Шифровирусы шумной толпою - Страница 6

Николай_С · 23.08.2015, 12:01

deep.smr, шовыговорите!
Вот мой пост из этой темы. Обратите внимание, у меня установлен DrWeb (официально купленная лицензия), который на момент заражения и знать не знал про вирус. После обращения в саппорт его в течение суток добавили в БД. Остальные антивирусы работают по тому же принципу: заражение -> жалоба -> "препарирование" тела вируса -> поиск сигнатур -> добавление в БД.
Учитывая это, не давайте глупых советов, не вводите в заблуждение простых пользователей!

safety · 24.08.2015, 18:14

"...Ищут давно, Но не могут найти..." (с), С.Маршак.

Очередная активность вулкана по имени ВАУЛТ вновь накрыла своей электронной волной беспечных пользователей, которые уютно устроились у монитора, принимая извергаемый сетевой "пепел" за манну небесную.

восстановить утраченные в результате внезапной атаки (а так же отсутствия архивных и теневых копий) файлы крайне сложно, во-первых, в силу их шифрования, во-вторых, тщательной зачистки оригинальных документов после удаления.

для проверки возможности восстановления удаленных документов после завершения процесса шифрования использовались несколько инструментов:

getdataback,
r-studio,
ontrack easy recovery,
hetman partition recovery,
testdisk,
winhex

для теста использовались несколько папок с документами:
doc, xls, pdf, jpg, rtf, txt, rar

не ставил цели сравнить данные инструменты, кто лучше, быстрее и больше восстановит документов.
надо было просто посмотреть что подобные инструменты могут что-то восстановить после целенаправленного шифрования и удаления документов.
В случае с ВАУЛТОМ цель не достигнута. документов восстановлено минимальное количество, а след секретного ключа (secring.gpg) не найден.

поиски в winhex по известным hex (9501D804558F43D6010400BA49F79C06, 9501D804558F3209010400BE8B3CB164, 9501D80455A4EE32010400B53F95F674), и символьным (-----BEGIN PGP PRIVATE KEY BLOCK-----,-----END PGP PRIVATE KEY BLOCK-----) сигнатурам не дали результат.

отсюда вывод: надежда на восстановление документов специализированными инструментами крайне мала, после того как "санкции порвали в клочья нашу экономику"

отсюда другая надежда: на превентивную защиту от запуска шифраторов. например, Cryptoprevent, а так же на создание защищенных разделов для документов с помощью HIPS.

(с), chklst.ru

Taper · 24.08.2015, 20:05

Цитата:

Сообщение от ~safety

...отсюда другая надежда: на превентивную защиту от запуска шифраторов. например, Cryptoprevent, а так же на создание защищенных разделов для документов с помощью HIPS.
(с), chklst.ru

Упоминают несколько программ: BitDefAntiCryptLocker, Cryptoprevent, HitmanProAlert. У какой эффективность выше? Или они несопоставимы.

deep.smr · 26.08.2015, 06:37

Цитата:

Сообщение от ~safety

с аналогичными заявлениями выступают и ЛК (мы ловим 100% вирусов) и ESET (купил антивирус, поставил и забыл (видимо про угрозы)). Тем не менее форумы DrWeb, ЛК, ESET переполнены темами о заражении шифраторами, в том числе на стороне легальных пользователей. Так что проблема эта актуальна уже в течение полтора года - и одной шашкой, то бишь, постановкой антивируса она не решается.

Одно дело заявлять об этом, а совсем другое действительно отлавливать. Считайте как хотите. Я при своем мнении --- др.Веб РУЛИТ!!! )))

deep.smr · 26.08.2015, 06:41

Цитата:

Сообщение от Николай_С

Учитывая это, не давайте глупых советов, не вводите в заблуждение простых пользователей!

А Вас бы попросил не давать глупых ответов и просто флуда на форумах. Мы уже как-то сталкивались с Вами по этому поводу. Не дергайте меня, не советую...

safety · 26.08.2015, 07:44

Цитата:

Сообщение от Taper

Упоминают несколько программ: BitDefAntiCryptLocker, Cryptoprevent, HitmanProAlert. У какой эффективность выше? Или они несопоставимы.

HitmanProAlert не тестировал. есть еще одна программа: Cryptomonitor.
https://easysyncsolutions.com/Products
но вот добиться чтобы она реагировала на шифрование не получилось. пока отставил ее в сторонку. Принцип работы - установка ловушек из каталогов, которые отслеживает монитор... как только обнаружено шифрование тестовых документов, происходит блокирование системы вместе с сообщением: "ахтунг, нас окружают"

safety · 26.08.2015, 07:49

Цитата:

Сообщение от deep.smr

Одно дело заявлять об этом, а совсем другое действительно отлавливать. Считайте как хотите. Я при своем мнении --- др.Веб РУЛИТ!!! )))

deep.smr,
возьмите несколько вариантов свежих шифраторов: VAULT, krjakl, green, ctblock и проверьте их на системе, защищенной с помощью Дрвеб. Причем интересно проверить именно превентивную защиту ДрВеба. Как она реагирует на шифрование файлов, т.е. когда уже шифратор запущен в системе. Здесь важен результат и полезная информация, а не фанатские речевки.

safety · 02.03.2016, 08:49

CTB-Locker for Websites

CTB-Locker for Websites is a ransomware that is designed specifically to target websites, encrypt their contents, and then demand a .4 bitcoin ransom to get the decryption key. Websites become infected by the ransomware developers hacking the site and replacing the original index.php or index.html with a new index.php. This new index.php will then be used to encrypt the site's data using AES-256 encryption and to display a new home page that contains information on what has happened to the files and how to make a ransom payment.

