Jump to content
Sign in to follow this  
anonimcs

NotPetya / SortaPetya / Petna вакцинация

Recommended Posts

В статье https://www.comss.ru/page.php?id=4200 указано что есть вакцинация от нашумевшого вируса, но при попытке выполнить данный скрипт антивирус удаляет файл perfc.dat

post-595900-1498643035.jpg

 

Share this post


Link to post

И в чём вопрос? антивирус обнаруживает подозрительный скрипт, который что то пишет в системный каталог. Очень хорошее поведение антивируса.

Share this post


Link to post
И в чём вопрос? антивирус обнаруживает подозрительный скрипт, который что то пишет в системный каталог. Очень хорошее поведение антивируса.

Вопросов нету.

Просто хотелось услышать мнение по этому поводу знающих людей.

Share this post


Link to post

Так там же написано файл без расширения создать. Если вручную создать файл без расширения, удалит Касперский?

Share this post


Link to post
Так там же написано файл без расширения создать. Если вручную создать файл без расширения, удалит Касперский?

Если вручную то проблем нет.

Share this post


Link to post
Вопросов нету.

Просто хотелось услышать мнение по этому поводу знающих людей.

Использование двух и более защитных решений на одном компьютере всегда чревато проблемами. Если вы доверяете написавшему этот скрипт, то отключите антивирус и запустите скрипт. Затем включите антивирус.

 

Share this post


Link to post
Использование двух и более защитных решений на одном компьютере всегда чревато проблемами. Если вы доверяете написавшему этот скрипт, то отключите антивирус и запустите скрипт. Затем включите антивирус.

Создание файла в папке windows нельзя назвать защитным решением.

А проблема вообще была в другом.

Просто большинство антивирусов на данный момент удаляют неизвестный (пустой) файл с именем perfc.dat если он расположен в папке windows.

Если создать текстовый документ и переименовать его в perfc.dat то ничего не будет, а если переместить его в папку windows то антивирус сразу же найдет угрозу.

Share this post


Link to post
Просто большинство антивирусов на данный момент удаляют неизвестный (пустой) файл с именем perfc.dat если он расположен в папке windows.

Про другие антивирусы не скажу. КИС не удаляет данный файл если он создан доверенной программой. Если он создаётся неизвестным скриптом, то он удаляется.

Share this post


Link to post
Про другие антивирусы не скажу. КИС не удаляет данный файл если он создан доверенной программой. Если он создаётся неизвестным скриптом, то он удаляется.

Дело не в скрипте, а в неизвестном (пустом) файле в папке widnows с названием perfc.dat

Edited by sashathesasha

Share this post


Link to post

Я перед написанием сообщения протестировал данный сценарий на КИС 2018.

Если создавать пустой файл при помощи файлового менеджера, я использовал FAR, то никакой реакции КИС нет. Файл прекрасно создаётся. Также нет никакой реакции, если создать файл в другом месте и скопировать его при помощи доверенного файлового менеджера. Я использовал проводник и опять FAR.

Если запускать рекомендованный скрипт, то срабатывает файловый антивирус и удаляет файл. Единственное что мне непонятно, это срабатывание файлового антивируса. Я ожидал срабатывание мониторинга активности.

Share this post


Link to post
Я перед написанием сообщения протестировал данный сценарий на КИС 2018.

Если создавать пустой файл при помощи файлового менеджера, я использовал FAR, то никакой реакции КИС нет. Файл прекрасно создаётся. Также нет никакой реакции, если создать файл в другом месте и скопировать его при помощи доверенного файлового менеджера. Я использовал проводник и опять FAR.

Если запускать рекомендованный скрипт, то срабатывает файловый антивирус и удаляет файл. Единственное что мне непонятно, это срабатывание файлового антивируса. Я ожидал срабатывание мониторинга активности.

А если вручную потом проверить файл?

Share this post


Link to post
Вот здесь написано про этот файл и как это работает:

https://www.ptsecurity.com/ru-ru/about/news/283092/

 

Если заражение уже произошло, мы не рекомендуем платить деньги злоумышленникам. Почтовый адрес нарушителей wowsmith123456@posteo.net был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен. Для предотвращения распространения шифровальщика в сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от сети зараженные узлы и снять образы скомпрометированных систем. В случае, если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем. Кроме того, данный образ может быть использован для проведения анализа шифровальщика, что поможет исследователям в их работе.

 

Что получается по факту...

1. Почтовый адрес нарушителей - заблокирован.

2. Ключ для расшифрования файлов наверняка не будет получен.

3. Рекомендуется выключить другие компьютеры, которые не были заражены.

