Э, а это таки тикет техподдержки. А их публиковать нельзя.
Ну я сам не могу редактировать письмо. Пусть модератор удалит тогда.
Отправлено 09 Октябрь 2017 - 07:53
Э, а это таки тикет техподдержки. А их публиковать нельзя.
Ну я сам не могу редактировать письмо. Пусть модератор удалит тогда.
Отправлено 09 Октябрь 2017 - 07:53
Номер скрыл - кому надо увидят.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 09 Октябрь 2017 - 16:58
Все отправлено по тикету сразу же как прошла атака. И промежуточные JS скрипты и сам EXEшник енкодера. Через несколько часов все уже было в вирусных базах и он начал детектится.
По теме - как раз сейчас занимаюсь этой больной машиной, вирусописатели обленились в конец, никаких автозапусков и механизмов размножения - тупо пользователь запустил .LNK из архива, создался промежуточный скрипт CMD, тот скачал с удаленного сайта под видом таблицы стилей CSS другой уже JS, тот в свою очередь третий JS и только тот скачал и запустил EXE. Который очень потихоньку в фоне начал шифровать, причем начал с сетевых ресурсов, которые нашел сам - серверные шары не были подключены как буквы дисков. Файлы он читал, создавал другой с другим расширением, оригинальный после этого удалял. Атака шла чуть больше часа, пока пользователь сам не наткнулся на шифрованный файл при работе и не обратился к поддержке. За час успело пошифровать около 50Гб на серверах и 20гб на локальной машине, процессор эта штука грузила на 5-10%. Сетка 100Мбит, так что скорость работы ограничивалась скоростью сети.
Не поверил я в RSA-1024 шифрование заявленное в баннере, явно длина ключа меньше при таких скоростях и решил на всякий случай сохранить шифрованные локальные данные пользователя, может и будет когда декриптор. И тут снова столкнулся с "Процессу запрещена модификация файлов пользователей"
Операции проводил опять с помощью FAR:
1. На HDD диске D из пользовательской папки дало скопировать и удалить все зашифрованные файлы
2. На SSD диске C из профиля пользователя, с рабочего стола DESKTOP, дало скопировать но при попытке удаления снова получил данное окно и фар улетел в карантин как DPH.Encoder.2
Проводник мне в данном случае помочь ничем не смог, так как удалять надо выборочно, по маске. Ушел в командную строку...
Если я всё правильно понимаю, то у вас две проблемы. Одна со SporaV4, который зашифровал файлы, и по нему ответят в саппорте. А вторая с FAR, который ловится как энкодер. По описанию я склонен верить, что было именно перемещение файлов, так как именно в этом случае у меня есть аналогичное воспроизведение. Тут единственный вариант - добавить персональное правило для приложения в Превентивной защите.
Отправлено 10 Октябрь 2017 - 07:38
Если я всё правильно понимаю, то у вас две проблемы. Одна со SporaV4, который зашифровал файлы, и по нему ответят в саппорте. А вторая с FAR, который ловится как энкодер. По описанию я склонен верить, что было именно перемещение файлов, так как именно в этом случае у меня есть аналогичное воспроизведение. Тут единственный вариант - добавить персональное правило для приложения в Превентивной защите.
Да, на самом деле так совпало. Сначала я наводил порядок на одной из машин и получил вот такое поведение при попытке удаления/перемещения файлов из профилей %SYSTEMDRIVE%\USERS\UserName приложением отличным от проводника или штатных консольных приложений - например FAR, TOTAL и т.д.. Причем раньше такого поведения не было, поэтому полез искать и нашел эту тему. В исключения превентивной защиты решил не добавлять - переносить будут только админы, они если что выкрутятся, а сама по себе подобная защита больше полезна чем вредна. ТАк же не стал менять и поведение на "предупреждать".
НО - буквально через день, свеженький енкодер абсолютно левым процессом запущенным из пользовательского темпа, только что созданный по дате и времени, спокойно так поудалял файлы на рабочем столе, в моих документах и т.д. и DrWeb ему слова не сказал. Вот что мне показалось странным и я продолжил эту тему.
Сообщение было изменено Alexander Rudin: 10 Октябрь 2017 - 07:41
Отправлено 10 Октябрь 2017 - 12:21
Сообщение было изменено riaman: 10 Октябрь 2017 - 12:22
0 пользователей, 0 гостей, 0 скрытых