Вирусы-вымогатели

[Howl]

А почему кроме тебя об этом никто не знает?

Ну-ну...
Новая эпидемия шифровальщика Petya / NotPetya / ExPetr (блог "Kaspersky Daily").

 

[Qwertивый]

Не процитируешь где именно там сказано, что

эпидемия началась одним зловредом, а продолжилась другими его модификациями.

- а то никак не могу не найти?

 

[chelavek]

Приватбанк предложил государственным органам свою операционную систему PrivatLinux, которая устояла против недавней масштабной вирусной атаки.

(с)

 

[Howl]

Qwertивый, "детектируют новую заразу со следующими вердиктами:" (сигнатурами, эвристикой, облаком и 2 детекта проактивкой). При этом в этой теме я сообщал о возможности вытянуть файлы одним способом, а другой пользователь -- писал, что так не получится.
Или ты думаешь, что вариации такого детища разрабатывать не стоит?

 

[Qwertивый]

что вариации такого детища разрабатывать не стоит?

Я такого не разрабатываю и поэтому такие вопросы перед собой не ставлю.
Просто

Не надо вводить людей в заблуждение,

Массовая эпидемия обсуждаемая в данный момент производилась одним штампом(и, хвала Господу, модификаций пока не выпустили), который имеет несколько факторов поражения, механизм которых как бы уже и описан в этой теме и по приведенным в ней ссылкам.

 

[Howl]

Qwertивый, не выпустили или не известны? Не забудьте и за собой следить, когда попрекате других.

Добавлено через 1 минуту
Факт восстановления файлов описанным методом был выявлен на практике. Да есть много нюансов почему у одних работает, а у других нет. Ну, повезло кому-то... А кому-то нет.

 

[Qwertивый]

или не известны

Если тебе известны - выкладывай обсудим. А просто ля-ля, как бы и не надо - тема пока очень горячая для многих..

и за собой следить

Каждый день минимум 2 раза - утром и вечером наблюдаю за собой в зеркало..

Добавлено через 42 минуты

У Національній поліції пояснюють, що виявлення нових випадків зараження комп’ютерів вірусом Petya не пов’язане з якоюсь новою хвилею хакерської атаки.

Про це "Українській правді" розповів речник Нацполіції Ярослав Тракало.

"За три минулі доби до Національної поліції надійшло вже понад 2100 повідомлень про інфікування комп’ютерних мереж вірусом-шифрувальником. Утім, фахівці Кіберполіції не пов’язують це з якоюсь новою хвилею", - зазначив він.

"Йдеться про те, що був вихідний на День Конституції, люди у четвер вийшли на роботу і, вочевидь, виявили, що в роботу їхніх комп’ютерів було втручання шкідливого програмного забезпечення", - додав Тракало.

Речник також зазначив, що до поліції подали 420 заяв, з яких 309 від приватних компаній та 111 - від державних організацій.

(с)

 

[drmz]

А почему кроме тебя об этом никто не знает?

1)http://red-forum.com/profile.php?do=editoptions

2)Опции просмотра тем
Элементы сообщения

Вы можете включить или выключить некоторые элементы в сообщениях.
{x} Показывать подпись

3)

Помічник із рішень і технологій «Лабораторії Касперського»

Добавлено через 3 минуты

некоторые облачные хранилища ведут версионный контроль файлов,

А какие облака белогривые лошадки позволяют синхронизировать с верификацией? Ну типа при условии "если изменения источника и зеркала составят >50%, то требовать подтверждения"

 

[Alex]

Вирус шифрует не сам файлы, а системную область файловой системы, в которой хранится информация о загрузочном секторе, разделах жёсткого диска и структуре файловой системе.
Если вытягивать с жёсткого диска через спецутилиту по типу файла, то информацию получаем целую

Автор - читатель или писатель?
С файловой системой у меня порядок, файлы все есть, но их дата посл.изменения - одна и та же, 27.06 16:36, и .doc-файлы не открываются.

Добавлено через 46 секунд

Единственный шанс, если рубанули комп и не дали довести до конца "чекдиск", тогда есть шанс что частично что-то не успеет шифрануть.

Вырубил СРАЗУ ПОСЛЕ синего экрана - УЖЕ все зашифровано.

 

[Qwertивый]

Вы можете включить или выключить некоторые элементы в сообщениях.
{x} Показывать подпись

Люблю когда в тему с сапогами влазят люди, не понимающие о чем речь идет, но зато знающие где включить подпись..

Добавлено через 8 минут

.doc-файлы не открываются.

Совсем не открываются? Ты же что-то про Wordpad писал? Или то случайность была?

 

[Alex]

Qwertивый, 1 файлик случайно открылся как мне показалось, но я его из почты пересохранил.
Да, СОВСЕМ не открываются. Кракозяблы или ошибка

 

[Howl]

С файловой системой у меня порядок, файлы все есть, но их дата посл.изменения - одна и та же, 27.06 16:36, и .doc-файлы не открываются.

Попал знакомой комп, который пострадал от эпидемии.
С её слов. Файлы на винте есть, но если просто их вытягивать — дуля, повреждены.
Если просканировать винт по необходимому типу, например, R-Studio, — файл находит и живой.
У меня на руках ни вируса, ни винта с поврежденными файлами нет.

[

Вырубил СРАЗУ ПОСЛЕ синего экрана - УЖЕ все зашифровано.

Qwertивый писал, что в этой теме обсудили вирус со всех сторон.
И должен быть в курсе почему у тебя шифрование сработало до запуска ака chkdsk.

У тебя на этом этапе должен лишь испортится загрузчик и установлен загрузчик для запуска шифровщика. Возможно ещё здесь на этом этапе повредило область, в котором хранится информация про разделы и файловую систему.
Но опять же, почему у одних на этом этапе можно винт вставить в другой комп и вытянуть инфу, а у тебя не получится. Ответ даст уважаемый Qwertивый)))

 

[Alex]

MASolomko, потому что после ребута запускается ломалка MBR, и тогда уже требуется серьезное восстановление. Тут и к Квертивому не ходи.
У меня ребута не было. Рядом сидел спец, который сказал - "опа, ты приплыл. сразу выключай" - и я выключил.

 

[Qwertивый]

У меня на руках ни вируса, ни винта с поврежденными файлами нет

Наверное в этом и есть вся проблема..

 

[Howl]

Alex,

...принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись – первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.

После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа...

https://www.ptsecurity.com/ru-ru/about/news/283092/

После заражения вредоносная программа выжидает 10-60 минут и затем перезагружает систему. Перезагрузка происходит с использованием системных средств с инструментами «at» или «schtasks» и «shutdown.exe».

После перезагрузки троянец начинает шифровать главную файловую таблицу в разделах NTFS, перезаписывая с помощью кастомизированного загрузчика главную загрузочную запись (MBR) сообщением с требованием выкупа. Подробнее о требовании выкупа ниже.

https://securelist.ru/schroedingers-petya/31001/

Как раз эта стадия у тебя и прошла, но вместо перезагрузки у тебя возник экран отказа системы. Поскольку ты не загружался, то на вторую стадию ты не мог перейти.

...После перезагрузки троянец начинает шифровать главную файловую таблицу в разделах NTFS, перезаписывая с помощью кастомизированного загрузчика главную загрузочную запись (MBR) сообщением с требованием выкупа. Подробнее о требовании выкупа ниже.

https://securelist.ru/schroedingers-petya/31001/

Как итог тебе необходимо понять что ты подхватил, какой вирус.

Добавлено через 1 минуту
Qwertивый, льстит, что ты прицепился ко мне )
Но печально, что ты не можешь блеснуть умом и помочь Alex.

 

[Qwertивый]

Но печально, что ты не можешь блеснуть умом и помочь Alex.

Зато радостно, от того что ты можешь не тускнуть умом и обязательно ему поможешь..

 

[wolf2606]

Медок, сайт не работает, обновы загрузить не возможно. Бухгалтера кипишуют

 

[Qwertивый]

обновы загрузить не возможно

Предыдущих мало показалось? Они же пишут: с 22 числа обнов не выпускали..

 

[wolf2606]

Предыдущих мало показалось? Они же пишут: с 22 числа обнов не выпускали..

Была переустановка Медка. Где взять обновы что бы проапгрейдить по актуальной версии?

 

[Maxxx]

Медок, сайт не работает, обновы загрузить не возможно. Бухгалтера кипишуют

Может я ошибаюсь, но возможно, цирк продолжается - бухгалтер позвонила в панике - на сервере антивирь (MSIE) выругался на WannaCrypt, вирус лежит в папке Медка, вот вам пруф из первых рук:



Еще, перед этим, вымочил пару штук на юзерском десктопе и в папке Documents.