| Gorod.dp.ua » Міські форуми / Городские форумы |
![]() |
|
Ага.
Вилку из сети - обязательно, чтобы оттуда никакая зараза не влезла !Демонстрационный эффект привязан к часам, причем условие запуска выбрано так, что он проявляется в основном на машинах типа XT, при установленной дате. На AT визуальный эффект в обычных условиях не наблюдается, хотя вирус успешно размножается. По некоторым данным, он возникает при установке даты на третий квартал 1988 г. В указанных случаях, если загружается файл COMMAND.COM и он отмечен как зараженный, то вирус демаскируется, демонстрируя свое присутствие с помощью эффекта "падающих букв" на экране монитора. Сеансы опадания букв происходят через определенные интервалы времени. В процессе падения букв клавиатура блокируется и работать с компьютером становится невозможно до полного опадания букв на экране. При этом падение каждой буквы сопровождается характерным звуком, напоминающим шорох. На неспециалистов эта "шутка" часто производит впечатление аппаратной неисправности.
Вот этим способом я много чего повынимал уже.которые используют "анделитеры" - физическим поиском файлов по диску.
Работает, подтверждаю
F1 Service f1service.dp.ua.Ремонт ноутов, ПК и прочих железок, ИТ-сопровождение организаций.
Тел:7340453,093-99-835-99, 097-222-14-17, 095-476-77-79 Чкалова 16, оф 11
он не шифрует диск целиком
1. пишет новый MBR со своим кодом, если привилегии позволяют
2. устанавливает в планировщик задачу на перезагрузку на "через 10 минут"
3. эти 10 минут занимается, во-первых, распространением по сети - попытка подобрать креденшиалы, на основе скомпрометированных локальных, записать файл через админ-шару, потом удалённо запустить через psexec и wmi; во-вторых, шифрует файлы по маске, например, документы, архивы (похоже, в один конец)
4. после перезагрузки, занимается шифрованием таблицы дескрипторов файлов (то есть только инфу "где что лежит на диске", сами файлы на этом этапе не шифруются) и потом выводит финальную картинку.
Без таблицы дескрипторов, начала незашифрованных документов найти можно, по сигнатурам. Если диск сильно фрагментирован, собирать файлы без таблицы дескрипторов проблематично, ну, наверное, программы, восстанавливающие удалённые файлы, могут это уметь.
трошки по состоянию дел у мну на производстве.
- Жопа. Вернее ЖОПА!!!!
Заработало лишь то, что было выключено (правда сетку отключили, т.е. локальная машина)
восстановили часть компов путем форма С: (со всеми вытекающими, т.е. усе под нож)
Некоторое промоборудование было завязано в сеть с доступом в инет - вот ему хана. Запустить может и удастся, а соответствующее ПО придется покупать у производителей оборудования (а это заграница и опять гроши...и тем более в валюте)
С машинами, где велась проектная работа, или со всякими базами данных (бухгалтерия/финансы/склады/учет ТМЦ)- мрак. К ним еще и не приступали.
,,,,заряжаемся,,,,
как это заново покупать? а договоры есть в печатном виде? Лицензии? может прийдется за сервис заплатить, но не по новому кругу покупать?
Они бы сразу AES предложили сломать, я бы поучаствовал ...Департамент кіберполіції Національної поліції України
Вчера в 12:14 ·
ДОДАТКОВА ІНФОРМАЦІЯ!
Виходячи з аналізу завантажувальної частини вірусу, можна з високим ступенем вірогідності стверджувати, що це нова модифікація трояна «Petya».
Під час аналізу встановлені схожі ділянки коду, використовується той же алгоритм криптування - Salsa20 з модифікованим розширенням ключа. В першій версії «Petya» - це "expand 32 - byte k", в новій версії " - 1invalid s3ct - id". Унікальний 8-ми байтовий номер для Salsa (nonce), зберігається в секторі 32 (у старому - 55м). По зміщенню 0x21.
Перший байт 32-го сектора використовується як флаг при завантаженні - при 0 - відбувається шифрування MFT, при 1 - вивід повідомлення про оплату. Закриптований MBR зберігається в сектор 34. Криптування - xor з ключом 0x7.
Депаратмент кіберполіції звертається до всіх спеціалістів, які у складний для країни час не можуть бути осторонь від наслідків кібератаки, прийняти участь у розробці спільно з нашими фахівцями програми підбору паролей ([email protected]).
))))))))))))))))
Можно так сделать:
1 . Снять боковую крышку
2. Отключить шнур питания жесткого диска
3. Всунуть эту флешу и какой-нить LiveCD.
а лучше так -
3.1. Всунуть другую флешку с Kaspersky Rescue Disk
/или аналогичное от других антивирусников\,
Обновить сразу базы
/шоб этого Петю обнаружить\,
А потом только вставлять флешку с работы,
проверить её Kaspersky Rescue Disk.
Востаннє редагував Funeral director: 29.06.2017 о 21:45
(с)Вирус #PetyaA атаковал ТЕЦ-6 и запустил горячую воду для жителей Троещины и Оболони) Местные власти пытаются устранить это недоразумение.
)))))))))))))))))))))))
Shit or get off the pot!
А "Софтсерв" начальник киберполиции упоминать не желает отчего то ...
Глупо смеятся. До АES у многих дело могло не дойти.
1) полный бакап существуещего диска на диск более крупного размера dd if=/dev/sda of=/dev/sdb
2) искать по сигнатурам помершего диска. Возмоности и даже помощники есть. В свое время востанавливали фотки с флешки с заглуьленным FAT
3) расследовать дальше и возможно, найти путь для дешеврации таблицы дискриптов. Есть там банальный XOR то идея не лишина смысла.
Зы. конечно с AES ничего сделать (на текущий момент) нельзя. Но все остельное не настолко уж утопично.
Shit or get off the pot!
| Головна | Афіша | Новини | Куди піти | Про місто | Фото | Довідник | Оголошення | |
| Контакти : Угода з користивачем : Політика конфіденційності : Додати інформацію |
copyright © gorod.dp.ua. Всі права захищені. Використання матеріалів сайту можливо тільки з дозволу власника. Про проєкт :: Реклама на сайті |
|
Bookmarks