Вы используете устаревший браузер!

Страница может отображаться некорректно.

Антивирусная неправда

Антивирусная неправда

Другие выпуски этой рубрики (44)
  • добавить в избранное
    Добавить в закладки

Пугают, но почему-то не страшно

Прочитали: 1440 Комментариев: 78 Рейтинг: 94

СМИ не перестают потчевать нас разного рода ужастиками:

Эксперты в области кибербезопасности из MalwareHunterTeam обнаружили опасный вирус-шифровальщик, названный именем бывшего американского президента Барака Обамы. О находке сообщило издание BleepingComputer.

https://lenta.ru/news/2018/09/03/obama_virus/

Читаем дальше:

Вымогатель пресекает деятельность установленных на компьютер антивирусов.

Вообще-то слово «пресекать» обычно используется при описании работы правоохранительных органов: например, «пресечена деятельность хакерской группировки». За кого болеет автор новости?

После завершения антивирусных программ вредное ПО сканирует компьютер и шифрует на нем все файлы формата exe.

Для «ужас-ужаса» это весьма странное действие. Как правило, исполняемые файлы легко восстановить. Максимум, чего достигнет злоумышленник, так это остановки работы каких-то программ или всей системы в целом.

Под воздействие попадает также содержимое папки Windows, которое обходят своим вниманием другие вирусы.

Точно, все рухнет!

Теперь посмотрим первоисточник:

Шифровальшик завершает работу различных антивирусов. При этом выполняются следующие команды:

taskkill /f /im kavsvc.exe
taskkill /f /im KVXP.kxp
taskkill /f /im Rav.exe
taskkill /f /im Ravmon.exe
taskkill /f /im Mcshield.exe
taskkill /f /im VsTskMgr.exe

https://www.bleepingcomputer.com/news/security/barack-obamas-blackmail...

Что такое taskkill? Это системная команда, позволяющая завершить процесс в ОС Windows из командной строки. Флаг /F нужен для принудительного завершения процесса – например, зависшего и не отвечающего, флаг /IM используется при наличии многочисленных одинаковых процессов. Если нужно завершить процесс на удаленной машине, используется флаг /S.

А вот если вы хотите удалить все запущенные кем-то из пользователей процессы, нужно использовать флаг /FI.

Это «швейцарский нож» для тех, кто хочет остановить ненужные процессы. Но только те, которые не находятся в сфере ответственности самозащиты Dr.Web.

Для интереса запускаем консоль (обязательно от имени администратора!) и пытаемся «убить» какой-нибудь из процессов нашего антивируса:

#drweb

Самозащита, господа!

В общем, на «ужас-ужас» уже не тянет, поскольку остановить что-либо защищенное подобный подход, естественно, не позволит.

Вот что, правда, при этом интересно:

Шифровальщик изменяет ключи реестра, определяющие ассоциации, связанные с файлами .exe, так, чтобы они использовали новый значок и запускали вирус каждый раз, когда кто-то запускает исполняемый файл.

Не вирус это, не вирус! Нет заражения самого файла. Но вот кликать по разным файлам не следует, пока система не очищена до конца.

#Trojan.Encoder #троянец #безопасность

Dr.Web рекомендует

Trojan.Encoder.26282 (именно так мы распознаем это чудо) – вовсе не «ужас», начиная с терминологии и заканчивая своими возможностями. Но он способен испортить настроение и задать работы. Поэтому:

  1. не забываем про антивирус, в котором должны быть активированы ВСЕ компоненты защиты;
  2. не кликаем по чему попало.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: