вирусы-шифровальщики.
 

Вопрос чисто теоретического-практического плана. Что об этих вирусах известно и как они лечатся?

Так же как и все прочие - выносом их с компьютера вперед ногами.
А вот последствия их деятельности (зашифрованные файлы) практически не лечатся. Хорошо если вирус писал школьник-недоучка и алгоритм шифровки прост, как две копейки, либо добрый робингуд выложил в сеть лекарство-расшифровщик. Но бывают и патовые ситуации. Взять в пример WinRAR, со своим алгоритмом шифрования. По сути то же самое. Ставишь пароль на архив и без этого пароля никто не сможет вынуть из него файлы, даже создатель программы, о чём сам и предупреждает в справке. Только тяжелым и трудным перебором всех комбинаций. А это по времени стремится в бесконечность.

Leha Ares, так , а как они лечаться, стандартно как порнобанер или есть отдельные способы?

и какие на данный момент есть дешифровальщики.

Последствия лечатся дешифратором.
Для каждого вируса свой, но не стоит забывать что далеко не для каждого есть дешифратор.

Судя по нику вам уже приходилось ими пользоваться :laugh:

Rezor666, а сам троян как удалить?))
Р-студио дешифратор?))) я думал просто восстановитель данных. Я так понял, что зашифрованные файлы имеют расширение ebf.

так, где почитать о том какие дешифраторы к каким вирусам подходят.

И оный сорт гАвна шифрует файлы только на диске С или на всех сразу?))

Антивирусом.
Нет но по моим соображениям вы несли винду с файлами а потом нашли дешифратор и начали восстанавливать файлы :)
Хотя может и не прав :) Но все равно смешно когда человек с таким ником задает такие вопросы :)

Ну например вот о Xorist
А полных списков нету.

Зависит от вируса.

Конкретных инструкций нет. Каждый вирус в чём-то уникален и требует уникального подхода, это касается их всех, не только шифровальщиков. Уникальны они по той простой причине, что создаются разными людьми, которые по определению не могут творить одинаково. Иначе антивирусы уже давно остались бы без работы, но нет же, им базы каждый день обновлять надо, иначе не узнают новую разновидность заразы.

Не факт. Расширение само по себе ничего не значит, простой набор букв, можно изменить прямо в Проводнике с клавиатуры.

Как вирусописатель захочет, так и сделает, неужели не очевидно?

Нигде. И зачем о них всех что-то читать? Какой смысл?

Эт не реклама, просто пример сервиса, который оказывает компания Др.Вэб. Весьма похвально с их стороны, хотя и не понимаю, за чёй счет банкет и зачем им нужна благотворительность. Антивирус их тоже не жалую.

Да ладно, половина из них чуть-чуть поправлена каким то гавнокодером и вот уже новый вирус.

Помойму это сейчас все оказывают.
Каперский аж с 2008 года это делает.

Что известно:
- им уже много лет. Несколько лет подряд я наблюдаю на форумах ежедневные вопли "помогите, зашифрованы документы и базы 1С!";
- внятную защиту от них обеспечивает только software restriction policies, именно шифровальщики блестяще доказывают БЕСПОЛЕЗНОСТЬ антивирусных программ;
- поражённая машина находится под полным контролем автора вируса. Он может сделать ВСЁ, в том числе обыскать все локальные диски, съёмные носители и сетевые соединения; некоторые глупые люди думают, что файлы на файл-сервере находятся в безопасности, и что ограничивать доступ к документам в сети не следует, "мы все друг другу доверяем". Вирус доказывает иное;
- вина администратора в заражении шифровальщиком и/или потере данных всегда безусловна и безоговорочна, однако, многие этого понять не в состоянии. Они обвиняют плохой антивирус, пользователя или браузер; крайне редко кто делает правильные выводы после происшествия;


Как лечится:
- данные восстанвливаются из резервных копий. И на Windows Server, и на Windows Professional настроить ежечасные shadow copies (копия прозрачно делается раз в час!) не составляет ни малейшей проблемы, это можно и нужно заранее сделать не только из-за шифровальщиков. Бэкап является единственным гарантированным источником чистых данных, всё остальное (зашифрованное) может либо никогда не быть расшифровано, либо необратимо повреждено, либо скомпрометировано иным способом, в том числе неоднократно повторно. В целом, все люди делятся на две категории — те, кто ЕЩЁ НЕ делает бэкап и те, кто УЖЕ делает бэкап. Выбирайте, какая категория вам ближе.
- скомпрометированная система уничтожается и переустанавливается с нуля. Вы уже не можете знать, что живёт внутри компьютера, куда проник хакер;
- администратор наказывается в рамках политики организации. Это стопроцентно его вина;
- политика управления компьютером меняется на внятную, правильную.

Цитата:

Цитата WindowsNT именно шифровальщики блестяще доказывают БЕСПОЛЕЗНОСТЬ антивирусных программ; »

в таком случае, Linux блестяще доказывает УЯЗВИМОСТЬ ОС Windows...

WindowsNT, просьба: вы когда пишите про SRP дописываете, пожалуйста, данная защита присутствует в версиях с Про. Так же и про вину администратора в домашних условиях.
Всё таки нужно разделять домашний и корпоративный сектор.
Спасибо.

есть ссылка на документацию по настройке VSS каждый час для клиентской ОС ?
увы, после того, как я однажды не смог восстановить из бекапа акрониса фотографии (лет 5 назад), лично я добавил третью категорию: те, кто делают два бекапа.
Да, паранойя, но обоснованная.

Dear exo,

В вопросе сектор не обозначен, поэтому не вижу препятствий для. С другой стороны, иметь даже дома Home-версию считаю неправильным, небезопасным.
Инструкция есть, уже показывал сайт.
Бэкапы нужно чередовать и _проверять_.

а можно ещё раз повторить. Припоминается только ссылка на SPR, а нов на VSS не припомню. Спасибо.
и тем не менее, именно эта ОС идёт в основном как ОЕМ. Видимо Майкрасофт считает, что она достаточно безопасна для пользователей.
ну я тогда как-то доверился акронису и не проверил. там то ли бекап кривой создался то ли ещё что.
Часть фоток вытащил с диска потом с помощью Ontrack Recovery

Тогда уж сюда надо добавить неправильным использование только одного HDD, а вдруг он навернется так, что и вирусы лучше не справятся?
А также вообще считаю неправильным считать по-умолчанию и безоговорочно неправильным применение дома Home версии. Надо всё-таки понимать, что мы хотим защитить и как мы хотим это защитить, т.е. принять во внимание ценность защищаемой системы и информации на ней. Есть такая поговорка в тему: иногда просто овчинка выделки не стоит.

Нет, тоже самое и на Linux можно.

Тоже нет, она идет только на бюджетных устройствах.

Первая же страница в гугле по "shadow copies windows 7": http://blog.windowsnt.lv/2011/12/14/...dows7-russian/

Заодно ещё и "статистика продаж windows 7" поискал. Ничего толкового, но вот хотя бы такой пример: http://www.f1cd.ru/news/soft/456/
"Windows 7 Home Basic приходится 3 % оформленных заказов, Windows 7 Home Premium – 34 %"
"Windows 7 Professional – 47 %. Версию Windows 7 Ultimate выбирают 16 % клиентов". То есть, SRP можно настроить на более 50% продаваемых машин "из коробки". И не забываем о некоем проценте апгрейдов, которые тоже имеют место быть. Get real. Поиск оправданий нежеланию некоторых ударить палец о палец просто не нужен.

Тоже просьба, вы когда про Linux говорите указывайте версию.

Get Facts: Да, бэкапы следует делать на отдельный носитель. И у многих такой диск есть. И многие это делают.

XXI век, онлайн-транзакции в каждом доме.

Линукс не мой мейн профиль. Если есть разница в безопасности и уязвимости дистрибутивов - с удовольствием послушаю вас.

