1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
  2. Добро пожаловать в Клуб Информационной Безопасности! Если Вы здесь впервые, то зарегистрируйтесь и прочитайте правила клуба. Если Вы забыли пароль, то перейдите по ссылке, после чего Вы сможете восстановить его через электронную почту. Помните, что некоторые возможности и разделы форума для гостей недоступны, рекомендуется пройти авторизацию.

Шифровальщик AlphaLocker: афера мирового масштаба или как вымогательство стало отдельным бизнесом Наши видео Шифровальщик AlphaLocker: афера мирового масштаба или как вымогательство стало отдельным бизнесом

Тема в разделе "Наши исследования", создана пользователем x-sis, 04.11.2016.

  1. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.059
    Симпатии:
    10.986
    Лучшие ответы:
    23
    Пол:
    Мужской
    Адрес:
    Россия
    Настала пора познакомиться с новым, ещё более опасным и безжалостным представителем семейства троянцев-шифровальщиков - вирусом AlphaLocker'ом, безвозвратно шифрующим все наши данные, превращая их в файлы с расширением *.MATRIX.

    Вы узнаете, до чего дошло зародившиеся ещё в начале 2000-х годов мелкое подвальное мошенничество, основанное на вымогательстве, до каких масштабов разрослась охватившая весь мир эпидемия и как в этом замешаны известные антивирусные компании.



    Всем нашим зрителям желаю приятного просмотра!:tea::popcorm:
     
    777andrey777, kuzyablik, DeeDee и 12 другим нравится это.
  2. s04sb11

    s04sb11 Местный Активный участник

    Регистрация:
    24.07.2016
    Сообщения:
    26
    Симпатии:
    77
    Лучшие ответы:
    0
    Пол:
    Мужской
    Адрес:
    Россия, Сургут
    Конечно большое спасибо за информацию, но в увиденном приятного мало...
     
    777andrey777, VlaDDoS и ANDYBOND нравится это.
  3. Устинов Денис
    Всё ОК!

    Устинов Денис Опытный Команда форума Почетный участник

    Регистрация:
    05.11.2015
    Сообщения:
    50
    Симпатии:
    185
    Лучшие ответы:
    1
    Пол:
    Мужской
    Адрес:
    Россия, г. Москва
    Молодец ! :)
     
    VlaDDoS и ANDYBOND нравится это.
  4. Artem88
    Возбужден

    Artem88 Знаток Старожил

    Регистрация:
    04.10.2016
    Сообщения:
    200
    Симпатии:
    325
    Лучшие ответы:
    0
    Пол:
    Мужской
    Адрес:
    Россия, Краснодар
    Мало приятного конечно, но вирус изощрённый....
     
    ANDYBOND нравится это.
  5. лд
    Всё ОК!

    лд Опытный Старожил

    Регистрация:
    05.10.2016
    Сообщения:
    115
    Симпатии:
    216
    Лучшие ответы:
    0
    Пол:
    Мужской
    Спасибо. Будем предохраняться, а если все таки заразился то сносить систему? Или как.
     
    ANDYBOND нравится это.
  6. ANDYBOND
    В гармонии

    ANDYBOND Совет Клуба Команда форума Администратор

    Регистрация:
    06.03.2014
    Сообщения:
    4.939
    Симпатии:
    8.659
    Лучшие ответы:
    8
    Пол:
    Мужской
    Адрес:
    Україна, Харків.
    Любой шифровальщик более или менее трудно, но вылечить можно, ибо его цель - не ОС, а данные. Но после любого серьёзного заражения переустановка ОС - лучший вариант.
     
    ess437, x-sis и лд нравится это.
  7. лд
    Всё ОК!

    лд Опытный Старожил

    Регистрация:
    05.10.2016
    Сообщения:
    115
    Симпатии:
    216
    Лучшие ответы:
    0
    Пол:
    Мужской
    Спасибо, буду знать.
     
    ANDYBOND нравится это.
  8. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.059
    Симпатии:
    10.986
    Лучшие ответы:
    23
    Пол:
    Мужской
    Адрес:
    Россия
    Здесь лечить нечего: скрипт отработал свой сценарий и завершился, не оставив как таковых следов в системе. Всё отработано чисто и незаметно, вместе с последующей очисткой загруженных компонентов. Современные шифровальщики работают настолько ювелирно и точно, что и лечить ничего не надо, о какой переустановке идёт речь? Тем более, что если верить в светлое будущее и учитывать, пусть и ничтожно малый, но всё же шанс на расшифровку, то вообще ничего не нужно трогать, дабы этот призрачный шанс на восстановление оставался при написании дешифратора.
     
    ess437, HADD-NEELS и ANDYBOND нравится это.
  9. ANDYBOND
    В гармонии

    ANDYBOND Совет Клуба Команда форума Администратор

    Регистрация:
    06.03.2014
    Сообщения:
    4.939
    Симпатии:
    8.659
    Лучшие ответы:
    8
    Пол:
    Мужской
    Адрес:
    Україна, Харків.
    Если система была заражена чем-либо, то она должна считаться скомпрометированной, потому лучше её переустановить. Это общее правило для случая заражения ОС.
    Не нужно трогать зашифрованные файлы. А ОС трогать можно: её состояние на процесс расшифровки не влияет.
     
    HADD-NEELS нравится это.
  10. Artem88
    Возбужден

    Artem88 Знаток Старожил

    Регистрация:
    04.10.2016
    Сообщения:
    200
    Симпатии:
    325
    Лучшие ответы:
    0
    Пол:
    Мужской
    Адрес:
    Россия, Краснодар
    Операционку то можно снести, а что будет с данными на других дисках?
     
    ANDYBOND и лд нравится это.
  11. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.059
    Симпатии:
    10.986
    Лучшие ответы:
    23
    Пол:
    Мужской
    Адрес:
    Россия
    Случай заражения шифровальщиком - отнюдь не общий.

    Ничего не трогать означает, не совершать никаких манипуляций, в том числе и с самой ОС. Под шифровку подпадает огромное количество файлов, в том числе и связанных с системным и прикладным ПО, это во-первых, а во-вторых, пользователь не может физически даже близко представить себе то конечное число файлов, которые подверглись шифровке. Он может знать расположение только меньшей части своих данных, а что зашифровалось всё и в том числе и в дальних папках он понятия не имеет, и физически не сможет абсолютно все зашифрованные файлы переместить куда-то вне системного диска (при переустановке ОС заранее придётся переносить всё), ведь он имеет дело в огромным количеством зашифрованных файлов с причудливыми именами и бог его знает, как тот или иной конкретный файл выглядел до изменения вредоносом.

    Поэтому рекомендацию, дескать, переносите все зашифрованные файлы и сносите к чертям систему, можно было назвать компетентной для случаев заражения шифровальщиком десятилетней давности, когда шифровалась пара-тройка файлов и было достоверно известно, что они из себя представляли до шифровки, то есть было чётко ясно, что вот этот конкретный файл являлся до шифровки чем-то конкретным. Сейчас же оное определить физически невозможно, ровно как отбекапить абсолютно все утраченные данные. К тому же, скомпрометированная система заведомо в процессе последующей работы без сохранения состояния сразу после шифровки может попытаться внести изменения в часть уже зашифрованных файлов, имевших к ней какое-то отношение, с прикладными программами та же история. Недаром дешифроваторы проходят все каталоги, в том числе и системные при расшифровке, потому что шанс на расшифровку наиболее высок, когда речь идёт о прогонке по пострадавшей ОС с сохранённым состоянием сразу после заражения.

    То, что ОС уже инвалид, очевидно и ясно, но если попытаться её переустановить после заражения новейшими шифровальщиками - можете сразу прощаться со своими данными вне зависимости оттого, будет ли впоследствии способ расшифровки или нет.

    Запомните - решить любую задачу прямым путём (как в нашем случае зашифровать) не составит никакой трудности, так как конкретный способ решения чётко определён, а вот обратных решений (процесс расшифровки), то есть возврат к тем исходным данным, которые были до решения, может быть несколько, вплоть до бесконечности. Поэтому, чем больше вы все зашифрованные файлы сваливаете в кучу и работаете на пострадавшей системе, вы каким-либо образом изменяете те или иные данные, тем самым увеличивается то самое число обратных решений, соответственно расшифровка становится невозможной - нельзя выбрать единственный истинный путь назад из бесконечного множества обратных путей.
     
    ess437, s04sb11, лд и 2 другим нравится это.
  12. s04sb11

    s04sb11 Местный Активный участник

    Регистрация:
    24.07.2016
    Сообщения:
    26
    Симпатии:
    77
    Лучшие ответы:
    0
    Пол:
    Мужской
    Адрес:
    Россия, Сургут
    А, скажите, он шифрует файлы и на других HDD или только на системном? Ил, например флешка/переносной HDD в этот момент были подключены, там тоже зашифрует? И ещё Вы сказали что касперский обнаруживает шифровальщика, но пропускает его так как в настройках не установлена нужная опция. Можно поподробней - где что нужно включить что бы он его блокировал?
     
    ANDYBOND нравится это.
  13. ANDYBOND
    В гармонии

    ANDYBOND Совет Клуба Команда форума Администратор

    Регистрация:
    06.03.2014
    Сообщения:
    4.939
    Симпатии:
    8.659
    Лучшие ответы:
    8
    Пол:
    Мужской
    Адрес:
    Україна, Харків.
    По общей теории, нужно включать обнаружение потенциально опасных программ. Но это всё равно не гарантирует обнаружения, ибо если шифровальщика (как то Да Винчи) нет в базах, то обнаружения его КИСом не будет никогда.

    Что Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста даже одним из самых ярых и агрессивных фанатов ЛК, который уже рекомендует всё, что угодно, кроме расчёта на КИС: последний абзац приписан просто, чтоб хозяевам из ЛК угодить, а не потому, что КИС внезапно стал от шифровальщиков спасать.
     
    x-sis и s04sb11 нравится это.
  14. s04sb11

    s04sb11 Местный Активный участник

    Регистрация:
    24.07.2016
    Сообщения:
    26
    Симпатии:
    77
    Лучшие ответы:
    0
    Пол:
    Мужской
    Адрес:
    Россия, Сургут
    Но автор видео, x-sis, говорил что шифровальщик всё же обнаруживается касперским. Хотелось бы посмотреть на эксперимент продемонстрированный выше, но с включённым и правильно настроенным KIS/KTS/KSOS. Понятно что это даже не просьба, а всего лишь хотелка. Автор указанной Вами статьи коссвенно подтвердил мои опасения о том, что данные шифруются не только на системном диске, а это уже значительно хуже...
     
    ANDYBOND нравится это.
  15. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.059
    Симпатии:
    10.986
    Лучшие ответы:
    23
    Пол:
    Мужской
    Адрес:
    Россия
    В самом начале видео я Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста, что шифровка осуществляется на всех логических дисках компьютера жертвы.

    В данном случае детект на этот конкретный вредонос есть, и он эвристический, как у AVG, так и у Лаборатории Касперского. Отдельной внятной сигнатуры по сути нет вообще ни у кого, но, по результатам онлайн-проверки можем сделать предположение, что по крайней мере эвристический анализ в двух упомянутых антивирусах способен спасти систему от шифровки. Но я бы здесь больше надеялся на Firewall, если он конечно есть.

    Однако в общем случае с продуктами Лаборатории Касперского происходит всё так:
     
    s04sb11 и ANDYBOND нравится это.
  16. s04sb11

    s04sb11 Местный Активный участник

    Регистрация:
    24.07.2016
    Сообщения:
    26
    Симпатии:
    77
    Лучшие ответы:
    0
    Пол:
    Мужской
    Адрес:
    Россия, Сургут
    Понятно, спасибо.
     
    ANDYBOND нравится это.
  17. 777andrey777
    Всё ОК!

    777andrey777 Активист Активный участник

    Регистрация:
    23.11.2016
    Сообщения:
    54
    Симпатии:
    72
    Лучшие ответы:
    0
    Пол:
    Мужской
    Адрес:
    Казахстан
    Как страшно жить ....... ох
    --- Сообщения объединены 23.11.2016, первое сообщение опубликовано 23.11.2016 ---
    Предупрежден. немного вооружен так сказать
     
    ANDYBOND нравится это.
  18. Martyn81

    Martyn81 Новичок Пользователь

    Регистрация:
    19.10.2016
    Сообщения:
    1
    Симпатии:
    0
    Лучшие ответы:
    0
    Пол:
    Мужской
    Столько "мыла"! Зачем повторяться?
     
  19. 777andrey777
    Всё ОК!

    777andrey777 Активист Активный участник

    Регистрация:
    23.11.2016
    Сообщения:
    54
    Симпатии:
    72
    Лучшие ответы:
    0
    Пол:
    Мужской
    Адрес:
    Казахстан
    Ну да. а как и чем защититься конкретно... Наверное пока сам антивирус не сделаешь там мозгом не пошевелишь, Шучу конечно... Их так много и никто не хочет сказать или поделиться секретом так и будет один в одном или три в немже
     
    ANDYBOND нравится это.

Поделиться этой страницей

Загрузка...