Уроки шифровальщика. Выдергивайте правильный шнур
4 июля 2017
Заметив заражение или какие-то странности в работе компьютера, многие как ни в чем не бывало продолжают работу. Повторим две цитаты из нашего выпуска, посвященного типичным ошибкам пользователей:
Здравствуйте, открыли письмо, компьютер начал виснуть, перезагрузили через какое то время, долго включался. как включился все было зашифровано.
Сидел в интернете, смотрел новости, был в соцсети, ничего не скачивал, по ссылкам не переходил.Компьютер подтормозил и выдал баннер от Wana Decryptor с вымогательством денег.Баннер всплывал каждые 5 сек.
В ходе эпидемии WannaCry пользователи «изобрели» еще один «метод» борьбы с шифровальщиком. Как известно, большинство шифровальщиков работает с использованием командных центров. В частности, это дает возможность генерировать ключи шифрования на удаленном сервере. Следовательно, если мы выдернем сетевой шнур, то шифровальщик лишится связи с сервером и ничего без команд сделать не сможет? Ну и по сети не сможет распространиться. Логично же!
Вот только авторы троянцев – не идиоты. При прекращении связи с сервером или отключении доступа в локальную сеть они сразу начинали шифрование.
#корпоративная_безопасность #Trojan.Encoder #шифровальщикАнтивирусная правДА! рекомендует
Заметили факт заражения или просто нечто подозрительное – обесточили компьютер путем выдергивания кабеля электропитания из розетки.
Нам важно ваше мнение
10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Toma
15:30:28 2018-10-30
Денисенко Павел Андреевич
13:31:25 2018-08-05
vasvet
20:36:14 2018-04-05
vlm200916
01:57:37 2017-07-10
Boris
15:27:08 2017-07-06
Не обязательно иметь другой компьютер. Достаточно иметь флешку с каким-нибудь Windows PE типа Stea edition либо Porteus Linux. На том же компьютере и запустить систему с флешки. Только на жесткий диск не заходить!
Littlefish
00:13:28 2017-07-05
forrus
23:49:06 2017-07-04
GREII
23:48:13 2017-07-04
razgen
23:05:46 2017-07-04
Теоретически да, а практически это не совсем и просто. У многих могут быть проблемы я бы сказал не технического, а организационного плана.
Допустим, заметив факт заражения согласно рекомендаций Dr.Web мы обесточили компьютер путем выдергивания кабеля электропитания из розетки.
Далее, согласно правил при заражении троянцем-шифровальщиком https://legal.drweb.ru/encoder нам необходимо составить запрос в поддержку «Доктор Веб». Причём запрос составляется на сайте Dr.Web. Но в то же время эти же правила предупреждают :
"Не пользуйтесь зараженным компьютером до получения инструкций от службы поддержки «Доктор Веб» — даже если в нем есть острая (производственная) необходимость!"
Следовательно, для обращения в Службу поддержки «Доктор Веб» и получения инструкций нам нужен другой компьютер.
И вот тут уже начинаются практические проблемы для тех у кого дома нет второго компьютера.
К...н
22:27:15 2017-07-04
aleks_ku
22:15:12 2017-07-04
kyha4
22:09:22 2017-07-04
vla_va
21:48:56 2017-07-04
НинаК
21:36:09 2017-07-04
Dvakota
21:22:15 2017-07-04
ek
21:20:31 2017-07-04
razgen
21:13:08 2017-07-04
А Live CD должен быть свежий. А обновляется он наверно несколько раз в день. Это что же, надо с утра до вечера скачивать обновлённый вариант. И так каждый день. И при это он может быть никогда не понадобится. Нет, этот вариант не подходит
orw_mikle
21:08:31 2017-07-04
kva-kva
21:01:36 2017-07-04
mk.insta
20:35:45 2017-07-04
Геральт
19:11:34 2017-07-04
djabax
19:10:10 2017-07-04
B0RIS
18:47:56 2017-07-04
Шалтай Александр Болтай
18:22:08 2017-07-04
Родриго
17:16:06 2017-07-04
krantroru
16:48:40 2017-07-04
duduka
16:46:58 2017-07-04
phkrant
15:50:15 2017-07-04
AntonIT
15:49:15 2017-07-04
a13x
15:08:27 2017-07-04
dyadya_Sasha
14:47:12 2017-07-04
или повесят того кто посоветовал увидев "нечто подозрительное" выдергивать кабель из розетки(((
dyadya_Sasha
14:41:34 2017-07-04
Татьяна
14:26:34 2017-07-04
Пaвeл
13:17:57 2017-07-04
maestro431
13:10:11 2017-07-04
Влад
13:04:14 2017-07-04
Alexander
12:28:52 2017-07-04
Статью не стоит оценивать по количеству слов и фраз. Ее "важность", на мой взгляд, в целесообразности и достаточности информации для дальнейших действий. Освежить память, - разве это не важно?! Сдуть с нее пыль привычной повседневной спокойной безвирусной работы. Это как протереть экран монитора, чтобы видеть не только главное, но и детали. Банально? Да. Но и "почесать затылок", иногда, помогает. Главное, - это сделать "До", а не "После" неприятного случая.
vinnetou
12:02:47 2017-07-04
Andromeda
11:42:57 2017-07-04
ada
11:32:16 2017-07-04
Hazal
11:27:28 2017-07-04
Viktoria
11:19:32 2017-07-04
Людмила
11:03:36 2017-07-04
https://legal.drweb.ru/encoder
достаточно первой фразы Не пользуйтесь зараженным компьютером до получения инструкций от службы поддержки «Доктор Веб» — даже если в нем есть острая (производственная) необходимость!
и дальше переходим к инструкции по обращению в ТП. Страница на нашем сайте с 2012 года если не ошибаюсь.
Вячeслaв
10:54:02 2017-07-04
- вирус, почувствовав неладное, может замести следы. Маловероятно на самом деле
- чем быстрее вы выключите, тем меньше файлов зашифруется. Уже существеннее. Даже за 4 секунды у вас может зашифроваться что-то нужное
- если вы резко выключили, то в системе все осталось в том виде, как работало. Тоесть если вашу систему будут исследовать, то там будет все разложено удобным образом. Поэтому это правило - из расследования компьютерных преступлений. Помните детективы? На месте преступления все должно быть так, как было, двигать ничего нельзя
Что делать, если компьютер выключен. Засада, я понимаю. Лично я бы скачал свежий LiveCD, проверил компьютер или отсоединил диск и проверил его на иной машине. Потом включил в безопасном режиме и связался с поддержкой, параллельно куда скопировав все нужное, но не на штатное место бекапа
А самая лучшая защита от шифровальщиков сейчас - не иметь на машине ничего критически нужного. Нехай подавятся попыткой шифрования отсутствующих важных файлов. Как этого достичь? Вариантов много:
- военный. два компьютера. Один для почты и серфинга, другой, жестоко ограниченный в правах - для работы
- разделяй и властвуй. все файлы - на отдельном диске или хранилище. Надо поработать - примонтировал, перестал - отмонтировал
- разделение прав пользователя. Все данные должны быть недоступны для изменения. Это уже сложнее, чем предыдущее. Но в линуксе достаточно просто. Вообще линукс конечно тоже дыряв, но идея поставить всю системную часть ОС в read-only - и пускай попытаются ее изменить - мне очень импонирует
Vladimir
10:39:02 2017-07-04
Вячeслaв
10:36:22 2017-07-04
Вы являетесь продвинутым хакером, у вас на компьютере в готовности развернутый набор утилит контроля за системой? Увы, тогда без вариантов. Да, винт может накрыться. Но вспомним, как ОС не хочет закрывать работающие процессы. Пока вы штатным образом выключаете систему - сколько файлов у вас успеют зашифроваться?
Выключить на фильтре - можно и там, главное быстро обесточить
Вячeслaв
10:31:24 2017-07-04
Появился процесс svchost.exe который грузит половину проца, по началу он убивался в диспетчере задач, а с недавнего времени это стало приводить к перезагрузке ОС. CureIt его находит только как файл на диске, а что он висит в памяти не видит... Есть подозрение на уязвимость в ОС, обновления все установлены.
...
антивирус ничего не видит, и как выяснилось по причине что все диски были добавлены в исключение (скрины в приложении), после удаления исключений файл svchost.exe видится и удаляется.
Напоминает ситуацию про маму, которая пытается исключительно добром приучить воспитуемого к порядку
Марина
10:08:43 2017-07-04
kozinka.ru
09:54:42 2017-07-04
А потом уже слышно: "Админ! У меня тут что-то не то и не это! Делай чё-нибудь!!!"
ivan.ivanov1904
09:47:05 2017-07-04
Это понятно.