Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Прочее";
Текущий архив: 2013.03.22;
Скачать: [xml.tar.bz2];

Вниз

Винлокер   Найти похожие ветки 

 
Rouse_ ©   (2012-11-05 00:34) [0]

Только что снимал очередной винлокер у соседа.
Свежак, антивири не палят.
Прогнал под отладчиком, детская схема - вешаемся шелом + при каждом запуске рандомный ключ на HCU авторан.
Товарищи авторы, вы "долбоящеры", кто вас вообще учил прятанью тела заразы в BASE64 блок без простейшего крипта?


 
Rouse_ ©   (2012-11-05 00:36) [1]

Выбешивает эта молодеж ес честно, писано на семерке было, без упаковщика...


 
RWolf ©   (2012-11-05 00:44) [2]

а зачем? шифруй не шифруй, всё равно вскорости попадёт в антивирусные базы :/


 
Rouse_ ©   (2012-11-05 00:52) [3]

Не факт.
Запасся свежаком думал иду на штурм бутлодера.
Оказалось все по глупому. Снялся на коленке.
Но ни AVZ ни каспер ни дрвеб текущие не опознали по сигнатурной базе.
Уже отправил, конечно на добавление, но все равно.
Студентам походу денег не хватает, раз такое шлепают...


 
kilkennycat ©   (2012-11-05 01:15) [4]

Я тож недавно снимал такую хрень. Пьянствовал слегка с друзьями, и вдруг выяснилось, что комп больной. глянул, а там вин7, ну и просто запустил восстановление загрузочных. и нету больше винлокера... даж скучно стало, думал, ща придется лазить фиг знает где и как...


 
Германн ©   (2012-11-05 01:28) [5]


> Но ни AVZ ни каспер ни дрвеб текущие не опознали по сигнатурной
> базе.

Меня давно уже смущает, что ДрВеб не только не ловит такое заражение, но и не может найти такую заразу никакими своими утилитами (весьма мощными) как например CureIt. А "базу" ведёт по номерам телефонов/кошельков и по скриншотам. https://www.drweb.com/xperf/unlocker/


 
antonn ©   (2012-11-05 01:32) [6]


> Товарищи авторы, вы "долбоящеры", кто вас вообще учил прятанью
> тела заразы в BASE64 блок без простейшего крипта?

а смысл, если проактивная защита (при установленном антивирусе) просигнализиует о поползновениях в реестр?


> Меня давно уже смущает, что ДрВеб не только не ловит такое
> заражение, но и не может найти такую заразу никакими своими
> утилитами (весьма мощными) как например CureIt.

а это не зараза, это обычная программа, может даже по виду калькулятор, пойди пойми что она умеет


 
Inovet ©   (2012-11-05 01:36) [7]

У соседа был установлен антивирус, какой?


 
Очень злой   (2012-11-05 01:40) [8]

Когда-то тоже пару раз ловил винлокеров...

Большая часть советов по его устранению найденные в инете, а также на сайтах антивирусов, в т.ч и ДрВеб, т.е. что-то типа:

> А "базу" ведёт по номерам телефонов/кошельков и по скриншотам.
>  https://www.drweb.com/xperf/unlocker/


просто убили меня... :)

В конце концов зашел с другой машины в локалке в свой реестр, исправил то что винлокер там нагадил, и тупо перегрузил комп. и все...
Хотя то давно было.... хз. может уже винлокеры поумнели, не знаю, Слава Богу в последнее время мне не попадались


 
Германн ©   (2012-11-05 02:07) [9]

Удалено модератором


 
Pavia ©   (2012-11-05 02:11) [10]

А смысл студентам напрягаться если антивирус не ловит их вирусы?
И вообще антивирусы задрали. Вирусы не фига не видят.
В этом году винлокер снимал раз 5.  И ещё штуки 3 вируса которые по флешкам скачат никак не выведу.


 
Плохиш ©   (2012-11-05 02:13) [11]

Запуск в защищëнном режиме и проверка в msconfig, ктой-то там у нас новый появился. Или мне только примитивные винлокеры попадались?


 
Германн ©   (2012-11-05 02:13) [12]


> Очень злой   (05.11.12 01:40) [8]
>
> Когда-то тоже пару раз ловил винлокеров...
>
> Большая часть советов по его устранению найденные в инете,
>  а также на сайтах антивирусов, в т.ч и ДрВеб, т.е. что-
> то типа:
>
> > А "базу" ведёт по номерам телефонов/кошельков и по скриншотам.
>
> >  https://www.drweb.com/xperf/unlocker/
>
>
> просто убили меня... :)
>
>

Пардон, чем убил?


 
Германн ©   (2012-11-05 02:22) [13]


> Плохиш ©   (05.11.12 02:13) [11]
>
> Запуск в защищëнном режиме и проверка в msconfig, ктой-то
> там у нас новый появился.

Проверка покажет, что этот "новый" ты сам установил. Если вспомнишь, конечно.


