщиков работает с использованием командных центров. В частности, это дает возможность генерировать ключи шифрования на удаленном сервере. Следовательно, если мы выдернем сетевой шнур, то шифровальщик лишится связи с сервером и ничего без команд сделать не сможет? Ну и по сети не сможет распространиться. Логично же!

Вот только авторы троянцев – не идиоты. При прекращении связи с сервером или отключении доступа в локальную сеть они сразу начинали шифрование.

#корпоративная_безопасность #Trojan.Encoder #шифровальщик

Антивирусная правДА! рекомендует

Заметили факт заражения или просто нечто подозрительное – обесточили компьютер путем выдергивания кабеля электропитания из розетки.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Поставьте «Нравится»

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Toma
15:30:28 2018-10-30

Обесточить компьютер путем выдергивания кабеля электропитания из розетки - жесткий совет.

Денисенко Павел Андреевич
13:31:25 2018-08-05

Не стоит выключать ПК из розетки, так как можно повредить жесткий диск.

vasvet
20:36:14 2018-04-05

Надо бы продолжение действий описать! Как потом запускаться, что приготовить из аптечки Dr.Web?

vlm200916
01:57:37 2017-07-10

)))!!!!!

Boris
15:27:08 2017-07-06

@razgen,
Не обязательно иметь другой компьютер. Достаточно иметь флешку с каким-нибудь Windows PE типа Stea edition либо Porteus Linux. На том же компьютере и запустить систему с флешки. Только на жесткий диск не заходить!

Littlefish Собкор
00:13:28 2017-07-05

@Вячeслaв, Спасибо за подробные разъяснения

forrus
23:49:06 2017-07-04

ожидаемый совет

GREII Собкор
23:48:13 2017-07-04

@razgen, можно воспользоваться смартфоном так-же на него качнуть лайф диск Доктор Веб и отсюда же использовать его как виртуальный CD-ROM и осюда же установите, переустановите все что душа пожелает лишь бы хватило его возможностей . сделать это не сложно гуглик в помощь. что кстате очень удобно и перспективно .удачи

razgen Собкор
23:05:46 2017-07-04

@kyha4, "Рекомендация предельно проста и понятна"

Теоретически да, а практически это не совсем и просто. У многих могут быть проблемы я бы сказал не технического, а организационного плана.
Допустим, заметив факт заражения согласно рекомендаций Dr.Web мы обесточили компьютер путем выдергивания кабеля электропитания из розетки.

Далее, согласно правил при заражении троянцем-шифровальщиком https://legal.drweb.ru/encoder нам необходимо составить запрос в поддержку «Доктор Веб». Причём запрос составляется на сайте Dr.Web. Но в то же время эти же правила предупреждают :
"Не пользуйтесь зараженным компьютером до получения инструкций от службы поддержки «Доктор Веб» — даже если в нем есть острая (производственная) необходимость!"

Следовательно, для обращения в Службу поддержки «Доктор Веб» и получения инструкций нам нужен другой компьютер.
И вот тут уже начинаются практические проблемы для тех у кого дома нет второго компьютера.

К...н
22:27:15 2017-07-04

Хитрят, но проиграют!

aleks_ku
22:15:12 2017-07-04

Судя по всему сработает!

kyha4
22:09:22 2017-07-04

Рекомендация предельно проста и понятна. Спасибо.

vla_va
21:48:56 2017-07-04

Увы, авторы троянцев – не идиоты!

НинаК
21:36:09 2017-07-04

Решать увы надо быстро

Dvakota
21:22:15 2017-07-04

Да , четкая рекомендация !

ek
21:20:31 2017-07-04

Ценный урок

razgen Собкор
21:13:08 2017-07-04

@Б...а,"Держите Live CD от DrWeb под рукой."

А Live CD должен быть свежий. А обновляется он наверно несколько раз в день. Это что же, надо с утра до вечера скачивать обновлённый вариант. И так каждый день. И при это он может быть никогда не понадобится. Нет, этот вариант не подходит

orw_mikle
21:08:31 2017-07-04

Не понятно, а при последующем включении ПК они самоуничтожаться?

kva-kva
21:01:36 2017-07-04

необычное решение

mk.insta
20:35:45 2017-07-04

интересно все

Геральт Собкор
19:11:34 2017-07-04

Возьму на заметку.

djabax
19:10:10 2017-07-04

Неправильный ты, Дядя Федор, шнур выдергиваешь)

B0RIS
18:47:56 2017-07-04

Отключить ПК не проблема, главное не включить без технического специалиста.

Шалтай Александр Болтай Собкор
18:22:08 2017-07-04

Если завис компьютер - выдерни шнур, выдави стекло.

Родриго
17:16:06 2017-07-04

о боги, какие противоречивые комменты

krantroru
16:48:40 2017-07-04

Спасибо за урок!

duduka
16:46:58 2017-07-04

прочитала

phkrant
15:50:15 2017-07-04

Спасибо, обесточить - не проблема, главное - вовремя.

AntonIT
15:49:15 2017-07-04

"Гениальная" рекомендация )))...

a13x Собкор
15:08:27 2017-07-04

Хорошо. Учтем. Но с вашей защитой вряд ли такой метод пригодится.

dyadya_Sasha Собкор
14:47:12 2017-07-04

@Morpheus, "...технические специалисты наверное повешаются)))..."
или повесят того кто посоветовал увидев "нечто подозрительное" выдергивать кабель из розетки(((

dyadya_Sasha Собкор
14:41:34 2017-07-04

Действовать нужно исходя из того, что у тебя на ПК и где этот ПК. Если ПК в офисной сети и на нем из несохраненных данных две три справки этого дня, то рисковать жестким диском резко обесточив ПК ради этих справок не стоит, а из сети ПК надо бы отключить во избежание дальнейшего распостранения заразы.

Татьяна
14:26:34 2017-07-04

Спасибо за совет! Надеюсь не понадобиться.

Пaвeл Собкор
13:17:57 2017-07-04

"Обесточить компьютер путем выдергивания кабеля электропитания из розетки" - в прошлый раз этот совет был несколько неожиданным. Сейчас кажется вполне логичным.

maestro431
13:10:11 2017-07-04

Я это знаю!

Влад
13:04:14 2017-07-04

о сколько нам открытий чудных....

Alexander Собкор
12:28:52 2017-07-04

Все происходит во времени. И шифровальщику для своего подлого дела необходимо определенное количество секунд, чтобы покопаться в файлах диска. Остановить, приостановить или заморозить этот процесс можно только "жестко", - прекратив питание процессора и диска с файлами операционной системы. Отсоединить шнур питания компьютера или нажать кнопку Power (Вкл\Выкл) до выключения по факту. А что дальше? А затем "включайте мозги" и вспоминайте, что надо делать в такой ситуации. Используйте свою память, заранее распечатанную инструкцию на этот случай, звонок другу или обращение в Службу поддержки компании Dr.Web.
Статью не стоит оценивать по количеству слов и фраз. Ее "важность", на мой взгляд, в целесообразности и достаточности информации для дальнейших действий. Освежить память, - разве это не важно?! Сдуть с нее пыль привычной повседневной спокойной безвирусной работы. Это как протереть экран монитора, чтобы видеть не только главное, но и детали. Банально? Да. Но и "почесать затылок", иногда, помогает. Главное, - это сделать "До", а не "После" неприятного случая.

vinnetou
12:02:47 2017-07-04

Спасибо за статью и за рекомендации!!!

Andromeda
11:42:57 2017-07-04

Спасибо за комментарии.

ada
11:32:16 2017-07-04

Спасибо за развернутые комментарии.

Hazal
11:27:28 2017-07-04

Комментарии интересны.

Viktoria
11:19:32 2017-07-04

Спасибо за подробные разъяснения в комментариях.

Людмила
11:03:36 2017-07-04

@Марина,
https://legal.drweb.ru/encoder
достаточно первой фразы Не пользуйтесь зараженным компьютером до получения инструкций от службы поддержки «Доктор Веб» — даже если в нем есть острая (производственная) необходимость!
и дальше переходим к инструкции по обращению в ТП. Страница на нашем сайте с 2012 года если не ошибаюсь.

Вячeслaв Собкор
10:54:02 2017-07-04

@Марина, @Littlefish, @Littlefish, @eaglebuk, мы отлично понимаем, что обесточивание компьютера - не самое безопасное действие. Почему рекомендуется делать именно так, а не иначе:
- вирус, почувствовав неладное, может замести следы. Маловероятно на самом деле
- чем быстрее вы выключите, тем меньше файлов зашифруется. Уже существеннее. Даже за 4 секунды у вас может зашифроваться что-то нужное
- если вы резко выключили, то в системе все осталось в том виде, как работало. Тоесть если вашу систему будут исследовать, то там будет все разложено удобным образом. Поэтому это правило - из расследования компьютерных преступлений. Помните детективы? На месте преступления все должно быть так, как было, двигать ничего нельзя

Что делать, если компьютер выключен. Засада, я понимаю. Лично я бы скачал свежий LiveCD, проверил компьютер или отсоединил диск и проверил его на иной машине. Потом включил в безопасном режиме и связался с поддержкой, параллельно куда скопировав все нужное, но не на штатное место бекапа

А самая лучшая защита от шифровальщиков сейчас - не иметь на машине ничего критически нужного. Нехай подавятся попыткой шифрования отсутствующих важных файлов. Как этого достичь? Вариантов много:
- военный. два компьютера. Один для почты и серфинга, другой, жестоко ограниченный в правах - для работы
- разделяй и властвуй. все файлы - на отдельном диске или хранилище. Надо поработать - примонтировал, перестал - отмонтировал
- разделение прав пользователя. Все данные должны быть недоступны для изменения. Это уже сложнее, чем предыдущее. Но в линуксе достаточно просто. Вообще линукс конечно тоже дыряв, но идея поставить всю системную часть ОС в read-only - и пускай попытаются ее изменить - мне очень импонирует

Vladimir
10:39:02 2017-07-04

@Вячeслaв, Повторение - мать учения )) Все логично!

Вячeслaв Собкор
10:36:22 2017-07-04

@ka_s, "Неужели единственный вариант - "выдернуть кабель электропитания из розетки"?"
Вы являетесь продвинутым хакером, у вас на компьютере в готовности развернутый набор утилит контроля за системой? Увы, тогда без вариантов. Да, винт может накрыться. Но вспомним, как ОС не хочет закрывать работающие процессы. Пока вы штатным образом выключаете систему - сколько файлов у вас успеют зашифроваться?

Выключить на фильтре - можно и там, главное быстро обесточить

Вячeслaв Собкор
10:31:24 2017-07-04

@Vladimir, вот не поверите. Мы бы с удовольствием дали один раз совет - и не повторялись бы. Свеженькое:
Появился процесс svchost.exe который грузит половину проца, по началу он убивался в диспетчере задач, а с недавнего времени это стало приводить к перезагрузке ОС. CureIt его находит только как файл на диске, а что он висит в памяти не видит... Есть подозрение на уязвимость в ОС, обновления все установлены.
...
антивирус ничего не видит, и как выяснилось по причине что все диски были добавлены в исключение (скрины в приложении), после удаления исключений файл svchost.exe видится и удаляется.

Напоминает ситуацию про маму, которая пытается исключительно добром приучить воспитуемого к порядку

Марина
10:08:43 2017-07-04

Предположим, обесточили компьютер. А дальше что делать?

kozinka.ru Собкор
09:54:42 2017-07-04

Обычному пользователю определить скрытый процесс работы шифровальщика крайне трудно. Особенно, когда включение компьютера и его загрузка производится отдельно от пользователя. Нажал на кнопку включения питания - на перекур. Большая работа должна начинаться с большого перекура. И так делают очень многие. Сам тому свидетель. Вернулся - всё загрузилось и готово к работе. А что там и как грузилось - никого не интересует...
А потом уже слышно: "Админ! У меня тут что-то не то и не это! Делай чё-нибудь!!!"

ivan.ivanov1904
09:47:05 2017-07-04 Именинник

"Авторы троянцев – не идиоты."
Это понятно.

Комментарии к другим выпускам | Мои комментарии

Вы используете устаревший браузер!

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM