Перейти к содержимому


Фото
- - - - -

файлы получили расширение *.ymytmra и стали зашифрованные


  • Please log in to reply
87 ответов в этой теме

#41 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 21 Январь 2015 - 21:40

Бекап на диск, который постоянно подключен к системе и на который можно свободно что-то записать, мягко говоря, небезопасен. Энкодер ведь может и его зашифровать, если найдет.

У меня бэкап ведётся одной из специализированных прог на соседний диск.
Делается он от системы.
Все, кроме системы, имеют доступ к этому каталогу только на чтение.

Появится шифровальщик с ядерным драйвером - и их час придет :)
 
Хотя пока такое на практике не встречалось.

Вот именно.
Это ж нужно разрабатывать, отлаживать, внедрять... :)
А они IMHO и так сейчас весьма неплохо монетизируют свои услуги.
Так что IMHO шифровальщики с дровами появятся весьма не скоро.
Пока живут на свете... ©

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#42 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 21 Январь 2015 - 21:55

 

 

 

Бекап на диск, который постоянно подключен к системе и на который можно свободно что-то записать, мягко говоря, небезопасен. Энкодер ведь может и его зашифровать, если найдет.

У меня бэкап ведётся одной из специализированных прог на соседний диск.
Делается он от системы.
Все, кроме системы, имеют доступ к этому каталогу только на чтение.

 

Появится шифровальщик с ядерным драйвером - и их час придет :)
 
Хотя пока такое на практике не встречалось.

 

Вот именно.
Это ж нужно разрабатывать, отлаживать, внедрять... :)
А они IMHO и так сейчас весьма неплохо монетизируют свои услуги.
Так что IMHO шифровальщики с дровами появятся весьма не скоро.
Пока живут на свете... ©

Это пока...

 

А разрабатывает, отлаживает и внедряет, как правило, кто-то один, после этого продает сорцы, а там уже модифицируют и пользуются.

 

Я лишь предложил надежную схему от любых шифровальщиков и повреждений данных.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#43 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 21 Январь 2015 - 21:56

В сети у предприятия выделен специальный сервер на Unix (в винде много дырок), который имеет доступ ко всем компьютерам в сети, и всем папкам, которые нужно бекапить. В то же время у других компьютеров в сети нет доступа к этому серверу. Суть в том, что он сам автоматически по расписанию должен выкачивать данные и складывать их у себя. В случае заражения всех компьютеров в сети данные на сервере останутся целыми - энкодер туда ну никак не дотянется.

Какой-то изощренный велосипед :) Есть сервер с шарами. Храним документы там. Кто не хранит - ССЗБ. Эти шары бэкапятся ежесуточно инкрементальным бэкапом (пользуюсь backintime).

Ну так-то это почти тоже самое, что и я предложил, с небольшими вариациями. Смысл один - программа забирает откуда-то файлы и кладет их в недоступное снаружи место.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#44 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 22 Январь 2015 - 07:59


Бекап на диск, который постоянно подключен к системе и на который можно свободно что-то записать, мягко говоря, небезопасен. Энкодер ведь может и его зашифровать, если найдет.

У меня бэкап ведётся одной из специализированных прог на соседний диск.
Делается он от системы.
Все, кроме системы, имеют доступ к этому каталогу только на чтение.
686 работает от системы, через svchost.exe.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#45 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 22 Январь 2015 - 11:17

 

 

Бекап на диск, который постоянно подключен к системе и на который можно свободно что-то записать, мягко говоря, небезопасен. Энкодер ведь может и его зашифровать, если найдет.

У меня бэкап ведётся одной из специализированных прог на соседний диск.
Делается он от системы.
Все, кроме системы, имеют доступ к этому каталогу только на чтение.
686 работает от системы, через svchost.exe.

 

Гм...

Грустно, не думал я, что так скоро... :(


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#46 mike 1

mike 1

    Advanced Member

  • Posters
  • 815 Сообщений:

Отправлено 22 Январь 2015 - 17:09

Любопытно, но злодеям кажется оба сайта заблокировали. 