собственно там и написано:
+
т.е. очень сильно отличается от сервера, и настроить резервную копию каждый час? Точку восстановления?
для домашнего пользователя это не есть гуд. производительно может заметно упасть во время резервной копии.

Возможно, тенденция на облачные хранилища имеет свой плюс в этом плане. Возможно...

Я поясню, почему я беру упор на домашних пользователей и не рассматриваю корпоративный сектор.
Считаю, что домашние компьютеры имеют больше возможностей для заражения, т.к. в компания работают квалифицированные (должны быть квалифицированными) сотрудники IT, отдела безопасности.
Компании вкладывают деньги в ПО, в обучения сотрудников IT. Сколько домашний пользователей готовы потратить деньги на подобное обучение?
Далее. Я думаю, что вы согласитесь что домашние роутеры не так безопасны, как например, межсетевые экраны Cisco. Сколько домашних пользователей готовы заплатить за такое оборудование?
Я считаю, что корпоративные сектор лучше защищён по умолчанию. Если нет - то эта компания на уровне домашних компьютеров.

п.с.: мы снова отходим от темы.

Да ну? Может быть какая-то статистика есть? Или данные соц. опросов? В моем доме транзакций нет. Это значит уже не в "каждом" доме, => утверждение ложно, так?

Вроде только не давно приводил список CVE?
Тоже не нашел, только ежедневно.
Правда можно сделать 24 задания :)
Вообще использую для документов Cobian Backup ну а для OS уже утилиту Microsoft на раз в день.

Частный дом?
Но согласен, на моей даче тоже нету транзакций :(

вроде только для андройда. для других линуксов приводил GidraWolf.
в сервере гораздо всё проще. могли бы добавить VSS хотя бы в редакцию Энтерпрайз (

Цитата exo:
есть ссылка на документацию по настройке VSS каждый час для клиентской ОС ? »

Цитата WindowsNT:
Первая же страница в гугле по "shadow copies windows 7": http://blog.windowsnt.lv/2011/12/14/...dows7-russian/ »

Цитата exo:
собственно там и написано: »



Я вам инструкцию дал, как настроить на ежечасное копирование. Покаяться в нежелании хотя бы бегло прочитать и последующем разведении ненужного количество постов не желаете?

WindowsNT, я просто придираюсь к словам. вы писали:
хотя, в случае сервера VSS верное, а в случае клиента VSS - это второстепенный эффект от создания точки восстановления.
Checkpoint-Computer делает точку восстановления, т.е. больше чем мне нужно.

ок. давайте так. я не буду разводить не нужных постов, а вы не будите писать информацию, не относящуюся к теме?
я имею ввиду, что вопрос был про программы шифрования и дешифрацию файлов, про MSE - при чём тут SPR, VSS и другое?
Поздно пить боржоми, когда почки отказали.

если у кого ещё есть что написать про вирусы-шифраторы - с удовольствием почитаю. В противном случае - прошу модераторов перевести тему во флейм.

у него есть права на это.
r-studio, кстати, вам обязательно для прочтения.

Если пользователь хочет запустить файл, он просто поместит файл в папку, для которой нет ограничения SRP.
Пользователь просто нажмёт ПКМ и запустит от имени администратора, когда увидит UAC.

Нет, квартира, интернет есть, это ладно, я просто говорю - сам, сознательно не пользуюсь онлайн платежами и т.д. всем что связано с деньгами. Деньги и интернет пересекаются лишь один раз в месяц, когда одно идет в оплату другого и точка.
Но даже если говорить просто об Интернете как таковом. В каждом ли селе он есть? Каждый ли человек хорошего возраста умеет им пользоваться настолько продвинуто? У каждого ли есть кредитки? Так что здесь у товарища прокол. Не надо говорить за себя как за всех.

Цитата:

Цитата exo у него есть права на это. »

туплю :)
Сейчас Вам расскажут про то что нефиг всякое качать, особенно то что не имеет цифровой подписи :)

c этим я сам согласен буду.
Ну а подписи - был случай, когда Microsoft отзывала какие-то сертификаты, так как ими был подписан какой-то вирус.

Не только у Microsoft такое было.
Не давно mail.ru за это осуждали.

Кстати вот сейчас курил и размышлял, мы вот говорим что делать обычным пользователям а в это время школьники активно использую arp-spoofing и другие вредоносные программы.
Уровень детский но многих администраторов ставить в тупик...
Это я так, мысли в слух...

А я пользуюсь, и что?
И многие пользуются.
Не меряйте всех по себе.

Вот и пользуйся.

Не я начал мерять всех по себе и с важным видом призывать городить дорогую нафигненужную защиту на каждом домашнем компьютере.

Чеаэк задал вопрос, что известно — я рассказал, что мне известно.
Указал два перспективных направления деятельности по защите:
- предотвращение запуска левых программ;
- резервное копирование важных данных.
Это решение надёжное и системное.

Каким образом вы достигнете цели, дело ваше. Не нравится "дорогая" SRP — ищите более эффективное и простое в настройке средство. Берите касперского, у него есть "белые списки". Не нравится Checkpoint-Computer — копируйте хоть руками. Или не копируйте вообще, вместо этого можете сидеть и мне противоречить. Живёте на селе без Интернета — не ходите по форумам, не читайте статьи. Не совершаете платежи онлайн — значит, ничего защищать не нужно. Потом не ходите по форумам в поисках дешифраторов, ничего же ценного у вас нет, это очевидно. Сначала говорите, что домашние пользователи находятся в группе риска, затем аргументируйте, что защита не нужна. Назло бабушке отморозьте уши.

Главное, чтобы вы здорОвы были.

Leha Ares, Кстати вот тут можно почитать о платежах.

Нет, уважаемый WindowsNT, вы не просто рассказали то, что вам известно. Вы открытым текстом выразили своё "фи" в сторону Home-систем. Вы совершенно однозначно высказались, что оказывается "неправильно" иметь дома такую систему, неправильно и точка, всегда неправильно и в любом случае неправильно, никаких оправдавданий не принимается. Так или нет?

Про защиту в исходном вопросе ни слова не было, кстати. Информация требовалась + способы лечения.

Шило на мыло.

Спасибо, гуглем пользоваться умею. Надо будет, прочитаю, сейчас не надо совершенно.

Предложите лучше и начнем сначала :)
А раз умеете то что говорите
Или может Вам скучно и одиноко и поговорить не с кем?

Я только и слышу от Вас что WindowsNT не прав, а сами когда речь заходит про способы безопасности начинаете бред нести, как в общем и большинство.

не-не... я всего лишь придираюсь к словам. вы поставили в один ряд VSS сервера и клиента, которая не управляется отдельно без Checkpoint-Computer, в отличие от сервера.
это говорят разные люди )
Защита одно - лечение совсем другое. Но ваше желание обучать пользователей - похвально.
спасибо. и вам того же )

он, WindowsNT, прав. Но его ответ (-ы) примерно таковы:
- Как сделать салат из огурцов и помидоров?
- Нужно их нарезать и перемешать. А если ещё добавить туда вместо подсолнечного масла оливковое, да добавить нарезанные листы салата (типа капусты) и немного сладкого перца - то будет ещё вкуснее и полезнее.

И, если честно, это бросается в глаза... :wizard:

Возьмите и предложите. На данный момент поступившее предложение сэкономить 2000-3000р на SRP и вбухать во много раз больше в ежегодные платежи за ключ от Касперского - это глупость, и спорить с этим ещё глупее. Трижды глупо продолжать настаивать на необходимости нести эти затраты там, где они бывают кому-то просто не нужны. И предлагать тут особо нечего. Лицензия ОС + MSE + brain.dll, сам пользуюсь и рекомендую.

Я говорил с сарказмом, намекая что никто и нигде не сможет найти статистику, из которой бы выходило что 100% людей пользуются онлайн платежами. Именно на этом ложном утверждении WindowsNT выстроил необходимось городить защиту корпоративного уровня на всех без исключения ПК, находящихся в домашнем пользовании. Выделенные слова и вызывают моё несогласие.

