Civilization и Total War

 

Имя
Пароль  
Забыли пароль?
Регистрация


CIVru.com / Обо всем / Kaspersky
<< . 1 . 2 . 3 . 4 . 5 . 6 .  . 8 . >>   Версия для печати . Вверх
Автор Сообщение
fantakt
Участник



Репутация: 1257(???)

# Дата: 6 Мар 2013 14:59:45 Цитата

Важно. Срочно.

В последнее время активизировался новый почтовый вирус, шифрующий ВСЕ файлы на жёстком диске и в общих папках, и проставляющий им расширение FTCODE. Вирус может полностью парализовать работу конторы, зашифровав базы 1С, файлы Автокада и прочую важную и ценную информацию.

На данный момент его распознают только отечественные антивирусы (Kaspersky, Nod, DrWeb) и вроде как Outpost Firewall.

Метод заражения - по почте приходит письмо на Ваше имя и вашу контору от живого человека с благодарственным письмом в архиве и с паролем 12345. В архиве лежит файл "благодарственное письмо.hta", представляющее собой набор текстовых скриптов.

Если Вы случайно запустили этот файл, немедленно перезагрузите компьютер кнопкой или выдернув-вставив шнур питания, после чего обратитесь к ближайшему специалисту или осваивайте вот эту тему на форуме Касперского - http://forum.kaspersky.com/index.php?showtopic=257412..

Если скрипт успеет завершить свою работу, файлы расшифровать будет невозможно!

Напоминаю меры предосторожности:
- Любой архив с паролем это потенциальный носитель вируса. Пароль ставится, чтобы не дать антивирусу совершить проверку при сохранении файла на жёсткий диск.
- Не открывайте файлы, о получении которых Вы заранее не договаривались. Если это абсолютно необходимо, предварительно проверьте файл (извлечённый из архива) на virustotal.com, даже если это повестка в суд.
- Не используйте учётную запись с правами администратора для повседневных задач на работе.
- Не пользуйтесь бесплатными антивирусами типа Аваста, Авиры и AVG, они дают ложное чувство защищённости.
- Внимательно читайте сообщения антивируса и системы, вместо того, чтобы всё бездумно разрешать. Если не уверены - спросите ближайшего специалиста.

fantakt
Участник



Репутация: 1257(???)

# Дата: 6 Мар 2013 15:03:53 Цитата

Зловреды просят 10к рублей... Но судя по сообщениям на форуме касперского это не помогает.

kaizer
Судья



Репутация: 1790(???)
# Дата: 6 Мар 2013 15:48:18 Цитата

fantakt: Зловреды просят 10к рублей... Но судя по сообщениям на форуме касперского это не помогает.

Дождались Улыбка Я все думал когдаже эти блокиаторы догадаются до серьезных действий

bakulenko
Участник


<
Репутация: 907(
???)
# Дата: 6 Мар 2013 17:22:50 Цитата

Знакомый на той неделе словил его. Когда позвонил мне, я уже ничем не мог ему помочь.

fantakt
Участник



Репутация: 1257(???)

# Дата: 6 Мар 2013 17:54:24 Цитата

На семерке помогает откат профиля, как мне из Москвы написали сегодня. ХР уже не спасти.

bakulenko
Участник


<
Репутация: 907(
???)
# Дата: 6 Мар 2013 17:57:58 Цитата

fantakt: На семерке помогает откат профиля, как мне из Москвы написали сегодня. ХР уже не спасти.

Откат профиля - это как? Если честно, не догоняю, как откатом можно расшифровать данные.

fantakt
Участник



Репутация: 1257(???)