 

ngO2DVQ.png


Сообщение было изменено mike 1: 22 Январь 2015 - 17:09

Глубина - глубина, я не твой отпусти меня, глубина


#47 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 22 Январь 2015 - 17:12

Глупости какие :-) Это конкретный гейт заблокировал сайт, сам *.onion-сайт вполне может работать и дальше.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#48 mike 1

mike 1

    Advanced Member

  • Posters
  • 815 Сообщений:

Отправлено 22 Январь 2015 - 19:45

Глупости какие :-) Это конкретный гейт заблокировал сайт, сам *.onion-сайт вполне может работать и дальше.

До этого не работал, но один сайт все равно не работает :-) 


Глубина - глубина, я не твой отпусти меня, глубина


#49 Хандро

Хандро

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 23 Январь 2015 - 04:50

наиболее защищённая система в этом смысле у акрониса, он организует хранилище в собственном формате на неразмеченной части диска и складывает бэкапы туда. Оптимальнее всего при установке системы сразу половину харда оставлять неразмеченной, сейчас харды в основном Через виндовские средства туда попасть невозможно.



#50 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 23 Январь 2015 - 12:55

наиболее защищённая система в этом смысле у акрониса, он организует хранилище в собственном формате на неразмеченной части диска и складывает бэкапы туда. Оптимальнее всего при установке системы сразу половину харда оставлять неразмеченной, сейчас харды в основном Через виндовские средства туда попасть невозможно.

Даладна?! physicaldrive0 не поможет? :-)


Личный сайт по Энкодерам - http://vmartyanov.ru/


#51 Хандро

Хандро

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 26 Январь 2015 - 06:24

И что винда по-вашему должна открыть в нераспределённом пространстве диска?



#52 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 26 Январь 2015 - 09:34

И что винда по-вашему должна открыть в нераспределённом пространстве диска?

Ох уж этот маркетинг :)
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#53 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 26 Январь 2015 - 09:41

На дисках скрытые области есть только управляемые прошивкой диска, типа HPA, специфичные для разных типов. Все остальное программная эмуляция.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#54 Хандро

Хандро

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 26 Январь 2015 - 10:42

Ок, я придумал совершенно другой формат файловой системы, видимый только определённой программой, форматнул им раздел, который из-под винды не воспринимается вообще и распознаётся как неразмеченная область, и сложил туда архив. Программа при работе с этим разделом разумеется не монтирует его в винду. Расскажите каким образом шифровальщик сможет достать архив?



#55 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 26 Январь 2015 - 11:07

Зачем его доставать? Видит сигнатуру Акрониса или чего там еще и шифрует заголовок. Все, приехали :-)


Личный сайт по Энкодерам - http://vmartyanov.ru/


#56 Хандро

Хандро

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 26 Январь 2015 - 13:13

То есть вирус не использует файловую систему а сканирует жесткий посекторно с распознаванием сигнатур? *Скептический смайл* Плоховато соотносится с задачей "быстро шифрануть всё ценное".

 

И да, кто сказал что сигнатуры существуют?


Сообщение было изменено Хандро: 26 Январь 2015 - 13:14


#57 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 26 Январь 2015 - 15:03

Эффект не уловимого Джо, пока ваши данные не нужны, будут работать любые кастомные способы. А завтра выйдет криптор всей не размечанной области диска. :)
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#58 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 26 Январь 2015 - 15:07

Хандро, а можно пруфлинк про эту неразмеченную область или цитату из доки?

А то я в Акронисе что-то такого не помню.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#59 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 26 Январь 2015 - 20:39

Хандро, а можно пруфлинк про эту неразмеченную область или цитату из доки?

А то я в Акронисе что-то такого не помню.

 

Я вот тоже пытался вспомнить такое, сам юзаю акронис.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#60 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 26 Январь 2015 - 20:53

Хандро, а можно пруфлинк про эту неразмеченную область или цитату из доки?
А то я в Акронисе что-то такого не помню.

Я вот тоже пытался вспомнить такое, сам юзаю акронис.

Я - тоже.
Там есть FAT32 с парольным доступом...
Может корпоративная версия?

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых