|
|
|
Железный канал: «Вирусы» |
|
|
Falcon 312 EGP
Рейтинг канала: 3(29) Репутация: 137 Сообщения: 6138 Откуда: КУЙ С НАМИ Зарегистрирован: 07.02.2001 |
|
Grebomet : |
- сначала были простые почтовые трояны. Айлавью.ехе и прочие нимды. Потом - трояны с возможностью самоинсталляции через дыры в винде.
|
о довиндовом сегменте - вы с Назарром ваще кагто никаг
главное - это же наукообразие и штиль
_________________ 7ШJ |
|
|
_RAZAAR_ 62 EGP
Рейтинг канала: 2(11) Репутация: -13 Сообщения: 2854 Заблокирован Откуда: РАЗААРЪ - 40Лы от Лаве Зарегистрирован: 15.04.2008 |
|
Falcon : |
о довиндовом сегменте - вы с Назарром ваще кагто никаг
главное - это же наукообразие и штиль
|
Флаконий, а про довиндовость наукообразия ты что имееш сказать? криптовальные вирусы под TR-DOS 5.04 или может под различные порты CP/M?
Или может был свидетелем подобных наукообразий пользуя SCO Openserver 5 и UNIX System V, другие донаукообразные пораженные злостными криптотехниками штормовые оси?
добавлено спустя 30 минут:
AnrDaemon : |
Сама идея вымогательства посредством заложников не нова настолько, что вызывает удивления попытка какого-то "наблюдения" и "анализа".
|
разумеется это не анализ, только мимолётная ассоциация наблюдаемая позже в действительности.
Когда я первый раз столкнулся с буквальным принуждением пользоваться
только пустыми переносными носителями дабы процесс проверки и шифрования занимал минимум времени и максимум невероятности что чтото важное будет зашифрованно и утеряно навсегда, то мгновенно мелькнула мысль ну всё "понеслась", а через пару лет она таки принеслась к людям со словами хочет плакать.
добавлено спустя 8 минут:
Grebomet : |
Слишком сложные ассоциации, как по мне.
К шифровальщикам дело шло простыми и логичными путями:
|
ну яж сказал что лирическое отступление,
согласен что леворукоправоухочесное, но таковым оно и было в действительности.
_________________ Quaere Vērum
------------------------
Последний раз редактировалось: _RAZAAR_ (05:22 08-03-2019), всего редактировалось 3 раз(а) |
|
|
VBKesha 817 EGP
Рейтинг канала: 7(600) Репутация: 132 Сообщения: 3330 Откуда: обл.Брянская г. Трубчевск Зарегистрирован: 07.12.2005 |
|
Вы меня конечно извините что я вмешиваюсь. Но ИМХО шифровальщики это просто эволюция локеров. Которые появились заметно раньше, и требовали денег за возможность войти на компьютер. Но так как переустановка винды стоила в среднем не дороже, а ценность винда не представляет, то просто нашли что представляет ценность...
_________________ JumpGate. Quantar Optimus.
Jumpgate(TM) . . . welcome to your next life . . . There's nothing you can't do |
|
|
Voha 931 EGP
Рейтинг канала: 9(1038) Репутация: 167 Сообщения: 4926 Откуда: Moscow, Russia Зарегистрирован: 15.02.2001 |
|
VBKesha : |
Но ИМХО шифровальщики это просто эволюция локеров. Которые появились заметно раньше, и требовали денег за возможность войти на компьютер.
|
Только наоборот. Шифровальщики существовали еще тогда, когда жестких дисков в масс-маркете не было - система загружалась с дискетки, на второй дискетке был нужный для работы софт и файло. И ценная информация уже была - на той самой второй дискетке. А вот локеры были бесполезны - дискетка с OS была физически защищена от записи наклейкой.
