|
|
|
|
Железный канал: «Вирусы» |
|
|
|
Falcon
 314 EGP
     
Рейтинг канала: 3(29)
: 139
Posts: 6138
Location: КУЙ С НАМИ
Joined: 07 Feb 2001
  |
|
| Grebomet wrote: |
|
- сначала были простые почтовые трояны. Айлавью.ехе и прочие нимды. Потом - трояны с возможностью самоинсталляции через дыры в винде.
|
о довиндовом сегменте - вы с Назарром ваще кагто никаг 
главное - это же наукообразие и штиль 
_________________
7ШJ |
|
|
|
_RAZAAR_
 62 EGP
Рейтинг канала: 2(11)
: -13
Posts: 2854 Заблокирован
Location: РАЗААРЪ - 40Лы от Лаве
Joined: 15 Apr 2008
|
|
| Falcon wrote: |
о довиндовом сегменте - вы с Назарром ваще кагто никаг
главное - это же наукообразие и штиль
|
Флаконий, а про довиндовость наукообразия ты что имееш сказать? криптовальные вирусы под TR-DOS 5.04 или может под различные порты CP/M?
Или может был свидетелем подобных наукообразий пользуя SCO Openserver 5 и UNIX System V, другие донаукообразные пораженные злостными криптотехниками штормовые оси? 
добавлено спустя 30 минут:
| AnrDaemon wrote: |
|
Сама идея вымогательства посредством заложников не нова настолько, что вызывает удивления попытка какого-то "наблюдения" и "анализа".
|
разумеется это не анализ, только мимолётная ассоциация наблюдаемая позже в действительности.
Когда я первый раз столкнулся с буквальным принуждением пользоваться
только пустыми переносными носителями дабы процесс проверки и шифрования занимал минимум времени и максимум невероятности что чтото важное будет зашифрованно и утеряно навсегда, то мгновенно мелькнула мысль ну всё "понеслась", а через пару лет она таки принеслась к людям со словами хочет плакать.
добавлено спустя 8 минут:
| Grebomet wrote: |
Слишком сложные ассоциации, как по мне.
К шифровальщикам дело шло простыми и логичными путями:
|
ну яж сказал что лирическое отступление,
согласен что леворукоправоухочесное, но таковым оно и было в действительности.
_________________
Quaere Vērum
------------------------
Last edited by _RAZAAR_ on 05:22 08-03-2019; edited 3 times in total |
|
|
|
VBKesha
 818 EGP
   
Рейтинг канала: 7(600)
: 132
Posts: 3330
Location: обл.Брянская г. Трубчевск
Joined: 07 Dec 2005
|
|
Вы меня конечно извините что я вмешиваюсь. Но ИМХО шифровальщики это просто эволюция локеров. Которые появились заметно раньше, и требовали денег за возможность войти на компьютер. Но так как переустановка винды стоила в среднем не дороже, а ценность винда не представляет, то просто нашли что представляет ценность...
_________________
JumpGate. Quantar Optimus.
Jumpgate(TM) . . . welcome to your next life . . . There's nothing you can't do |
|
|
|
Voha
 950 EGP
    
Рейтинг канала: 9(1086)
: 169
Posts: 4991
Location: Moscow, Russia
Joined: 15 Feb 2001
|
|
| VBKesha wrote: |
|
Но ИМХО шифровальщики это просто эволюция локеров. Которые появились заметно раньше, и требовали денег за возможность войти на компьютер.
|
Только наоборот. Шифровальщики существовали еще тогда, когда жестких дисков в масс-маркете не было - система загружалась с дискетки, на второй дискетке был нужный для работы софт и файло. И ценная информация уже была - на той самой второй дискетке. А вот локеры были бесполезны - дискетка с OS была физически защищена от записи наклейкой.