# Дата: 6 Мар 2013 19:11:59 Цитата

Для BMCODE есть простая расшифровка, для FTCODE простой нет, если он доработал до конца. На машине семёрка, откатив профиль пользователя в итоге.
[14:41:42] fantakt Не удалось спасти?
[14:44:51] Виктор: Блин, не дописалось.
Восстановим, откатив профиль пользователя.
[14:45:08] Виктор : Через "предыдущие версии". В XP был бы кирдык.
[14:47:53] fantakt : А там винда зашифровалась?
[14:48:16] Виктор : Не, только файлы. Но практически все, от ярлычков до автокада.
[14:48:38] fantakt : Круто
[14:52:26] Виктор : Могу список расщирений показать ) Там конфиги, исходники, файлы данных, в общем, всё, чтобы экзешники сами по себе уже не стартанули.
[14:53:04] fantakt : Хороший вирус. Где цапанули такой?
[14:55:36] Виктор : В почте пришёл. Я во вконтакте описал, как он ходит, но что-то никто не торопится меня лайкать и репостить =)
[15:08:36] Виктор : Могу, кстати, выдать поглядеть, мы его в архив обратно заперли.
[15:09:05] fantakt : нах нах
[15:12:21] Виктор : :D Я его в виртуалку выпускал порезвиться.
[15:14:42] Виктор : В общем, если вовремя ребутнуть машину или грохнуть процесс powershell.exe, в C:\users\%username%\appdata\roaming остаётся файл с именем материнки (может быть "To be filled by OEM"), в котором ключ, используемый для шифрования. Дальше берётся скрипт с хабра или форума Касперского, вгружается ключ и он всё обратно расшифровывает.
[15:15:16] fantakt : Понятно. Будем надеятся, что пронесет Улыбка
[15:16:42] Виктор : Если не успеть и он закончит - он этот файл с ключом перезаписывает словом good, и потом либо дамп памяти снимать и подбирать 16 байт из 50ти брутфорсом, либо вот как мы - откат профиля..
[15:18:01] Виктор : Самый простой вариант противодействия - поставить нормальный наш антивирус и/или в реестре винды проставить соответствие файлов *.hta Блокноту, чтобы открывалось как голый текст.

Уточню...

bakulenko
Участник


<
Репутация: 907(
???)
# Дата: 6 Мар 2013 20:00:57 Цитата

fantakt: Дальше берётся скрипт с хабра или форума Касперского, вгружается ключ и он всё обратно расшифровывает.

Странно, в форуме Касперского сошлись на том, что ключ в данном случае из пары публичный-приватный, а именно, публичный. Им можно шифровать, а дешифровать только парным ему приватным ключом. Это предыдущая версия вируса уидом компа шифровала, и если пользователь был в состоянии узнать свой uuid, то и расшифровать проблемой не было.

fantakt
Участник



Репутация: 1257(???)

# Дата: 6 Мар 2013 20:29:28 Цитата

Если включено теневое копирование, то правой кнопкой по папке (в нашем случае профиль пользователя и общедоступные), вкладка "предыдущие версии", найти там версию от дня до заражения и восстановить её.

fantakt
Участник



Репутация: 1257(???)

# Дата: 6 Мар 2013 20:30:58 Цитата

Если помощь опоздала, то ловить будет, похоже, нечего...

bakulenko
Участник


<
Репутация: 907(
???)
# Дата: 7 Мар 2013 10:41:12 Цитата

fantakt: Если включено теневое копирование, то правой кнопкой по папке (в нашем случае профиль пользователя и общедоступные), вкладка "предыдущие версии", найти там версию от дня до заражения и восстановить её.

Да, но тогда не понятно, почему XP мимо кассы? В ней есть теневое копирование. Правда, многие ли включают эту службу?

fantakt
Участник



Репутация: 1257(???)

# Дата: 7 Мар 2013 11:36:33 Цитата

Я не включаю Улыбка

kaizer
Судья



Репутация: 1790(???)
# Дата: 7 Мар 2013 17:12:01 Цитата

В хп теневое копирование не удобно, возможно только теневое копирование целого тома, для отдельных папок и файлов настроить нельзя.

Rins
Участник



Репутация: 1220(???)
# Дата: 8 Мар 2013 21:46:35 Цитата

На самом деле нормальные сисадмины отключают hta-скрипты, так что такой проблемы просто нет. Проблемы появятся у людей, которые пытаются сообразить, почему автозагрузка какого-нибудь компакт-диска не работает Улыбка

fantakt
Участник



Репутация: 1257(???)

# Дата: 14 Мар 2013 12:41:20 Цитата

Российские спецслужбы научились прослушивать Skype

http://www.lenta.ru/news/2013/03/14/skype/

Никому нельзя доверять Улыбка

kaizer
Судья



Репутация: 1790(???)
# Дата: 14 Мар 2013 14:29:33 Цитата

это не новость, более того 3 года назад на коференции нам демонстрировали скайп снифер, который будучи установленным на шлюзе полностью все выхватывал от видео до текста. После покупки скайпа микрософтом он стал заметно хуже, прожорливее и.т.д.

fantakt
Участник



Репутация: 1257(???)

# Дата: 4 Апр 2013 00:15:34 Цитата

А вот однажды был случай с вирусом ыолвол алыволв ы...



fantakt
Участник



Репутация: 1257(???)

# Дата: 17 Фев 2015 11:45:38 Цитата

Агентство национальной безопасности США научилось прятать шпионское программное обеспечение в зонах жестких дисков, защищенных от удаления и форматирования. Речь идет о дисках крупнейших производителей, что теоретически позволяет спецслужбе незаметно считывать данные с большинства используемых в мире компьютеров, передает Reuters.

Новые шпионские программы были обнаружены российской «Лабораторией Касперского». Разработчик антивирусов утверждает, что выявил инфицированные подобным методом компьютеры в 30 странах. На первом месте в этом списке он назвал Иран, затем Россию, Пакистан, Афганистан, Китай, Мали, Сирию, Йемен и Алжир...

http://lenta.ru/news/2015/02/17/nsavirus/

kaizer
Судья



Репутация: 1790(???)
# Дата: 17 Фев 2015 12:58:05 Цитата

И что перешивать контроллеры у винтов? и чем?

fantakt
Участник



Репутация: 1257(???)

# Дата: 17 Фев 2015 13:15:55 Поправил: Модератор Цитата

Да там столько гемора с этой перепрошивкой... Надо свои винты выпускать, тогда проблем не будет Улыбка

kaizer
Судья



Репутация: 1790(???)
# Дата: 17 Фев 2015 16:41:04 Цитата

fantakt: Надо свои винты выпускать, тогда проблем не будет Улыбка

Тогда просто инфа будет отсылаться в другое место Подмигивание

MakcOmck
Участник



Репутация: 1396(???)
# Дата: 19 Фев 2015 08:51:27 Цитата

Широкая улыбка
Все уже слышали про на днях выявленный шпионский код, вшитый в большинство жестких дисков в мире, с помощью которого американцы следят за твоим компьютером? К счастью, удалить его достаточно просто. Лаборатория Касперского уже составила инструкцию по его устранению:

1. Нажимаешь одновременно клавиши Win и R.
2. В появившемся окне пишешь "cmd".
3. В открывшемся черном окне пишешь "format C:" и нажимаешь Enter.

Готово, теперь американцы не смогут за тобой следить!
Расскажи друзьям, чтоб знали все!


fantakt
Участник



Репутация: 1257(???)

# Дата: 19 Фев 2015 10:56:11 Цитата

Блин, кто-то же поверит...

kaizer
Судья



Репутация: 1790(???)
# Дата: 19 Фев 2015 11:15:42 Цитата

На самом деле про аппаратные закладки уже давно ведут речь, везде есть биосы, прошивки контроллеров. а свою ты не напишешь и пользоваться полюбому придется тем что есть, при умном алгоритме найти закладку практически нереально.

Тролль рыбак
Участник



Репутация: 1535(???)

# Дата: 19 Фев 2015 11:34:26 Цитата

Я правильно понимаю, что удалить БИОС или прошивку контроллера винта - это для обывателя неспеца убить винт

<< . 1 . 2 . 3 . 4 . 5 . 6 .  . 8 . >>   Версия для печати . Вверх

ОСТАВЛЯТЬ СООБЩЕНИЯ МОГУТ ТОЛЬКО ЗАРЕГИСТРИРОВАННЫЕ ПОЛЬЗОВАТЕЛИ!

Администрация форума: editors@civru.com
Rambler's Top100
XML [?]