Цитата:

Цитата Rezor666 Или может Вам скучно и одиноко и поговорить не с кем? »

Как и вам. Флудом нечего заниматься, мои потребности никого не касаются.

Это ложь. Я неоднократно выражал благодарность ему за помощь с SRP и согласен с использованием этой защиты, но только там, где необходимость этого доказана и обоснована, либо делается просто для собственного энтузиазма.

А это уже оскорбительно. Можно ссылочку, где это я доказанно и неопровержимо бред несу по способам безопасности? Может действительно проглядел чего. Просто так голословно можно многое утверждать, только "имхо" не забывать дописывать.

где-то так же + ещё одно легкое приложение. Но я знаю, что скажет WindowsNT, и тоже будет прав. Это нам везло, кому-то этого мало.

всё просто :).
Помощь оказывается только тем у кого есть лицензия на их продукт.

Неправда. У них на странице написано:

Стало быть запросы всех остальных пользователей неDr.Web обрабатываются не в первую очередь, но обрабатываются.

ну как же, им столько вирусов и файлов присылают, а они их исследуют. потом выпускают решение в свой продукт или ещё как используют. Вообщем, набирают опыт, так сказать.

Да, это мое ИМХО, так что можете не соглашаться.
Почему бред? А потому что вы нечего не знаете не об уязвимостях, не как их детектить, не как от них защищаться.
Но все поголовно знают слово вирус и антивирус...
И то что вы используете так же не является нормальной защитой.

я имел ввиду помощь по дешифрации файлов оказывается только пользователям их продукта, а не вообще анализ вирусных файлов. В последнем случае понятно - потом сигнатура идёт в их базу.

ЗЫ. сразу оговорюсь, что раньше оказывалась всем, но последние несколько недель только при наличие лицензии. Пруф сейчас найти не смог, но там было написано, что ввиду большого кол-ва тем с шифровальщиками и большого кол-ва времени нужного на дешифровку, с сегодняшнего дня помощь в расшифровке файлов оказывается только пользователям доктора веб (написал примерно - по памяти).

PPS. нашёл всё-таки пруф
https://support.drweb.com/new/free_u...=&for_decode=1

http://news.drweb.com/show/?i=3628&lng=ru&c=14

и вот ещё обсуждение http://forum.drweb.com/index.php?showtopic=314432

regist, Зажрались они :)

И что же я, по-вашему, использую?

Так. А теперь прошу обосновать, почему эта защита не является нормальной? Причём не в общем сферическом случае в вакууме, а именно для домашнего компьютера, не имеющего никакой маломальски ценной информации на борту, с достаточно опытным пользлователем за пультом, при отсутствии вирусных заражений с 2003 года?

Leha Ares, Rezor666, не желайте создать отдельную тему?

А смысл? Может мне Вас еще учить начать?
Только прежде чем вступать в дискуссию прошу посмотреть различные CVE и подумать о том сколько дырок закрыто в вашей ОС и ее приложениях.
И с чего вы взяли что у каждого так?
Ведь Вы именно посоветовали всем свою защиту а значит подразумеваться что она подойдет и для компьютера с важной информацией, иначе поправьте свое сообщения.
Докажите что это правда, а там продолжим разговор. :)
exo, Да я как то не стремлюсь продолжать это обсуждать, у каждого свое мнения и своя правда.
Год назад я был такого же мнения как Leha Ares, но мне показали что я был не прав...

я имел ввиду не тему о шифровальщиках. вы уже вытесняете личные предпочтения.

Я о своих не говорил, а зачем тут некоторые всем советовать что-то начинают я и сам не сильно понимаю.

Цитата:

Цитата Leha Ares То есть смысла обосновывать свои утверждения нет? »

Обосновывать то что говорилось +100 раз я не вижу смысла.
Если Вы считаете что ваша защита спасет от эксплойта который потом засядет в памяти то я Вам желаю удачи :)

И я не понимаю. Самое главное, ВСЕ что-то советуют и ВСЕ не понимают, зачем другие советуют что-то, непохожее на их собственные советы :lol:

Можно ссылочку где я кому-то советую в данной теме?

