23.08.2015, 12:01 | #51 (permalink) |
Радиоинженер
Регистрация: 25.09.2012
Адрес: г.Дзержинск Нижегородской обл.
Сообщений: 25,308
Записей в дневнике: 7
Сказал(а) спасибо: 292
Поблагодарили 219 раз(а) в 70 сообщениях
Репутация: 110185
|
Вот мой пост из этой темы. Обратите внимание, у меня установлен DrWeb (официально купленная лицензия), который на момент заражения и знать не знал про вирус. После обращения в саппорт его в течение суток добавили в БД. Остальные антивирусы работают по тому же принципу: заражение -> жалоба -> "препарирование" тела вируса -> поиск сигнатур -> добавление в БД. Учитывая это, не давайте глупых советов, не вводите в заблуждение простых пользователей! |
24.08.2015, 18:14 | #52 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
Ищут пожарные, ищет милиция...
"...Ищут давно, Но не могут найти..." (с), С.Маршак.
Очередная активность вулкана по имени ВАУЛТ вновь накрыла своей электронной волной беспечных пользователей, которые уютно устроились у монитора, принимая извергаемый сетевой "пепел" за манну небесную. восстановить утраченные в результате внезапной атаки (а так же отсутствия архивных и теневых копий) файлы крайне сложно, во-первых, в силу их шифрования, во-вторых, тщательной зачистки оригинальных документов после удаления. для проверки возможности восстановления удаленных документов после завершения процесса шифрования использовались несколько инструментов: getdataback, r-studio, ontrack easy recovery, hetman partition recovery, testdisk, winhex для теста использовались несколько папок с документами: doc, xls, pdf, jpg, rtf, txt, rar не ставил цели сравнить данные инструменты, кто лучше, быстрее и больше восстановит документов. надо было просто посмотреть что подобные инструменты могут что-то восстановить после целенаправленного шифрования и удаления документов. В случае с ВАУЛТОМ цель не достигнута. документов восстановлено минимальное количество, а след секретного ключа (secring.gpg) не найден. поиски в winhex по известным hex (9501D804558F43D6010400BA49F79C06, 9501D804558F3209010400BE8B3CB164, 9501D80455A4EE32010400B53F95F674), и символьным (-----BEGIN PGP PRIVATE KEY BLOCK-----,-----END PGP PRIVATE KEY BLOCK-----) сигнатурам не дали результат. отсюда вывод: надежда на восстановление документов специализированными инструментами крайне мала, после того как "санкции порвали в клочья нашу экономику" отсюда другая надежда: на превентивную защиту от запуска шифраторов. например, Cryptoprevent, а так же на создание защищенных разделов для документов с помощью HIPS. (с), chklst.ru |
24.08.2015, 20:05 | #53 (permalink) | |
.
Регистрация: 26.08.2009
Сообщений: 1,851
Сказал(а) спасибо: 1
Поблагодарили 22 раз(а) в 3 сообщениях
Репутация: 12686
|
Цитата:
|
|
26.08.2015, 06:37 | #54 (permalink) | |
Member
Регистрация: 28.10.2011
Сообщений: 670
Сказал(а) спасибо: 5
Поблагодарили 1 раз в 1 сообщении
Репутация: 787
|
Цитата:
|
|
26.08.2015, 07:44 | #56 (permalink) | |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
Цитата:
https://easysyncsolutions.com/Products но вот добиться чтобы она реагировала на шифрование не получилось. пока отставил ее в сторонку. Принцип работы - установка ловушек из каталогов, которые отслеживает монитор... как только обнаружено шифрование тестовых документов, происходит блокирование системы вместе с сообщением: "ахтунг, нас окружают" |
|
26.08.2015, 07:49 | #57 (permalink) | |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
Цитата:
возьмите несколько вариантов свежих шифраторов: VAULT, krjakl, green, ctblock и проверьте их на системе, защищенной с помощью Дрвеб. Причем интересно проверить именно превентивную защиту ДрВеба. Как она реагирует на шифрование файлов, т.е. когда уже шифратор запущен в системе. Здесь важен результат и полезная информация, а не фанатские речевки. |
|
02.03.2016, 08:49 | #58 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
CTB-Locker for Websites
CTB-Locker for Websites is a ransomware that is designed specifically to target websites, encrypt their contents, and then demand a .4 bitcoin ransom to get the decryption key. Websites become infected by the ransomware developers hacking the site and replacing the original index.php or index.html with a new index.php. This new index.php will then be used to encrypt the site's data using AES-256 encryption and to display a new home page that contains information on what has happened to the files and how to make a ransom payment. CTB-Locker для веб-сайтов CTB-Locker адаптирован для веб-сайтов, шифрует содержимое целевых веб-сайтов, а затем требуют 0,4 Bitcoin выкупа, чтобы получить ключ дешифрования. Сайты заражаются после взлома и замены оригинальных index.php или index.html новым index.php. Этот новый index.php будет использоваться для шифрования данных сайта с помощью AES-256 шифрование и отображать новую домашнюю страницу, которая содержит информацию о том, что произошло с файлами и как произвести оплату выкупа. CTB-Locker for Websites: Reinventing an old Ransomware |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|