_________________ Time will show... |
|
|
_RAZAAR_ 62 EGP
Рейтинг канала: 2(11) Репутация: -13 Сообщения: 2854 Заблокирован Откуда: РАЗААРЪ - 40Лы от Лаве Зарегистрирован: 15.04.2008 |
|
Voha : |
VBKesha : |
Но ИМХО шифровальщики это просто эволюция локеров. Которые появились заметно раньше, и требовали денег за возможность войти на компьютер.
|
Только наоборот. Шифровальщики существовали еще тогда, когда жестких дисков в масс-маркете не было - система загружалась с дискетки, на второй дискетке был нужный для работы софт и файло. И ценная информация уже была - на той самой второй дискетке. А вот локеры были бесполезны - дискетка с OS была физически защищена от записи наклейкой.
|
Может не в тему
но что есть наклейка как не локер?
большая польза от неё или нет судить могут анлокеры.
потому наверно всетки замки а потом как их эволюция кодовые замки
_________________ Quaere Vērum
------------------------ |
|
|
Grebomet 1460 EGP
Рейтинг канала: 8(753) Репутация: 261 Сообщения: 4765 Откуда: Питербурх Зарегистрирован: 06.01.2003 |
|
_RAZAAR_ : |
но что есть наклейка как не локер?
большая польза от неё или нет судить могут анлокеры.
|
Не понял посыла.
Наклейка на пятидюймовых дискетах (и задвижка на трехдюймовках) - это аппаратный запрет на запись. Т.е. при наличии наклейки контроллер FDD будет выдавать ошибку на любые операции записи.
Другими словами, налепил наклейку - и дискетка превратилась в CD-ROM. И никакой локер ее уже не зашифрует.
_________________ Классическая ошибка, которую совершают проектировщики абсолютно надежных систем, – недооценка изобретательности клинических идиотов. |
|
|
_RAZAAR_ 62 EGP
Рейтинг канала: 2(11) Репутация: -13 Сообщения: 2854 Заблокирован Откуда: РАЗААРЪ - 40Лы от Лаве Зарегистрирован: 15.04.2008 |
|
Grebomet : |
И никакой локер ее уже не зашифрует.
|
Voha : |
на второй дискетке был нужный для работы софт и файло
|
а файлу обязательно было быть шифровальщиком, но никак не локером лочащим результат работы нужного для работы софта, или я не понял о чем речь и не в тему?
_________________ Quaere Vērum
------------------------ |
|
|
Voha 931 EGP
Рейтинг канала: 9(1038) Репутация: 167 Сообщения: 4926 Откуда: Moscow, Russia Зарегистрирован: 15.02.2001 |
|
_RAZAAR_ : |
Grebomet : |
И никакой локер ее уже не зашифрует.
|
Voha : |
на второй дискетке был нужный для работы софт и файло
|
а файлу обязательно было быть шифровальщиком, но никак не локером лочащим результат работы нужного для работы софта, или я не понял о чем речь и не в тему?
|
Я не берусь гадать, что конкретно ты понял или не понял, но
вирус-шифровальщик - меняет содержимое файлов данных по заданному алгоритму
вирус-локер - блокирует доступ пользователя к интерфейсу OS, перехватывая устройства ввода.
_________________ Time will show... |
|
|
ratmane2012 273 EGP
Рейтинг канала: 4(80) Репутация: 31 Сообщения: 726 Откуда: Красная планета Зарегистрирован: 03.07.2012 |
|
У кого-нибудь лишний вирус-шифровальщик не завалялся?
_________________ Ударим пиратством по санкциям.. |
|
|
БулерМэн 420 EGP
Рейтинг канала: 4(58) Репутация: 68 Сообщения: 1580 Откуда: Гороховец Зарегистрирован: 07.02.2006 |
|
ratmane2012 : |
лишний вирус-шифровальщик
|
Шифровальщики лишними и бывшими не бывают
_________________ Дулички и фигушки |
|
|
_RAZAAR_ 62 EGP
Рейтинг канала: 2(11) Репутация: -13 Сообщения: 2854 Заблокирован Откуда: РАЗААРЪ - 40Лы от Лаве Зарегистрирован: 15.04.2008 |
|
Voha : |
вирус-шифровальщик - меняет содержимое файлов данных по заданному алгоритму.
|
А блокировка доступа к рабочим файлам данных пользователя (неважно каким последним записанным на диск...) отслеживая события записи чтения и их результат по заданному алгоритму не может быть плодом работы вируса локера?
Cкрытый текст (кликните здесь для просмотра)
Перед тем, как вирус блокирует компьютер, он дает пользователю 10 минут на ввод кода деблокировки. Все эти 10 минут на экране ПК находится счетчик времени, портрет Сталина и играет гимн СССР. Если пользователю не получается отгадать шифр, то программа-локер запускает процесс удаления всей информации, хранящейся на устройстве. При верном вводе кода вирус сам отменяет автозапуск очистки компьютера.
Шифром деблокировки оказалась разница между датой запуска файла на компьютере и датой 30.12.1922, это дата утверждения договора об образовании СССР.
|
_________________ Quaere Vērum
------------------------ |
|
|
Voha 931 EGP
Рейтинг канала: 9(1038) Репутация: 167 Сообщения: 4926 Откуда: Moscow, Russia Зарегистрирован: 15.02.2001 |
|
Да называй, как тебе нравится - окружающему миру оно примерно безразлично, значения слов lock и crypt от этого не меняются.
_________________ Time will show... |
|
|
БулерМэн 420 EGP
Рейтинг канала: 4(58) Репутация: 68 Сообщения: 1580 Откуда: Гороховец Зарегистрирован: 07.02.2006 |
|
Что-то я не понял, периодически стала вылезать реклама на весь экран в браузере, с большим-пребольшим крестом закрыть. Отловить не получилось, самовыпилилась из кода старницы. Причем с разных устройств захожу, и периодически это вижу.
Это какой-то хитрый червяк или что?
Погуглив, нашел вот такую статью ТЫК
где вопрошатель вопрошает, отвечатель отвечает - мол "Такое возможно из-за перенаправления DNS ( http://ru.wikipedia.org/wiki/DNS_hijacking )."
Поменял днс-ки на телефоне, который принимает интернет и раздает на компьютер по шнурку. Буду ждать повторного появления.
Изменить DNS на телефоне который подключен к 4G - не могу, рутирован и штатно для 4G-сети dns изменить не могу.
Может быть так, что провайдер подмешивает мне в трафик что хочет? Или видоизменяет его если подключаться к незашифрованным ресурсам?
Как отказаться от DNS мобильного провайдера и использовать гугловские например?
Есть ли какие-то отечественные устойчивые, доверенные днс-сервера?
_________________ Дулички и фигушки
Последний раз редактировалось: БулерМэн (01:55 05-06-2019), всего редактировалось 3 раз(а) |
|
|
_RAZAAR_ 62 EGP
Рейтинг канала: 2(11) Репутация: -13 Сообщения: 2854 Заблокирован Откуда: РАЗААРЪ - 40Лы от Лаве Зарегистрирован: 15.04.2008 |
|
БулерМэн : |
Что-то я не понял, периодически стала вылезать реклама на весь экран в браузере, с большим-пребольшим крестом закрыть. Отловить не получилось, самовыпилилась из кода старницы. Причем с разных устройств захожу, и периодически это вижу.
Это какой-то хитрый червяк или что?
Погуглив, нашел вот такую статью ТЫК
где вопрошатель вопрошает, отвечатель отвечает - мол "Такое возможно из-за перенаправления DNS ( http://ru.wikipedia.org/wiki/DNS_hijacking )."
Поменял днс-ки на телефоне, который принимает интернет и раздает на компьютер по шнурку. Буду ждать повторного появления.
Изменить DNS на телефоне который подключен к 4G - не могу, рутирован и штатно для 4G-сети dns изменить не могу.
Может быть так, что провайдер подмешивает мне в трафик что хочет? Или видоизменяет его если подключаться к незашифрованным ресурсам?
Как отказаться от DNS мобильного провайдера и использовать гугловские например?
Есть ли какие-то отечественные устойчивые, доверенные днс-сервера?
|
пройдись для начала этим https://ru.malwarebytes.com/adwcleaner/ посмотри что получится, если чтото более тяжелое у них вроде есть кучка полезых инструментов безплатных да и сам триал https://ru.malwarebytes.com/mwb-download/thankyou/ тоже поможет, но сначала клинером пройдись
_________________ Quaere Vērum
------------------------ |
|
|
Артанин 98 EGP Репутация: 8 Сообщения: 684 Откуда: Питер Зарегистрирован: 14.08.2014 |
|
Z390 проц k9... Это не суть. Пытаюсь найти майнинговую программу. Грузит карточку и проц. Пришла с дискордом.скачивал с офф сайта.
Где искать? Дискорт удалил, но ес-но эта хрень осталась.
Сторонних программ оставил минимум. Все переустановил.
Офисные от гейца, Каспер и Стим. Больше ничего пока нет.
Понимаю что форматирование решит проблему, но может варианты есть.
_________________ Когда то на территории России существовало три царства Артания,Куявия и Славия. Больше ничего доподлинно неизвестно. |
|
|
ratmane2012 273 EGP
Рейтинг канала: 4(80) Репутация: 31 Сообщения: 726 Откуда: Красная планета Зарегистрирован: 03.07.2012 |
|
Вспомнить дату установки и подхвата вируса, и попробовать искать на компе файлы за эту дату, обычно ехе-шники и т.д.
Ну и в диспетчере задач искать процессы с подозрительными именами или пытаться отрубать (с учётом того, что можно зависнуть) и смотреть на результат.
И каким-нибудь dr.web cure it прочесать комп.
_________________ Ударим пиратством по санкциям..
Последний раз редактировалось: ratmane2012 (02:01 22-11-2020), всего редактировалось 2 раз(а) |
|
|
Артанин 98 EGP Репутация: 8 Сообщения: 684 Откуда: Питер Зарегистрирован: 14.08.2014 |
|
ratmane2012 : |
Вспомнить дату установки и подхвата вируса, и попробовать искать на компе файлы за эту дату, обычно ехе-шники и т.д.
Ну и в диспетчере задач искать процессы с подозрительными именами или пытаться отрубать (с учётом того, что можно зависнуть) и смотреть на результат.
И каким-нибудь dr.web cure it прочесать комп.
|
По датам изменения как раз все поудалял.
Ок. Попробую через диспетчер.
А антивирусы эти майнинговые программы не видят почему-то.
_________________ Когда то на территории России существовало три царства Артания,Куявия и Славия. Больше ничего доподлинно неизвестно. |
|
|
Grebomet 1460 EGP
Рейтинг канала: 8(753) Репутация: 261 Сообщения: 4765 Откуда: Питербурх Зарегистрирован: 06.01.2003 |
|
Артанин : |
Z390 проц k9... Это не суть.
|
Действительно не суть. Суть - винда-то какая?
Артанин : |
Пытаюсь найти майнинговую программу. Грузит карточку и проц.
|
Посмотреть, кто грузит проц, можно тупо через диспетчер задач. Отсортировываем список по CPU usage, если майнер умный и работает только кгда комп не используется - даем компу чуток постоять. То, что болтается наверху, и будет твоим майнером. Если винда семерка - то для удобства ловли можно выводить "путь к образу" в списке задач. В 10-ке, если я правильно помню, он и так выводится.
Посмотреть, кто грузит GPU, можно через утилиты производителя. Например, у NVidia есть коммандлайновая утилитка для вывода сведений о процессах, загружающих карту:
- идем в Program Files\NVidia Corporation\NVSMI
- запускаем там cmd (командную строку, чтоб окошко консоли появилось)
- в командной строке вбиваем nvidia-smi
Видим список процессов, использующих GPU. Например, у меня:
Код: |
c:\Program Files\NVIDIA Corporation\NVSMI>nvidia-smi.exe
Sun Nov 22 12:48:01 2020
+-----------------------------------------------------------------------------+
| NVIDIA-SMI 451.67 Driver Version: 451.67 CUDA Version: 11.0 |
|-------------------------------+----------------------+----------------------+
| GPU Name TCC/WDDM | Bus-Id Disp.A | Volatile Uncorr. ECC |
| Fan Temp Perf Pwr:Usage/Cap| Memory-Usage | GPU-Util Compute M. |
|===============================+======================+======================|
| 0 GeForce GTX 106... WDDM | 00000000:01:00.0 On | N/A |
| 40% 67C P2 69W / 108W | 376MiB / 3072MiB | 98% Default |
+-------------------------------+----------------------+----------------------+
+-----------------------------------------------------------------------------+
| Processes: |
| GPU GI CI PID Type Process name GPU Memory |
| ID ID Usage |
|=============================================================================|
| 0 N/A N/A 1432 C+G ...ype for Desktop\Skype.exe N/A |
| 0 N/A N/A 3392 C+G C:\Windows\system32\Dwm.exe N/A |
| 0 N/A N/A 3472 C ...unch\slot1\md5_opencl.exe N/A |
| 0 N/A N/A 4956 C+G ...t\Teams\current\Teams.exe N/A |
+-----------------------------------------------------------------------------+
|
Анализируем:
- в верхней табличке 98% - это загрузка видеокарты. Если там около нуля, то особого смысла ловить майнер нет - он небось спит.
Внизу:
- скайп - это понятно. Не совсем понятно, нахрена ему видяха, если никто не звонит, ну да ладно.
- DWM - это Desktop Window Manager виндовый. Если включены всякие эффекты, Aero и полупрозрачность - он видяху припрягает.
- Teams - еще одно микрософтовское поделие, которое без аппаратного ускорения прям никак не может мессагу отослать.
- md5_opencl - это моё, не обращаем внимания. Но если бы я похоий процесс увидел на чужой машине, однозначно бы классифицировал как майнер.
Артанин : |
А антивирусы эти майнинговые программы не видят почему-то.
|
Потому что их как грязи разных, и каждый день новые появляются. А еще у них нет никаких особых признаков, отличающих их от легитимных программ, поэтому эвристический анализатор на них не реагирует.
Впрочем, если майнер шел прям в официальном дистрибутиве, то 100% народ уже нажаловался во все антивирусы, где есть онлайн-сбор данных (avast, например). Глядишь, скоро и в дырвебе появится сигнатурка.
А еще я бы для надежности грузанулся с флэшки - если майнер сильно продвинутый, он может два процесса запустить - один рабочий, второй следит за первым. И если рабочий процесс убивают, то следилка оперативно делает его копию и запускает под другим именем - т.е. убивать такой майнер умучаешься. А из-под винды с флэшки все найдется и удалится легче.
_________________ Классическая ошибка, которую совершают проектировщики абсолютно надежных систем, – недооценка изобретательности клинических идиотов. |
|
|
MorrisOn 165 EGP
Рейтинг канала: 1(7) Репутация: 10 Сообщения: 182
Зарегистрирован: 20.10.2016 |
|
Ещё в автозагрузке смотреть где что грузится.
|
|
|
Артанин 98 EGP Репутация: 8 Сообщения: 684 Откуда: Питер Зарегистрирован: 14.08.2014 |
|
Да нашел паразита. Пришлось форматировать систему, как и ожидалось ( как предупреждали) простым удалением проблему решить не вышло. Клон запускался спустя некоторое время.
Через диспетчер задач нашел.
_________________ Когда то на территории России существовало три царства Артания,Куявия и Славия. Больше ничего доподлинно неизвестно.
Последний раз редактировалось: Артанин (15:26 22-11-2020), всего редактировалось 2 раз(а) |
|
|
|
|
|
Железный канал: «Вирусы» |
|