Неутешительный прогноз...

В случае, если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем.

 

Вывод: Значит на ценных файлах пользователей,которые подверглись данной атаке Petya можно поставить крест.

Хотя была какая-то возможность...

Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме – некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов.

....но "исследователи" добили такую возможность.

 

P.S. Конечно я не на стороне этих кибер.террористах,но не оставить ни единого шанса для восстановления файлов - это тоже не выход.

Share this post


Link to post
P.S. Конечно я не на стороне этих кибер.террористах,но не оставить ни единого шанса для восстановления файлов - это тоже не выход.

 

Обновление ОС и резервное копирование решает проблему.

:pray:

 

 

Share this post


Link to post

NotPetya даже не пытается генерировать действительный идентификатор заражения

 

Вредоносная программа NotPetya генерирует случайный идентификатор заражения для каждого компьютера. Шифровальщики, которые не работают с центральным сервером управления, как NotPetya, используют уникальный идентификатор заражения для сохранения информации о жертве и соответствующем ключе дешифрования.

Эксперт “Лаборатории Касперского” Антон Иванов сообщает, что поскольку NotPetya генерирует идентификатор случайным образом, то расшифровка заблокированных файлов невозможна:

 

Что это значит? Прежде всего, это очень плохая новость для жертв угрозы. Даже если они заплатят выкуп, восстановить доступ к файлам не удастся. Кроме того, данный факт подкрепляет теорию о том, что главная цель ExPetr была связана не с получением финансовой выгоды, а с нанесением экономического ущерба.

 

Полная статься https://www.comss.ru/page.php?id=4205

Share this post


Link to post
Что это значит? Прежде всего, это очень плохая новость для жертв угрозы. Даже если они заплатят выкуп, восстановить доступ к файлам не удастся. Кроме того, данный факт подкрепляет теорию о том, что главная цель ExPetr была связана не с получением финансовой выгоды, а с нанесением экономического ущерба.

Нанести экономический ущерб Украине? :D

В смысле - процветающая страна, почти догнала Германию по количеству курильщиков, обогнала по количеству бомжей, скоро наверное перегонит по ВВП (как минимум на душу населения), и потому, чтобы не перегнала - вот вам, вирусяка!

Или может дела обстоят немножко не так, и Украина и без данной так сказать "помощи" благополучно провалилась до уровня чуть выше Сомали, но ниже Берега Слоновой кости, а назначение вируса - таки получить бабло с пострадавших?

Edited by Maratka

Share this post


Link to post

так-с, не уходите с дорожки. Начали про вакцинацию и выполнения скрипта, вот и продолжайте. Ато уже про экономический ущерб пошли разговоры и Украину. С этим идите в Беседку, или куда в другое место, если там выгонят.

 

В данном разделе размещаются:

 

- вопросы клиентов "Лаборатории Касперского", использующих продукты компании Антивирус Касперского и Kaspersky Internet Security

есть вопросы по использованию - велком, если просто потрепатся на отвлеченные темы, вокруг и около - закрываем

Share this post


Link to post
Обновление ОС и резервное копирование решает проблему.

:pray:

Это всё понятно,но у половины юзеров такого - нет и потом речь идёт уже о пострадавших и что им делать...забыть о своих ценностях,которые создавались годами.

 

P/S/ У террористов,как и у кибер.террористов - нет лица и неважно какое название у их кибер.оружия.Будь то Петя то Света или Лилу - неважно.Главное какое разрушение наносит этот вид оружия и ущерб.Данные террористы, вымогая и получив несколько десятков тысяч баксов,ущерба нанесли на миллионы,а то и на миллиард баксов - вот что страшно.

Конечно противоядие уже есть и Касперский данную угрозу уже квалифицирует,как

1. Trojan-Ransom.Win32.ExPetr.a

2. HEUR:Trojan-Ransom.Win32.ExPetr.gen

3. UDS:DangerousObject.Multi.Generic (детект компонентом Kaspersky Security Network)

4. PDM:Trojan.Win32.Generic (детект компонентом Мониторинг активности)

5. PDM:Exploit.Win32.Generic (детект компонентом Мониторинг активности)

Источник: https://blog.kaspersky.ru/new-ransomware-epidemics/17855/

 

Но сколько пострадало юзеров в начале атаки этого зловреда и жертвы будут всегда.По данным некоторых специалистов - это только начало,так как корень этого зла - АНБ,которое выпустила Джина(утечки).Об этом говорил давно уже WikiLeaks.В этой масштабной кибератаке были применены разработанные при содействии АНБ США программы под названием EternalBlue.Они позволяют злоумышленникам использовать уязвимости в операционной системе Windows. Эти же средства были применены в недавней хакерской атаке с помощью вируса WannaCry. Он поразил в мае этого года компьютеры в 150 странах.Данные о EternalBlue и других хакерских программах были размещены ранее в этом году на сайте утечек.

Защитить от следующей подобной угрозы из продуктов Касперского домашней линейки,сможет только Kaspersky Total Security.

Share this post


Link to post
Это всё понятно,но у половины юзеров такого - нет

Это чьи проблемы?

корень этого зла - АНБ,которое выпустила Джина(утечки).Об этом говорил давно уже WikiLeaks.В этой масштабной кибератаке были применены разработанные при содействии АНБ США программы под названием EternalBlue.

не надо приписывать злому умыслу, собственную некомпетентность. Я имею в виду не вас а заразившихся, сейчас они будут обвинять весь мир в своих бедах, хотя кроме собственной лени и безграмотности виновных нет.

Они позволяют злоумышленникам использовать уязвимости в операционной системе Windows.
Злоумышленики используют уязвимости без чьего либо позволения.

 

Защитить от следующей подобной угрозы из продуктов Касперского домашней линейки,сможет только Kaspersky Total Security.
Прекрасно справится даже КАВ.

Share this post


Link to post
Это чьи проблемы?

 

не надо приписывать злому умыслу, собственную некомпетентность. Я имею в виду не вас а заразившихся, сейчас они будут обвинять весь мир в своих бедах, хотя кроме собственной лени и безграмотности виновных нет.

Следуя формуле "Проблемы индейцев,шерифа не волнуют",тогда всё просто,как с гуся - вода,но как быть с этими фактами после атаки WannaCry

"Россия пострадала больше всех"

Наибольшее число попыток заражений наблюдается в России, следует из анализа "Лаборатории Касперского".

В России атаке подверглись компьютерные системы министерства внутренних дел, компании "Российские железные дороги", банков и оператора мобильной связи "Мегафон" - второго в стране по доле рынка.Представитель российского МВД сообщила, что в ведомстве было атаковано около 1000 компьютеров с операционной системой Microsoft Windows, но все они изолированы от сетей министерства.

Источник: http://www.bbc.com/russian/features-39928406

Не говоря уже о юзерах преклонного возраста,которые также активно пользуются интернетом.Представь сколько у нас безграмотных и ленивых)

Злоумышленики используют уязвимости без чьего либо позволения.

С позволения Майкрософта,так как крупномасштабные кибер.атаки проводятся именно с помощью Windows,так сказать атака с привилегированными правами.

Прекрасно справится даже КАВ.

С помощью KSN,но сначала там (в базах) должен появится данный зловред.

Объясни на простом примере.К примеру вот началась атака того же Petya / NotPetya / ExPetr в первые минуты,заражены уже сотни компьютеров.

Чем может ответить КАВ?

 

Share this post


Link to post
Чем может ответить КАВ?

Мониторингом активности. Точно также как КТС. Мониторинга активности нет только в КФА.

 

С позволения Майкрософта,так как крупномасштабные кибер.атаки проводятся именно с помощью Windows,так сказать атака с привилегированными правами.
Майкрософт ещё в марте! закрыл уязвимость используемую и ванной и петей. Так что с их стороны никакого "позволения" нет.

"Россия пострадала больше всех"

Наибольшее число попыток заражений наблюдается в России, следует из анализа "Лаборатории Касперского".

В России атаке подверглись компьютерные системы министерства внутренних дел, компании "Российские железные дороги", банков и оператора мобильной связи "Мегафон" - второго в стране по доле рынка.Представитель российского МВД сообщила, что в ведомстве было атаковано около 1000 компьютеров с операционной системой Microsoft Windows, но все они изолированы от сетей министерства.

Это говорит только о том, что у нас никто не занимается компьютерной безопасностью. Интернет в России точно такой же как и во всём мире и windows точно такие же. Никаких объективных причин (география, климат, напряжение в сети, кириллические кодировки) для повышенного уровня заражений нет. Ищите субъективные причины - лень, безграмотность, пофигизм.

 

 

Полностью поддерживаю

Обновление ОС и резервное копирование решает проблему.

:pray:

Share this post


Link to post
Мониторингом активности. Точно также как КТС. Мониторинга активности нет только в КФА.

Не всегда, эксплойт запущенный с привилегированными правами... Если Система под Админом.. Пиши-пропало.

Ищите субъективные причины - лень, безграмотность, пофигизм.

Железная логика. Без комментариев)

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.