-
добавить в избранное
Пугают, но почему-то не страшно
11 октября 2018
СМИ не перестают потчевать нас разного рода ужастиками:
Эксперты в области кибербезопасности из MalwareHunterTeam обнаружили опасный вирус-шифровальщик, названный именем бывшего американского президента Барака Обамы. О находке сообщило издание BleepingComputer.
Читаем дальше:
Вымогатель пресекает деятельность установленных на компьютер антивирусов.
Вообще-то слово «пресекать» обычно используется при описании работы правоохранительных органов: например, «пресечена деятельность хакерской группировки». За кого болеет автор новости?
После завершения антивирусных программ вредное ПО сканирует компьютер и шифрует на нем все файлы формата exe.
Для «ужас-ужаса» это весьма странное действие. Как правило, исполняемые файлы легко восстановить. Максимум, чего достигнет злоумышленник, так это остановки работы каких-то программ или всей системы в целом.
Под воздействие попадает также содержимое папки Windows, которое обходят своим вниманием другие вирусы.
Точно, все рухнет!
Теперь посмотрим первоисточник:
Шифровальшик завершает работу различных антивирусов. При этом выполняются следующие команды:
taskkill /f /im kavsvc.exe
taskkill /f /im KVXP.kxp
taskkill /f /im Rav.exe
taskkill /f /im Ravmon.exe
taskkill /f /im Mcshield.exe
taskkill /f /im VsTskMgr.exe
https://www.bleepingcomputer.com/news/security/barack-obamas-blackmail...
Что такое taskkill? Это системная команда, позволяющая завершить процесс в ОС Windows из командной строки. Флаг /F нужен для принудительного завершения процесса – например, зависшего и не отвечающего, флаг /IM используется при наличии многочисленных одинаковых процессов. Если нужно завершить процесс на удаленной машине, используется флаг /S.
А вот если вы хотите удалить все запущенные кем-то из пользователей процессы, нужно использовать флаг /FI.
Это «швейцарский нож» для тех, кто хочет остановить ненужные процессы. Но только те, которые не находятся в сфере ответственности самозащиты Dr.Web.
Для интереса запускаем консоль (обязательно от имени администратора!) и пытаемся «убить» какой-нибудь из процессов нашего антивируса:
Самозащита, господа!
В общем, на «ужас-ужас» уже не тянет, поскольку остановить что-либо защищенное подобный подход, естественно, не позволит.
Вот что, правда, при этом интересно:
Шифровальщик изменяет ключи реестра, определяющие ассоциации, связанные с файлами .exe, так, чтобы они использовали новый значок и запускали вирус каждый раз, когда кто-то запускает исполняемый файл.
Не вирус это, не вирус! Нет заражения самого файла. Но вот кликать по разным файлам не следует, пока система не очищена до конца.
#Trojan.Encoder #троянец #безопасностьАнтивирусная правДА! рекомендует
Trojan.Encoder.26282 (именно так мы распознаем это чудо) – вовсе не «ужас», начиная с терминологии и заканчивая своими возможностями. Но он способен испортить настроение и задать работы. Поэтому:
- не забываем про антивирус, в котором должны быть активированы ВСЕ компоненты защиты;
- не кликаем по чему попало.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Sasha50
17:25:11 2019-01-29
PahomUbuntu
17:48:28 2018-10-17
Damir
17:28:33 2018-10-12
Ruslan
14:03:22 2018-10-12
razgen
01:24:50 2018-10-12
Lia00
00:25:01 2018-10-12
eaglebuk
22:31:16 2018-10-11
В...а
22:21:43 2018-10-11
vla_va
22:05:23 2018-10-11
Rider
21:42:03 2018-10-11
ek
21:24:47 2018-10-11
МЕДВЕДЬ
21:20:53 2018-10-11
Неуёмный Обыватель
21:01:42 2018-10-11
А был еще и Сталин: Весной 2018 года эксперты обнаружили вирус под названием StalinLocker. Вредная программа блокировала все файлы на компьютере, ставя на заглушку портрет Иосифа Сталина. https://lenta.ru/news/2018/05/16/stalin_na_vas_est/
Ну там хоть кодом разблокировки служила разница между датой запуска файла на компьютере и числами 1922.12.30 (скорее всего, подразумевается дата утверждения договора об образовании СССР).
orw_mikle
20:51:10 2018-10-11
Шалтай Александр Болтай
20:47:28 2018-10-11
kva-kva
20:45:55 2018-10-11
Неуёмный Обыватель
20:37:00 2018-10-11
mk.insta
20:26:03 2018-10-11
Littlefish
20:25:14 2018-10-11
Littlefish
20:20:59 2018-10-11
Littlefish
20:18:55 2018-10-11
Сергей
19:59:43 2018-10-11
anatol
19:54:39 2018-10-11
Dvakota
19:50:27 2018-10-11
Татьяна
19:44:09 2018-10-11
robot
19:32:28 2018-10-11
Andromeda
19:21:23 2018-10-11
Альфа
19:01:24 2018-10-11
Toma
18:45:10 2018-10-11
Дмитрий
18:33:53 2018-10-11
Геральт
18:32:06 2018-10-11
a13x
16:49:40 2018-10-11
Masha
16:10:28 2018-10-11
La folle
16:05:31 2018-10-11
kozinka.ru
16:04:49 2018-10-11
b_ice
13:03:29 2018-10-11
Но больше всего удивляют продукты, которые остались в команде, неужели они позволяют делать с собой такое? Стыдно должно быть производителям.
Только Доктор Веб надежда и опора.
Dmur
12:37:45 2018-10-11
vinnetou
12:18:09 2018-10-11
Biggurza
12:12:34 2018-10-11
От безопасности отпрянуть,
Как будто в темный омут кануть
И в жизни глупость совершить!
Я в Windowse, как на кресте,
Живые файлы распинаю,
Скрижали помнят сны Синая.
Моя ИБ на высоте!
И я слежу за ОС живой,
Её связующие нити,
Как сигнатура в Web защите
И бытия последний бой.
Чрез трепыханья единиц
Ловлю троянов ловко в сети,
Как гонококк тысячелетий
С истлевших, ветхих web-страниц…
Сегодня можно с толком жизнь.
Чтоб безопасностью не кичась
В запретные плоды не тычась,
Пора бы с Dr.Web дружить!
maestro431
11:59:26 2018-10-11
Jenyatka
11:49:24 2018-10-11
B0RIS
11:43:23 2018-10-11
Денисенко Павел Андреевич
11:20:52 2018-10-11
Oleg
10:58:10 2018-10-11
Zserg
10:56:20 2018-10-11
I23
10:06:10 2018-10-11
Вячeслaв
10:03:51 2018-10-11
ЕСли не знаем, то по получении обновлений пролечим. Причем интересно то, что поскольку сейчас в основном трояны, то лечить не надо, надо удалить лишь. Что естественно проще. Проблема только в том, что нужно восстановить что троян подменил
I46
09:54:52 2018-10-11
Раш КХ
09:54:32 2018-10-11
EvgenyZ
09:16:52 2018-10-11