Пропустил одну реплику.

Не собираюсь ничего поправлять по двум причинам:
1) Не я начал толкать свою "правильную" точку зрения, не учитывая важность защищаемых данных, область применения защищаемого компа и т.д., попутно тыча оппонентов в абсолютную неправильность всех прочих видов защиты и как следствие низкую компетенцию тех, кто эту защиту использует.
2) Необходимость учитывать важность информации я указывал в течение всей темы, в частности посты #31# 34, #37 (может быть не открытым текстом, но косвенно: "...глупо продолжать настаивать на необходимости нести эти затраты там, где они бывают кому-то просто не нужны").

Хитро выкрутился. Прямо может быть ничего и не советовал, но поливание помоями чужого мнения - тоже в какой-то степени является советами и проталкиванием "своей" точки зрения.

Мда, за одну неделю уже 2 темы улетело в ХВЗ )))
Хотя справедливости ради стоит отметить что у них много просмотров :)

Leha Ares, Вам надо меньше остро реагировать на высказывание WindowsNT, автор я думаю не глупый и сам разберется с "советами".
А Вы даете заведомо недействующие способы информационной безопасности и при этом не желаете читать.
И кстати тем кому эти "затраты" не нужны решат это и без Вас.

И конечно легче сказать "хитро выкрутился" чем признать свою неправоту. Я вот признаю что в посте #35 я слишком категорично выразился и в этом плане я был не прав.

если у вас не действуют, это не значит, что у других тоже не действую ;)
А совет моск.длл самый действенный.

Он действенный лишь в том случае если в нем есть необходимая информация, но она есть далеко не у всех.
Это как? Вирусы на другие компьютеры как то по другому реагируют или может видят что это компьютер уважаемого exo и самоликвидируются?

она есть, если данную библиотеку обновлять периодически, то вся нужная информация там есть.
Кто-то обновляет вручную (на своём опыте), а кто-то через пачти и сервис-паки (на чужом опыте).
это значит, что вам МСЕ не помогает, а мне и Leha Ares помогает.
хм... это будет громко сказано, но они даже не видят мой компьютер. Опять же - моск.длл

Давайте сойдемся на том, что никому здесь не нужны адвокаты, и WindowsNT действительно сам разберется с моими высказываниями, ежели сочтет нужным.

Равно как и прочие способы действенны лишь при наличии денег в кошельке, а они тоже есть не у всех. Наличие или отсутствие чего-либо у отдельного человека - это проблема человека, а не защиты.

деньги как раз тут не причём: купив Windows и не уметь ей пользоваться есть вторая уязвимость.

Надо ли напомнить, сколько стоит windows home без SRP и Windows 7 Pro с SRP? Или даже Ultimate? Разница ощутима. Я себе домой такое не позволю взять, нерационально. А если ещё сверху платного Касперского нахлобучить, как тут советовали? Правильно, MSE же не кошерен, нам надо солидного монстра. И циску ещё прилепить профессионального уровня. Пригласить мастера всё это настроить. А если приглашать регулярно? И т.д. Как говорится, к идеалу можно стремиться бесконечно, были бы средства. А всё для чего? Чтобы защитить свои закладки в браузере (утрируя).

пару тысяч? есть бесплатная Убунта.
мне досталась бесплатно по акции от учебного центра )

Давайте сойдемся на том что холивар начинается сразу после сообщения WindowsNT

Тысяча больше или меньше, велика разница ) К тому же oem дешевые, но у нас и без того больше 50% процентов людей используют не лицензионное ПО.

кстати, тот же WindowsNT приводил ссылки по объёму продаже Хоум и Про...

Rezor666, не надо из WindowsNT делать крайнего. Но холивар конечно присутствует.

Да я не делаю, просто в каждой теме про безопасность так происходит.

К теме, с пикабу )))