Jump to content
Sign in to follow this  
Serega_I

Пропущенный Вирус (шифровальщик)

Recommended Posts

Здравствуйте!

 

Не совсем в тему, но надеюсь мой титул поможет.

Очень старый, но действующий антивирус моего клиента

 

post-892-1437571365_thumb.jpg

 

пропустил "Шифровальщика".

Замануха обычная. Вы должны нам деньги - посмотрите сверку.

Ну, и посмотрели.

За примерно 3 часа "Зловред" перешифровал доступные ему файлы и самоуничтожился. И выставил картинку на рабочем столе.

Общий смысл - Плати, а то всё потеряешь.

 

Обращение на форум для борьбы с "вымогателями" и "шифровальщиками" ни к чему не привело.

Даже разозлили меня до потери вежливости.

 

"Зловреда" я поймал. Сегодня 22.07.15 отправил на newvirus@kaspersky.com. через gmail.com и Yandex.ru. Не пускают. Вирус вы пересылаете. Пришлось вируса шифровать.

Почему 16 июля всё прошло у клиентов, а 22 июля это уже вирус на основной почте?

 

Мне стало интересно. Старый корпоративный антивирус пропустил "зловреда", а что будет с новым?

 

На тестовом компьютере установил текущую коммерческую версию KES 10. Обновил антивирусные базы. И запустил "зловреда".

Ответ меня почти убил. "Возможно вы поражены" 22.07.2015 11:34:18 Обнаружено троянская программа HEUR:Packed.Win32.Black.f K:\Sonata-sverka.zip//Соната. Сверка июнь.scr//0 Высокая

 

Но полный ..... наступил чуть позже.

 

Когда я получил ответ от ЛК.

 

 

 

Здравствуйте,

 

Trojan-Ransom.Win32.Cryakl.vy

 

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

 

Best Regards, Cobber Tuo

Malware Analyst, Kaspersky Lab.

 

 

И что? Левая рука не знает, что делает правая?

 

 

 

А помочь расшифровать? Клиентские файлы?

Edited by Serega_I

Share this post


Link to post

А что вас убило?

22.07.2015 11:34:18 Обнаружено троянская программа HEUR:Packed.Win32.Black.f K:\Sonata-sverka.zip//Соната. Сверка июнь.scr//0 Высокая
Сработал эвристик.

 

А это отработал вирусный аналитик и добавил ваш файл уже с точным диагнозом.

Здравствуйте,

 

Trojan-Ransom.Win32.Cryakl.vy

 

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

А помочь расшифровать? Клиентские файлы?
С этим только в техподдержку из личного ( или как он в корпоративных продуктах правильно называется ) кабинета.

Судя по вашему эксперименту новая версия KES имеет лучшие эвристически алгоритмы, чем старая. В общем то ожидаемо ;)

Edited by Денис-НН

Share this post


Link to post
А что вас убило?

Сработал эвристик.

 

А это отработал вирусный аналитик и добавил ваш файл уже с точным диагнозом.

С этим только в техподдержку из личного ( или как он в корпоративных продуктах правильно называется ) кабинета.

Судя по вашему эксперименту новая версия KES имеет лучшие эвристически алгоритмы, чем старая. В общем то ожидаемо ;)

 

Теперь я почти дома.

Ну, чтож, начинаю 3 заход.

Большие компании не очень охотно переходят на новое ПО.

Во-первых. Это одиночный компьютер легко можно перевести с KAV12 на KAV 14. Переустанови антивирус и ключ продления, который не подходил для KAV12 запустится на KAV14.

Во-вторых. KES 10 значительно тормозит работу Windows XP. На больших предприятиях таких компьютеров ещё очень много. А Антивирус Касперского 6.0 для Windows Workstation, созданный для Windows XP почти не тормозит их работу.

И лицензии подходят и старым и новым антивирусам. На предприятии установлен Антивирус Касперского 6.0 для Windows Workstation.

 

post-892-1437748199_thumb.jpg

 

Вот такой Антивирус 6.0 пропустил шифровальщика. Шифровальщик 3 часа работал. Антивирус молчал. Мне, однозначно, известен 1 случай. Его я и обрабатываю. Со слов клиента есть ещё 4.

В результате перешифрованы все файлы пользователя. И вирус тихо ушёл. Оставил только сообщение: "Плати, а то хуже будет."

 

Действующий на утро 22.07.15 г. KES 10 определил его неправильно. И только после моего обращения на newvirus он уже 2 день детектируется по-другому.

 

Разработчики?

Ловить и учиться расшифровывать будем? Меня очень интересует расшифровывать.

Пока в моём распоряжении 2 вируса. Родственные, но чуток разные.

Очень надеюсь, что мне ещё 2 пришлют.

Edited by Serega_I

Share this post


Link to post

В те далёкие времена, когда я начинал, с Тестерами общались Разработчики.

Edited by Serega_I

Share this post


Link to post

А "Сидящие" на Бэта-форуме просили: " Ты быстрее пришли мне эту гадость. Я тоже проверю."

Share this post


Link to post
Теперь я почти дома.

Ну, чтож, начинаю 3 заход.

Большие компании не очень охотно переходят на новое ПО.

"Охотно" "не охотно"в больших компаниях такого понятия не существует. есть выгодно - невыгодно. Если переход на новую версию ввиду больших трудозатрат признан невыгодным - то сидят на старом ПО. И имеют другие затраты.

 

Вот такой Антивирус 6.0 пропустил шифровальщика. Шифровальщик 3 часа работал. Антивирус молчал.
И что вас удивляет? Старые врсии продуктов не имеют механизма обнаружения шифрования и его предотвращения. Детект возможен только по базам, тоесть всегда будет опаздывать от вирусописателей.

 

Действующий на утро 22.07.15 г. KES 10 определил его неправильно.
Совершенно правильно.
И только после моего обращения на newvirus он уже 2 день детектируется по-другому.
Ему дали персональное имя, а не обще-групповое. Да и какая разница, как KES 10 его определил - он его удалил?

 

 

 

Ловить и учиться расшифровывать будем? Меня очень интересует расшифровывать.
Что вам ответили в компаниакаунте на вашу просьбу о расшифровке?

Пока в моём распоряжении 2 вируса. Родственные, но чуток разные.
Да хоть 10. Нужен не вирус, а ключ расшифровки.

 

А "Сидящие" на Бэта-форуме просили: " Ты быстрее пришли мне эту гадость. Я тоже проверю."
Уголовный кодекс надо чтить.

 

P.S. Посмотрел статус поддержки вашей версии KES - увы, к ней даже базы не выпускаются. Что и было отмечено хелпером.

Edited by Денис-НН

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.