CTB-Locker для веб-сайтов

CTB-Locker адаптирован для веб-сайтов, шифрует содержимое целевых веб-сайтов, а затем требуют 0,4 Bitcoin выкупа, чтобы получить ключ дешифрования. Сайты заражаются после взлома и замены оригинальных index.php или index.html новым index.php. Этот новый index.php будет использоваться для шифрования данных сайта с помощью AES-256 шифрование и отображать новую домашнюю страницу, которая содержит информацию о том, что произошло с файлами и как произвести оплату выкупа.

CTB-Locker for Websites: Reinventing an old Ransomware

24.08.2015, 18:14	#52 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	Ищут пожарные, ищет милиция... "...Ищут давно, Но не могут найти..." (с), С.Маршак. Очередная активность вулкана по имени ВАУЛТ вновь накрыла своей электронной волной беспечных пользователей, которые уютно устроились у монитора, принимая извергаемый сетевой "пепел" за манну небесную. восстановить утраченные в результате внезапной атаки (а так же отсутствия архивных и теневых копий) файлы крайне сложно, во-первых, в силу их шифрования, во-вторых, тщательной зачистки оригинальных документов после удаления. для проверки возможности восстановления удаленных документов после завершения процесса шифрования использовались несколько инструментов: getdataback, r-studio, ontrack easy recovery, hetman partition recovery, testdisk, winhex для теста использовались несколько папок с документами: doc, xls, pdf, jpg, rtf, txt, rar не ставил цели сравнить данные инструменты, кто лучше, быстрее и больше восстановит документов. надо было просто посмотреть что подобные инструменты могут что-то восстановить после целенаправленного шифрования и удаления документов. В случае с ВАУЛТОМ цель не достигнута. документов восстановлено минимальное количество, а след секретного ключа (secring.gpg) не найден. поиски в winhex по известным hex (9501D804558F43D6010400BA49F79C06, 9501D804558F3209010400BE8B3CB164, 9501D80455A4EE32010400B53F95F674), и символьным (-----BEGIN PGP PRIVATE KEY BLOCK-----,-----END PGP PRIVATE KEY BLOCK-----) сигнатурам не дали результат. отсюда вывод: надежда на восстановление документов специализированными инструментами крайне мала, после того как "санкции порвали в клочья нашу экономику" отсюда другая надежда: на превентивную защиту от запуска шифраторов. например, Cryptoprevent, а так же на создание защищенных разделов для документов с помощью HIPS. (с), chklst.ru

23.08.2015, 12:01	#51 (permalink)
Николай_С Радиоинженер Регистрация: 25.09.2012 Адрес: г.Дзержинск Нижегородской обл. Сообщений: 25,308 Записей в дневнике: 7 Сказал(а) спасибо: 292 Поблагодарили 219 раз(а) в 70 сообщениях Репутация: 110185	deep.smr, шовыговорите! Вот мой пост из этой темы. Обратите внимание, у меня установлен DrWeb (официально купленная лицензия), который на момент заражения и знать не знал про вирус. После обращения в саппорт его в течение суток добавили в БД. Остальные антивирусы работают по тому же принципу: заражение -> жалоба -> "препарирование" тела вируса -> поиск сигнатур -> добавление в БД. Учитывая это, не давайте глупых советов, не вводите в заблуждение простых пользователей!

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

02.03.2016, 08:49	#58 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	CTB-Locker for Websites CTB-Locker for Websites is a ransomware that is designed specifically to target websites, encrypt their contents, and then demand a .4 bitcoin ransom to get the decryption key. Websites become infected by the ransomware developers hacking the site and replacing the original index.php or index.html with a new index.php. This new index.php will then be used to encrypt the site's data using AES-256 encryption and to display a new home page that contains information on what has happened to the files and how to make a ransom payment. CTB-Locker для веб-сайтов CTB-Locker адаптирован для веб-сайтов, шифрует содержимое целевых веб-сайтов, а затем требуют 0,4 Bitcoin выкупа, чтобы получить ключ дешифрования. Сайты заражаются после взлома и замены оригинальных index.php или index.html новым index.php. Этот новый index.php будет использоваться для шифрования данных сайта с помощью AES-256 шифрование и отображать новую домашнюю страницу, которая содержит информацию о том, что произошло с файлами и как произвести оплату выкупа. CTB-Locker for Websites: Reinventing an old Ransomware