 
Плохиш ©   (2012-11-05 02:38) [14]

Мне всë попадаются всякие jhgfdecgyhgf.exe
Я столько не выпью, что бы такое установить :-)


 
Германн ©   (2012-11-05 02:57) [15]


> Плохиш ©   (05.11.12 02:38) [14]
>
> Мне всë попадаются всякие jhgfdecgyhgf.exe
> Я столько не выпью, что бы такое установить

Ну ясен пень. Ты, как и большинство из нас, не станешь "устанавливать" что-то в чём ты не уверен. И не важно как выполняемый файл установщика называется. Пусть даже он называется setup.exe.
А вот нажать кнопку на некоем сайте?


 
Eraser ©   (2012-11-05 07:11) [16]


> Германн ©   (05.11.12 01:28) [5]


> Меня давно уже смущает, что ДрВеб не только не ловит такое
> заражение, но и не может найти такую заразу никакими своими
> утилитами (весьма мощными) как например CureIt. А "базу"
> ведёт по номерам телефонов/кошельков и по скриншотам. https:
> //www.drweb.com/xperf/unlocker/

то то и оно. с одной стороны мегапримитивные "вирусы", которые уже не одну пятилетку нормально побороть не могут наши супер антивирусы с их гениальными эвристическими движками, которыми разве что подтереться можно. при этом легальному софту с цифровыми подписями регулярно портят жизнь.

с другой же стороны бездействие "органов". по этим номерам для смс ведь в два счета можно найти кому денежки капают. чтобы такой прием смс зарегистрировать - 10 раз попросят паспорт показать и сканы всяких ИНН прислать. пусть кто-нибудь поправит, но я не слышал, чтобы где нибудь еще в мире существовали столько лет фактически легальные схемы мошенничества такого типа.


 
Kindle   (2012-11-05 07:34) [17]


> Eraser ©   (05.11.12 07:11) [16]


Все правильно говоришь.


 
han_malign   (2012-11-05 09:58) [18]


> Запуск в защищëнном режиме

 - некатит - HKCU\...\Shell - там уже цепляется, нужна вторая учетка - тогда все просто...
Либо вспоминать сколько раз стрелку нажимать после Ctrl+Alt+Del - чтобы task manager запустить, потом Alt+пробел - переместить - чтобы список видно было, а там уж - кракозябу - прибить(имя записать), explorer - запустить и поиск по реестру...

З.Ы. Я тоже думал - драйвера левые выцеплять придется или судорожно вспоминать откуда у GINA(под XP еще) ноги растут - а там даже не HKLM(другая учетка уже не прокатила бы)...

> Студентам походу денег не хватает, раз такое шлепают...

- дык, одно дело серьезный вредоносный код, а другое - невинная "шуточная" поделка - не влекущая уголовной ответственности...


 
Плохиш ©   (2012-11-05 10:03) [19]


> некатит - HKCU\...\Shell - там уже цепляется

Мне таких заумных не попадалось :-)


 
Inovet ©   (2012-11-05 11:10) [20]

> [16] Eraser ©   (05.11.12 07:11)
> с другой же стороны бездействие "органов". по этим номерам
> для смс ведь в два счета можно найти кому денежки капают.

Так что их искать, и в органы не забывают приносить долю. Одни вот такие пару лет назад забыли, так их быстро "нашли" и по всем новостям показали захват офиса и озвучили сумму годового дохода.


 
Андреевич   (2012-11-05 12:51) [21]

Удалено модератором


 
Пит   (2012-11-05 13:00) [22]

Удалено модератором


 
Омлет ©   (2012-11-05 13:49) [23]

> Pavia ©   (05.11.12 02:11) [10]
> И вообще антивирусы задрали. Вирусы не фига не видят.


Попробуй, угонись за ними..
Symantec: В 2011 году вирусописатели разработали 400 решений для обхода песочницы
http://www.securitylab.ru/news/431890.php
Ставьте Линукс.


 
имя   (2012-11-05 14:02) [24]

Удалено модератором


 
Андреевич   (2012-11-05 14:21) [25]


> Почему-то никто не предлагает ни одного способа вместо ловли
> вирусов ловить и сажать самих вирусописателей?

потому что разработать, установить и поддерживать программу (тем более приносящую прибыль) гораздо проще, чем ковыряться с нашими законами, взаимодействовать с разными службами (полиция, например), выслеживать и доказывать, и терять время на судах.


 
Rouse_ ©   (2012-11-05 14:26) [26]


> Inovet ©   (05.11.12 01:36) [7]
> У соседа был установлен антивирус, какой?

Аваст.
Больше всего меня смутило что Cureit самый свежий в этом файлике ничего не увидел, а домашний DrWeb сразу заразу распознал и даж распаковать его не дал. Я всегда был уверен что Cureit идет с самыми последними базами, оказывается нет.


> Пит   (05.11.12 13:00) [22]

Сам понял чего сказал?


 
Inovet ©   (2012-11-05 14:34) [27]

> [26] Rouse_ ©   (05.11.12 14:26)
> Я всегда был уверен что Cureit идет с самыми последними базами, оказывается нет.

Я замечал, что с недельными, вроде, обновлениями. А в нём разве нет "Обновить базы"? Ещё в %TEMP% создаётся папка, которую он сам не удаляет, и права пользователей на неё убраны.


 
Rouse_ ©   (2012-11-05 14:39) [28]


> А в нём разве нет "Обновить базы"?

Есть, но из безопасного режима инет не врубался...


 
sniknik ©   (2012-11-05 14:42) [29]

> гораздо проще, чем ковыряться с нашими законами, ...
+, если это примут, можно делать подставы... зарегистрировал на "неудобного" человека, пусть он даже не знает... готово.
не, это конечно тоже определяется, например пока не тронут "вклад" - не показатель, или определять исполнителей, т.е. должно все в сумме действовать...
в общем далеко не так просто как кажется... должна проводится следовательская/доказательная работа. но, с другой стороны, сейчас это вообще безнаказанным остается, а вот за копирайт нешуточная борьба... видимо зависит от того кто деньги теряет... если простой народ то всем нас... наплевать.


 
Inovet ©   (2012-11-05 14:50) [30]

> [29] sniknik ©   (05.11.12 14:42)
> то всем нас... наплевать.

то всем на нас... наплевать.


 
Smile   (2012-11-05 14:56) [31]

Так Winlocker вроде никогда не был серьезной проблемой. Если даже невозможно загрузиться в безопасном режиме, то BART PE и ERD Commander легко решают все проблемы Winlocker-ов.
Это по определению ближе к вредоносным программам чем к вирусам


 
Пит   (2012-11-05 15:10) [32]

Удалено модератором


 
Rouse_ ©   (2012-11-05 15:19) [33]

Ооо, ты действительно по диагонали читаешь, суть ветки что антивири не палят такое посредственную поделку. А ЧСВ это похоже у тебя раздутое :)


 
Пит   (2012-11-05 15:29) [34]

Удалено модератором
Примечание: Так, иди-ка пока погуляй...


 
TUser ©   (2012-11-05 15:57) [35]

А у тебя соседей много? Ну вот. Вирмейкеру нафиг не надо, чтобы ему заплатили ВСЕ, кого удастся заразить. В реальности есть БОЛЬШОЙ ПРОЦЕНТ тех, кто не заплатит вирейкеру (переставит винду, подождет обновления, вызовет студентов из коyторы "Компьютерная помощь", обратится к соседу ...). При нынешней дешевизне спама выгоднее вложиться в увеличение числа зараженных лохов, чем в более надежную защиту. Имхо.


 
Rouse_ ©   (2012-11-05 16:04) [36]

А вот мне интересно, ведь в винлокере фигурирует телефон на который нужно это тысячу переводить, раз есть телефон, есть и человек, неушто не боятся?


 
Андреевич   (2012-11-05 16:06) [37]


> А вот мне интересно, ведь в винлокере фигурирует телефон
> на который нужно это тысячу переводить, раз есть телефон,
>  есть и человек, неушто не боятся?

телефон покупается "в переходе" (паспорт не нужен), обналичивается через яндекс-деньги->автомат Киви (вроде самая распространенная схема)


 
Rouse_ ©   (2012-11-05 16:09) [38]

Ну это понятно, но ведь отследить то схему ж можно при желании, запрос куда прошел вывод, на яндекс? Ок, запрос у яндекса - кито такой? У меня муж сеструхи опер, он говорит что такие запросы легко делаются при необходимости...


 
Андреевич   (2012-11-05 16:13) [39]

Да все можно отследить, но было бы желание соответствующих органов (ну не только желание, но и время и тп). Легкость такой схемы плодит много мошенников, а расследование идет не так быстро как они переписывают свои винлокеры, органы тупо захлебнутся в этом.
Это как бизнес "вы потеряли номер со своей машины, отправьте нам денег и мы скажем где он лежит", тоже можно отследить, но полиция неохотно берется за это (КПД низкий :) ), и не каждый потерпевший согласится иметь дело с нашей бюрократией и тратить время.


 
имя   (2012-11-05 16:16) [40]

Удалено модератором



Страницы: 1 2 3 4 вся ветка

Форум: "Прочее";
Текущий архив: 2013.03.22;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.56 MB
Время: 0.058 c
15-1344107027
Прогер
2012-08-04 23:03
2013.03.22
Делегаты и функторы.


6-1263679694
zSvetik
2010-01-17 01:08
2013.03.22
Открыл, нарезал, передал, склеил, показал видео


15-1350304912
8903765 0706
2012-10-15 16:41
2013.03.22
Внимание! Ищут машину, которая сбила 15.09 ребенка на стоянке


1-1297775115
harisma
2011-02-15 16:05
2013.03.22
TOpenDialog и хендл на файл или устройство


15-1349781654
Roman_man
2012-10-09 15:20
2013.03.22
Помогите перевести строчку кода.





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский