Перейти к содержимому


Фото
- - - - -

Странное поведение DrWeb при перемещении файлов.


  • Please log in to reply
24 ответов в этой теме

#21 Alexander Rudin

Alexander Rudin

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 09 Октябрь 2017 - 07:53

Э, а это таки тикет техподдержки. А их публиковать нельзя.

Ну я сам не могу редактировать письмо. Пусть модератор удалит тогда.



#22 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 09 Октябрь 2017 - 07:53

Номер скрыл - кому надо увидят.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#23 Aleksey Tarakhti

Aleksey Tarakhti

    Poster

  • Members
  • 961 Сообщений:

Отправлено 09 Октябрь 2017 - 16:58

Все отправлено по тикету сразу же как прошла атака. И промежуточные JS скрипты и сам EXEшник  енкодера. Через несколько часов все уже было в вирусных базах и он начал детектится. 

По теме - как раз сейчас занимаюсь этой больной машиной, вирусописатели обленились в конец, никаких автозапусков и механизмов размножения - тупо пользователь запустил .LNK из архива, создался промежуточный скрипт CMD, тот скачал с удаленного сайта под видом таблицы стилей CSS другой уже JS, тот в свою очередь третий JS и только тот скачал и запустил EXE. Который очень потихоньку в фоне начал шифровать, причем начал с сетевых ресурсов, которые нашел сам - серверные шары не были подключены как буквы дисков. Файлы он читал, создавал другой с другим расширением, оригинальный после этого удалял. Атака шла чуть больше часа, пока пользователь сам не наткнулся на шифрованный файл при работе и не обратился к поддержке. За час успело пошифровать около 50Гб на серверах и 20гб на локальной машине, процессор эта штука грузила на 5-10%. Сетка 100Мбит, так что скорость работы ограничивалась скоростью сети. 

 

Не поверил я в RSA-1024 шифрование заявленное в баннере, явно длина ключа меньше при таких скоростях и решил на всякий случай сохранить шифрованные локальные данные пользователя, может и будет когда декриптор. И тут снова столкнулся с "Процессу запрещена модификация файлов пользователей"

 

Операции проводил опять с помощью FAR:

1. На HDD диске D из пользовательской папки дало скопировать и удалить все зашифрованные файлы

2. На SSD диске C из профиля пользователя, с рабочего стола DESKTOP, дало скопировать но при попытке удаления снова получил данное окно и фар улетел в карантин как DPH.Encoder.2

 

Проводник мне в данном случае помочь ничем не смог, так как удалять надо выборочно, по маске. Ушел в командную строку...

 

Если я всё правильно понимаю, то у вас две проблемы. Одна со SporaV4, который зашифровал файлы, и по нему ответят в саппорте. А вторая с FAR, который ловится как энкодер. По описанию я склонен верить, что было именно перемещение файлов, так как именно в этом случае у меня есть аналогичное воспроизведение. Тут единственный вариант - добавить персональное правило для приложения в Превентивной защите.



#24 Alexander Rudin

Alexander Rudin

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 10 Октябрь 2017 - 07:38

Если я всё правильно понимаю, то у вас две проблемы. Одна со SporaV4, который зашифровал файлы, и по нему ответят в саппорте. А вторая с FAR, который ловится как энкодер. По описанию я склонен верить, что было именно перемещение файлов, так как именно в этом случае у меня есть аналогичное воспроизведение. Тут единственный вариант - добавить персональное правило для приложения в Превентивной защите.

 

 

Да, на самом деле так совпало. Сначала я наводил порядок на одной из машин и получил вот такое поведение при попытке удаления/перемещения файлов из профилей %SYSTEMDRIVE%\USERS\UserName приложением отличным от проводника или штатных консольных приложений - например FAR, TOTAL и т.д.. Причем раньше такого поведения не было, поэтому полез искать и нашел эту тему. В исключения превентивной защиты решил не добавлять - переносить будут только админы, они если что выкрутятся, а сама по себе подобная защита больше полезна чем вредна. ТАк же не стал менять и поведение на "предупреждать".

 

НО - буквально через день, свеженький енкодер абсолютно левым процессом запущенным из пользовательского темпа, только что созданный по дате и времени, спокойно так поудалял файлы на рабочем столе, в моих документах и т.д. и DrWeb ему слова не сказал. Вот что мне показалось странным и я продолжил эту тему.


Сообщение было изменено Alexander Rudin: 10 Октябрь 2017 - 07:41


#25 riaman

riaman

    Member

  • Posters
  • 206 Сообщений:

Отправлено 10 Октябрь 2017 - 12:21

Ну вирусы же предварительно тестируют (чтоб не было детекта), в отличии от... В общем, ничего странного в описанной ситуации не вижу.)))

А если серьезно, то неоднократно писали здесь и на других форумах, что шифровальщики в основном обнаруживаются постфактум (то есть, когда уже он стал известен вирлабу). И я вот даже здесь описал опыт создания своего шифровальщика https://forum.drweb.com/index.php?showtopic=327918&view=&hl=&fromsearch=1

Сообщение было изменено riaman: 10 Октябрь 2017 - 12:22



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых