Вирусы шифровальщики и антивирусы

[Akin444]

Цитата: Сообщение от HiGHiN Не совсем понял, но в той теме вы приводите ссылку на указанный мною сайт. Им я и платил. Платил за результат.

А можете поподробней? Не про оплату, а про то, что у вас было и что за два часа подбора? Что отсылали, только закриптованный файл (файлы) или что то еще?

[Vasco74]

Поймали вирус, пришел во вложении почты, зашифровал файлы и поменял название, примерно до такого типа
vDakEf43psbNaheipsnFwiVAS0fO+KJmt3XEk71qyB2oyl40Jn yiBsMa42OKz-BFHY772DVrf1dFiiRsLRIxPymm+mOGZCd6q38XMTBnuaw=.A55 81098D880AC280690.better_call_saul
кто нибудь, с таким сталкивался?

[ispolin]

Vasco74, на вирусинфо тьма таких сообщений, без шансов

[DmitryE777]

Не нашел темы по ЗАЩИТЕ от таких вирусов. В том числе от новых, еще не детектируемых антивирусами.
Итак. В ноябре 2015-го задался целью найти "противоядие". Для этого был использован новый, не детектируемый антивирями шифровальщик (клиент хапнул - и удалось его сохранить). Тестировалось на виртуалке.
Исходные условия - винда уровня Home (т.е. без AppLocker и прочего). Юзер работает с правами админа.
На момент тестов вирус детектировался всего 2-3 не известными у нас антивирусами.
Итак, что дало эффект?
-------

1. Использование "Родительского контроля" - когда юзера урезаем до прав пользователя.
2. Запрет на исполнение в системе *.js , *.vbs, *.bat, *.cmd (делается через реестр)
3. Независимо от этого - т.е. с правами Админа. Антивирус 360 Total Security - если точнее - его поведенческий блокировщик. Вирус не обнаруживал - но шифровать не давал - блокировал на лету.

[Akin444]

Цитата: Сообщение от DmitryE777 Антивирус 360 Total Security - если точнее - его поведенческий блокировщик. Вирус не обнаруживал - но шифровать не давал - блокировал на лету.

Интересно. Недавно, один клиент поймал

Цитата: Сообщение от Vasco74 .better_call_saul

- вариантов нет, все что можно убито. Стоял ESET4. По логам антивирус начал прибывать эту заразу еще за два дня до полного краха. Но, то ли клиент выключил и разрешил работу, то ли ESET4 упустил тихую работу, так или иначе все было кончено на этом компьютере.
На ESETах 7-9, такой фокус не прошел (не сочтите за рекламу) и они прибывали все действия вируса во всем (в т.ч. в архивах) не спрашивая никого - тихо и незаметно. В почте на почтовом сервере было письмо с заразой, так и письма скачивались с извещением об уничтожении вируса, а ссылки забивались или не давали результат. Единственно за паролем вирус в архиве не бился антивирусником. Но как только попытка извлечь - тут же уничтожался.
Административные права не всегда уберешь, необходимы для ряда работ. Так что надежда только на антивирусник и разъяснений пользователю о вреде необдуманных разрешений или отключений.

[DmitryE777]

Цитата: Сообщение от Akin444 Административные права не всегда уберешь, необходимы для ряда работ. Так что надежда только на антивирусник и разъяснений пользователю о вреде необдуманных разрешений или отключений.

Читай ВСЕ пункты, что я перечислил. ОСОБЕННО п.2 и п.1
И да - при наличии п.1 Административные права МОЖНО отключать

[Akin444]

Цитата: Сообщение от DmitryE777 Читай ВСЕ пункты

Могу посоветовать то же самое. Расписывать не будем? Не будем говорить о специальном софте, портах и прочее. Кто их пишет и почему требуются административные права для "хп про" - это пусть они сами решают. Задачи стоят что б работало. Конечно и с техподдержкой и с разработкой и т.п. (чет много)... А вот вопрос к Вам: зачем

Цитата: Сообщение от DmitryE777 исполнение в системе *.js , *.vbs, *.bat, *.cmd

если все просто решается удалением и запретом? И чего это поставляют операционку с элементарными вещами?
Интересно, уважаемый DmitryE777 вдруг товарищем стал (да я не против ).
По антивирусникам и вирусам. Мы не на виртуалке, а на реальных сетях\машинах\программах проверяли (слабо? так уж получилось, конечно виртуалки то же есть, и ...). Антивирусники лицензионные (drweb и eset), различные версии, от корпортаивной\серверных до индивидуальных. И по факту, если народ смотрит, что выбрать, то везде и всегда в настоящее время, без подрезания прав, установления запретов\блоков\политик, устанавливайте один из ... (других не было для проверки забития реальных криптовщиков) антивирусников и никогда, при посещении сайтов, получении почты (оччень актуально нынче) не отключайте его и не запрещайте ему работу и будет у Вас и у вас много времени на творческую работу без потери данных. (...ну не реклама это не реклама...!). Было один раз, отсылали в лабораторию (когда лицензии это хорошо) и они через неделю прислали утилиту которая благополучно восстановила зашифрованные доки. Но разработчики антивирусных программ честно предупреждают, что не всегда возможно восстановить информацию. Поэтому постоянное автоматическое обновление, отсылка пойманной гадости, дает своевременные меры по предупреждению потери информации.
Да, конечно, можно и запреты и т.п., но мне думается спрашивали что-то из разряда поставил и забыл, и чем проще поставить и оно решит проблему с вирусом, тем лучше.
С уважением к присутствующим.

[andrey_k]

Akin444,
много слов, но всё не по теме обсуждения, а о себе великом.

Перечитайте еще раз тему с первого поста. Здесь обсуждаем не методы антивирусной защиты (для этого весь раздел Безопасность и не только), а восстановление зашифрованной системы антивирусом.

DmitryE777 предложил свой способ предотвращения заражения машины, когда антивирус может пропустить вирус. Это не совсем по теме, но он объяснил причину размещения своей идеи здесь.

Если у Вас есть что добавить - добавляйте. Остальное - в другой теме, а здесь флудить не надо.

Если новая ветка обсуждения будет существенной - выделим в отдельную тему.

Также напоминаю про вежливость к другим участникам форума, и как минимум, учет прежнего вклада в форум.
В Вашем случае, 11 постов с одним "+" против 1216 с 437 "+" - согласитесь, выпады без полезной информации выглядят не хорошо.

[DmitryE777]

Цитата: Сообщение от Akin444 Мы не на виртуалке, а на реальных сетях\машинах\программах проверяли (слабо?

Нет, не слабо. Но просто глупо ИССЛЕДОВАТЬ методы заражения на реальной машине - даже с точки зрения скорости и удобства работы.

Что касается предложенных мною методов - после исследования методов противодействия - только мною одним это было внедрено на 250++ систем. И после этого вопрос заражения даже неизвестными шифровальщиками был снят с повестки дня.
А простой запрет исполнения .js и .vbs на локальных машинах - предотвратил уже несколько десятков случаев заражения НЕИЗВЕСТНЫМИ вирусами. И даже в нескольких случаях без антивируса вообще.
Вот затем и советую. Тем более что в 99% случаев локальное исполнение скриптов юзерам не требуется.

Что касается ПОСТОЯННОЙ РАБОТЫ с правами Администратора. Изучите механизм работы "Родительского контроля". Ну так, для справки.
При его наличии никто вам не мешает для ОТДЕЛЬНЫХ приложений работу с правами Администратора - но в значительной мере страхует от неожиданностей.
И да, удачи вам в работе, милый юноша Akin444!

[Akin444]

Прошу извинить, если кто-то посчитал это обидным. Количество сообщений это хорошо. Конечно, включения и того и этого правильно - кто бы спорил (тем более заниматься пустой болтовней). Согласен с уважаемым andrey_k. На мой взгляд, я ответил человеку по опыту что проще применить что бы был результат (но, естественно, и настройки и разделы никто не отменял).
По теме.
НЕТ и НЕ будет способа "здесь и сейчас" восстановления криптованной информации.
Есть только способы предотвратить эту потерю.
Разве не так?

[andrey_k]

Цитата: Сообщение от Akin444 НЕТ и НЕ будет способа "здесь и сейчас" восстановления криптованной информации. Есть только способы предотвратить эту потерю. Разве не так?

не так, и практика это подтверждает.
Не всегда, но расшифровка зашифрованного содержимого возможна.
Если посмотрите, есть такая функция у DrWeb, Касперского, сама Microsoft восстанавливает данные после атаки такого вируса.
Не в 100% случаев - все же сильную криптографию, а где-то и намеренную порчу информации без цели возможности её восстановления да и просто ошибки в программе вируса никто не отменял.

Следуя Вашей логике, незачем лечить больного - ведь он уже заражен, карантин нам поможет

[Akin444]

Цитата: Сообщение от andrey_k ...ведь он уже заражен, карантин нам поможет

шутка? шутка мне нравится
Восстанавливать или не восстанавливать вот в чем вопрос? Ключ - случайный набор уничтожен. Будем искать? Или запустим перебор? А что мы еще можем? Можем сразу с другой машины поискать расширение на антивирусных сайтах и соответственно утилиту. Повезло, берем, применяем. И получаем в большинстве последних случаев ноль. Отсюда вывод - больной уже не дышит А если не ноль, то по честному, у кого получилось и скоко было? У меня - один (восстановлен) и то давно, всего четыре случая за последних пять лет, последний (непонятный по каналу) случай без вариантов. Основной поставщик - почта, либо непосредственно в письме, либо ссылка на скачивание. Второй способ на который может быть надежда по восстановлению информации - отсылаем в лабораторию.
!!!... предлагаю здесь выложить поврежденные файлы (одиночные, а не весь диск ) и народу попробовать восстановить их. Может и премию учредить...

[Akin444]

Так.Интересно. Если собрать итог по теме (только полезная информация):
=
a) Расшифровка
1. При отсутствии ключа никто и ничего не расшифровывает.
В лучшем случае

Цитата: Сообщение от Zhlobny Hmur есть часть ключа.... Вот и подумайте кто будет несколько лет раскриптогрыфать ваш документ

Т.е. предложение заняться подбором самостоятельно.
2. Скачивание всевозможных утилит и их работа.
Может и повезет.
3. Некто утверждали, что надо заплатить вымогателям.
В этом случае деньги исчезнут безвозвратно точно, а результата не будет. Желающим расстатся с деньгами уже предлагали личные кошельки и гарантировали ответное «спасибо».
=
b) Предотвращение
1. Применить, то что предложил DmitryE777.
Применять с полным пониманием того что делаете.
2. Установить антвирусную программу с наличием интернет защиты. Желательно приобрести, т.к. будет уверенность, что от вас примут заявку на расшифровку файла и создания именно для вашего случая средства спасения.

Может будут дополнения? Особенно в части подбора ключа и расшифровки. Но может и исследователи .js что скажут.
Специалисты уверен есть.

[andrey_k]

Более точной будет другая классификация (которую применяем)
1. Действия до заражения.
Типовая антивирусная защита, в т.ч. для новых вирусов
(здесь вирус - любая программа, имеющая целью несанкционированное получение доступа к информации, ее изменение либо уничтожение, причем, не обязательно все эти признаки присутствуют одновременно)

2. Действия после заражения.
Применительно к рассматриваемой атаке - к последствиям шифрования информации, т.е. ее модификации таким образом, что без знания алгоритма модификации и ключа либо группы ключей шифрования прежний доступ к этой информации невозможен.

п.1 является по сути обычными мерами антивирусной защиты, кои уже описаны как на этом форуме, так и других, более профессиональных сайтах, многажды.

п.2 на практике решается оценкой ущерба и способа восстановления зашифрованной информации.
В простом случае данные восстанавливаются из адекватной резервной копии, и задачи чего-либо расшифровывать не стоит в принципе
В случае отсутствия резервной копии данные восстанавливают методами, которые изучает криптоанализ (есть такая наука).
В "бытовом" плане это выглядит как передача данные специалисту, и получение от него утилиты расшифровки данных либо самих восстановленных данных.

Как вариант, получение от авторов вируса утилиты расшифровки с параметрами восстановления (ключ расшифровки, если он применяется).
Общая рекомендация антивирусных лабораторий и правоохранительных органов - никаких переговоров с авторами вируса, т.к. в большинстве случаев за отправленные им деньги вы ничего не получите, т.к. именно вымогательство и есть цель атаки.

В некоторых случаях (у меня нет статистики) данные можно восстановить утилитами, которые разрабатывают антивирусные лаборатории на основе методов работы вируса и методов криптоанализа.

В нашей теме обсуждаем как раз факты восстановления зашифрованной информации антивирусными средствами, т.е. в результате работы антивирусной лаборатории.

Общий вывод по теме вирусов-шифровальщиков: поскольку шансы на восстановление информации в случае успешной атаки далеки от 100%, то для пользователя ПК целесообразней улучшать защиту от атаки, а здесь принципиальных отличий от других вирусов нет, так что все меры антивирусной профилактики и защиты работают в полном объеме.

Обсуждение теории криптоанализа полагаю здесь нецелесообразным, банально в силу большой сложности предмета и достаточного учебного материала вне форума. Впрочем, если очень хочется, то можно , но в своей теме.

Так что, Akin444, ничего особо романтичного нет - есть технические задачи, и методы их решения.

[Akin444]

Все верно. Кто б спорил (...эх рОмантика... технических задач и их решений...). Спасибо