_________________
Time will show... |
|
|
|
_RAZAAR_
62 EGP
Рейтинг канала: 2(11)
: -13
Posts: 2854 Заблокирован
Location: РАЗААРЪ - 40Лы от Лаве
Joined: 15 Apr 2008
|
|
| Voha wrote: |
| VBKesha wrote: |
|
Но ИМХО шифровальщики это просто эволюция локеров. Которые появились заметно раньше, и требовали денег за возможность войти на компьютер.
|
Только наоборот. Шифровальщики существовали еще тогда, когда жестких дисков в масс-маркете не было - система загружалась с дискетки, на второй дискетке был нужный для работы софт и файло. И ценная информация уже была - на той самой второй дискетке. А вот локеры были бесполезны - дискетка с OS была физически защищена от записи наклейкой.
|
Может не в тему
но что есть наклейка как не локер?
большая польза от неё или нет судить могут анлокеры.
потому наверно всетки замки а потом как их эволюция кодовые замки
_________________
Quaere Vērum
------------------------ |
|
|
|
Grebomet
 1469 EGP
 
Рейтинг канала: 8(759)
: 261
Posts: 4790
Location: Питербурх
Joined: 06 Jan 2003
|
|
| _RAZAAR_ wrote: |
но что есть наклейка как не локер?
большая польза от неё или нет судить могут анлокеры.
|
Не понял посыла.
Наклейка на пятидюймовых дискетах (и задвижка на трехдюймовках) - это аппаратный запрет на запись. Т.е. при наличии наклейки контроллер FDD будет выдавать ошибку на любые операции записи.
Другими словами, налепил наклейку - и дискетка превратилась в CD-ROM. И никакой локер ее уже не зашифрует.
_________________
Классическая ошибка, которую совершают проектировщики абсолютно надежных систем, – недооценка изобретательности клинических идиотов. |
|
|
|
_RAZAAR_
62 EGP
Рейтинг канала: 2(11)
: -13
Posts: 2854 Заблокирован
Location: РАЗААРЪ - 40Лы от Лаве
Joined: 15 Apr 2008
|
|
| Grebomet wrote: |
|
И никакой локер ее уже не зашифрует.
|
| Voha wrote: |
на второй дискетке был нужный для работы софт и файло
|
а файлу обязательно было быть шифровальщиком, но никак не локером лочащим результат работы нужного для работы софта, или я не понял о чем речь и не в тему?
_________________
Quaere Vērum
------------------------ |
|
|
|
Voha
950 EGP
Рейтинг канала: 9(1086)
: 169
Posts: 4991
Location: Moscow, Russia
Joined: 15 Feb 2001
|
|
| _RAZAAR_ wrote: |
| Grebomet wrote: |
|
И никакой локер ее уже не зашифрует.
|
| Voha wrote: |
на второй дискетке был нужный для работы софт и файло
|
а файлу обязательно было быть шифровальщиком, но никак не локером лочащим результат работы нужного для работы софта, или я не понял о чем речь и не в тему?
|
Я не берусь гадать, что конкретно ты понял или не понял, но
вирус-шифровальщик - меняет содержимое файлов данных по заданному алгоритму
вирус-локер - блокирует доступ пользователя к интерфейсу OS, перехватывая устройства ввода.
_________________
Time will show... |
|
|
|
ratmane2012
 289 EGP
 
Рейтинг канала: 4(89)
: 29
Posts: 778
Location: Красная планета
Joined: 03 Jul 2012
|
|
У кого-нибудь лишний вирус-шифровальщик не завалялся?
_________________
Ударим пиратством по санкциям.. |
|
|
|
БулерМэн
436 EGP
Рейтинг канала: 4(58)
: 68
Posts: 1580
Location: Гороховец
Joined: 07 Feb 2006
 |
|
| ratmane2012 wrote: |
|
лишний вирус-шифровальщик
|
Шифровальщики лишними и бывшими не бывают 
_________________
Сосиска в хлебе |
|
|
|
_RAZAAR_
62 EGP
Рейтинг канала: 2(11)
: -13
Posts: 2854 Заблокирован
Location: РАЗААРЪ - 40Лы от Лаве
Joined: 15 Apr 2008
|
|
| Voha wrote: |
вирус-шифровальщик - меняет содержимое файлов данных по заданному алгоритму.
|
А блокировка доступа к рабочим файлам данных пользователя (неважно каким последним записанным на диск...) отслеживая события записи чтения и их результат по заданному алгоритму не может быть плодом работы вируса локера?
|
Cкрытый текст (кликните здесь для просмотра)
Перед тем, как вирус блокирует компьютер, он дает пользователю 10 минут на ввод кода деблокировки. Все эти 10 минут на экране ПК находится счетчик времени, портрет Сталина и играет гимн СССР. Если пользователю не получается отгадать шифр, то программа-локер запускает процесс удаления всей информации, хранящейся на устройстве. При верном вводе кода вирус сам отменяет автозапуск очистки компьютера.
Шифром деблокировки оказалась разница между датой запуска файла на компьютере и датой 30.12.1922, это дата утверждения договора об образовании СССР.
|
_________________
Quaere Vērum
------------------------ |
|
|
|
Voha
950 EGP
Рейтинг канала: 9(1086)
: 169
Posts: 4991
Location: Moscow, Russia
Joined: 15 Feb 2001
|
|
Да называй, как тебе нравится - окружающему миру оно примерно безразлично, значения слов lock и crypt от этого не меняются.
_________________
Time will show... |
|
|
|
БулерМэн
436 EGP
Рейтинг канала: 4(58)
: 68
Posts: 1580
Location: Гороховец
Joined: 07 Feb 2006
|
|
Что-то я не понял, периодически стала вылезать реклама на весь экран в браузере, с большим-пребольшим крестом закрыть. Отловить не получилось, самовыпилилась из кода старницы. Причем с разных устройств захожу, и периодически это вижу.
Это какой-то хитрый червяк или что?
Погуглив, нашел вот такую статью ТЫК
где вопрошатель вопрошает, отвечатель отвечает - мол "Такое возможно из-за перенаправления DNS ( http://ru.wikipedia.org/wiki/DNS_hijacking )."
Поменял днс-ки на телефоне, который принимает интернет и раздает на компьютер по шнурку. Буду ждать повторного появления.
Изменить DNS на телефоне который подключен к 4G - не могу, рутирован и штатно для 4G-сети dns изменить не могу.
Может быть так, что провайдер подмешивает мне в трафик что хочет? Или видоизменяет его если подключаться к незашифрованным ресурсам?
Как отказаться от DNS мобильного провайдера и использовать гугловские например?
Есть ли какие-то отечественные устойчивые, доверенные днс-сервера?
_________________
Сосиска в хлебе
Last edited by БулерМэн on 01:55 05-06-2019; edited 3 times in total |
|
|
|
_RAZAAR_
62 EGP
Рейтинг канала: 2(11)
: -13
Posts: 2854 Заблокирован
Location: РАЗААРЪ - 40Лы от Лаве
Joined: 15 Apr 2008
|
|
| БулерМэн wrote: |
Что-то я не понял, периодически стала вылезать реклама на весь экран в браузере, с большим-пребольшим крестом закрыть. Отловить не получилось, самовыпилилась из кода старницы. Причем с разных устройств захожу, и периодически это вижу.
Это какой-то хитрый червяк или что?
Погуглив, нашел вот такую статью ТЫК
где вопрошатель вопрошает, отвечатель отвечает - мол "Такое возможно из-за перенаправления DNS ( http://ru.wikipedia.org/wiki/DNS_hijacking )."
Поменял днс-ки на телефоне, который принимает интернет и раздает на компьютер по шнурку. Буду ждать повторного появления.
Изменить DNS на телефоне который подключен к 4G - не могу, рутирован и штатно для 4G-сети dns изменить не могу.
Может быть так, что провайдер подмешивает мне в трафик что хочет? Или видоизменяет его если подключаться к незашифрованным ресурсам?
Как отказаться от DNS мобильного провайдера и использовать гугловские например?
Есть ли какие-то отечественные устойчивые, доверенные днс-сервера?
|
пройдись для начала этим https://ru.malwarebytes.com/adwcleaner/ посмотри что получится, если чтото более тяжелое у них вроде есть кучка полезых инструментов безплатных да и сам триал https://ru.malwarebytes.com/mwb-download/thankyou/ тоже поможет, но сначала клинером пройдись
_________________
Quaere Vērum
------------------------ |
|
|
|
Артанин
 179 EGP
: 10
Posts: 1037
Location: Питер
Joined: 14 Aug 2014
|
|
Z390 проц k9... Это не суть. Пытаюсь найти майнинговую программу. Грузит карточку и проц. Пришла с дискордом.скачивал с офф сайта.
Где искать? Дискорт удалил, но ес-но эта хрень осталась.
Сторонних программ оставил минимум. Все переустановил.
Офисные от гейца, Каспер и Стим. Больше ничего пока нет.
Понимаю что форматирование решит проблему, но может варианты есть.
_________________
Когда то на территории России существовало три царства Артания,Куявия и Славия. Больше ничего доподлинно неизвестно. |
|
|
|
ratmane2012
289 EGP
Рейтинг канала: 4(89)
: 29
Posts: 778
Location: Красная планета
Joined: 03 Jul 2012
|
|
Вспомнить дату установки и подхвата вируса, и попробовать искать на компе файлы за эту дату, обычно ехе-шники и т.д.
Ну и в диспетчере задач искать процессы с подозрительными именами или пытаться отрубать (с учётом того, что можно зависнуть) и смотреть на результат.
И каким-нибудь dr.web cure it прочесать комп.
_________________
Ударим пиратством по санкциям..
Last edited by ratmane2012 on 02:01 22-11-2020; edited 2 times in total |
|
|
|
Артанин
179 EGP
: 10
Posts: 1037
Location: Питер
Joined: 14 Aug 2014
|
|
| ratmane2012 wrote: |
Вспомнить дату установки и подхвата вируса, и попробовать искать на компе файлы за эту дату, обычно ехе-шники и т.д.
Ну и в диспетчере задач искать процессы с подозрительными именами или пытаться отрубать (с учётом того, что можно зависнуть) и смотреть на результат.
И каким-нибудь dr.web cure it прочесать комп.
|
По датам изменения как раз все поудалял.
Ок. Попробую через диспетчер.
А антивирусы эти майнинговые программы не видят почему-то.
_________________
Когда то на территории России существовало три царства Артания,Куявия и Славия. Больше ничего доподлинно неизвестно. |
|
|
|
Grebomet
1469 EGP
Рейтинг канала: 8(759)
: 261
Posts: 4790
Location: Питербурх
Joined: 06 Jan 2003
|
|
| Артанин wrote: |
|
Z390 проц k9... Это не суть.
|
Действительно не суть. Суть - винда-то какая?
| Артанин wrote: |
|
Пытаюсь найти майнинговую программу. Грузит карточку и проц.
|
Посмотреть, кто грузит проц, можно тупо через диспетчер задач. Отсортировываем список по CPU usage, если майнер умный и работает только кгда комп не используется - даем компу чуток постоять. То, что болтается наверху, и будет твоим майнером. Если винда семерка - то для удобства ловли можно выводить "путь к образу" в списке задач. В 10-ке, если я правильно помню, он и так выводится.
Посмотреть, кто грузит GPU, можно через утилиты производителя. Например, у NVidia есть коммандлайновая утилитка для вывода сведений о процессах, загружающих карту:
- идем в Program Files\NVidia Corporation\NVSMI
- запускаем там cmd (командную строку, чтоб окошко консоли появилось)
- в командной строке вбиваем nvidia-smi
Видим список процессов, использующих GPU. Например, у меня:
| Code: |
c:\Program Files\NVIDIA Corporation\NVSMI>nvidia-smi.exe
Sun Nov 22 12:48:01 2020
+-----------------------------------------------------------------------------+
| NVIDIA-SMI 451.67 Driver Version: 451.67 CUDA Version: 11.0 |
|-------------------------------+----------------------+----------------------+
| GPU Name TCC/WDDM | Bus-Id Disp.A | Volatile Uncorr. ECC |
| Fan Temp Perf Pwr:Usage/Cap| Memory-Usage | GPU-Util Compute M. |
|===============================+======================+======================|
| 0 GeForce GTX 106... WDDM | 00000000:01:00.0 On | N/A |
| 40% 67C P2 69W / 108W | 376MiB / 3072MiB | 98% Default |
+-------------------------------+----------------------+----------------------+
+-----------------------------------------------------------------------------+
| Processes: |
| GPU GI CI PID Type Process name GPU Memory |
| ID ID Usage |
|=============================================================================|
| 0 N/A N/A 1432 C+G ...ype for Desktop\Skype.exe N/A |
| 0 N/A N/A 3392 C+G C:\Windows\system32\Dwm.exe N/A |
| 0 N/A N/A 3472 C ...unch\slot1\md5_opencl.exe N/A |
| 0 N/A N/A 4956 C+G ...t\Teams\current\Teams.exe N/A |
+-----------------------------------------------------------------------------+
|
Анализируем:
- в верхней табличке 98% - это загрузка видеокарты. Если там около нуля, то особого смысла ловить майнер нет - он небось спит.
Внизу:
- скайп - это понятно. Не совсем понятно, нахрена ему видяха, если никто не звонит, ну да ладно.
- DWM - это Desktop Window Manager виндовый. Если включены всякие эффекты, Aero и полупрозрачность - он видяху припрягает.
- Teams - еще одно микрософтовское поделие, которое без аппаратного ускорения прям никак не может мессагу отослать.
- md5_opencl - это моё, не обращаем внимания. Но если бы я похоий процесс увидел на чужой машине, однозначно бы классифицировал как майнер.
| Артанин wrote: |
|
А антивирусы эти майнинговые программы не видят почему-то.
|
Потому что их как грязи разных, и каждый день новые появляются. А еще у них нет никаких особых признаков, отличающих их от легитимных программ, поэтому эвристический анализатор на них не реагирует.
Впрочем, если майнер шел прям в официальном дистрибутиве, то 100% народ уже нажаловался во все антивирусы, где есть онлайн-сбор данных (avast, например). Глядишь, скоро и в дырвебе появится сигнатурка.
А еще я бы для надежности грузанулся с флэшки - если майнер сильно продвинутый, он может два процесса запустить - один рабочий, второй следит за первым. И если рабочий процесс убивают, то следилка оперативно делает его копию и запускает под другим именем - т.е. убивать такой майнер умучаешься. А из-под винды с флэшки все найдется и удалится легче.
_________________
Классическая ошибка, которую совершают проектировщики абсолютно надежных систем, – недооценка изобретательности клинических идиотов. |
|
|
|
MorrisOn
165 EGP
Рейтинг канала: 1(7)
: 10
Posts: 182
Joined: 20 Oct 2016
|
|
Ещё в автозагрузке смотреть где что грузится.
|
|
|
|
Артанин
179 EGP
: 10
Posts: 1037
Location: Питер
Joined: 14 Aug 2014
|
|
Да нашел паразита. Пришлось форматировать систему, как и ожидалось ( как предупреждали) простым удалением проблему решить не вышло. Клон запускался спустя некоторое время.
Через диспетчер задач нашел.
_________________
Когда то на территории России существовало три царства Артания,Куявия и Славия. Больше ничего доподлинно неизвестно.
Last edited by Артанин on 15:26 22-11-2020; edited 2 times in total |
|
|
|
|
|
|
|
|
Железный канал: «Вирусы» |
|
|
