Blog of Khlebalin Dmitriy

(Записки из мира IT…)

Вирусы-шифровальщики.

В понедельник в результате экспериментов, мой рабочий комп убил вирус-шифровальщик (все файлы, включая файлы профиля, все документы на всех дисках и дистрибутивы превратились .crypto). На компе был установлен Kaspersky и Malware одновременно, и я исключил всего две папки из защиты и проверки: downloads на диске e:, и program files на диске с:), но  то, что и Kaspersky и Malware были установлены на компе, никак не повлияло на ход событий, комп в определенный момент завис, после чего отправил его в ребут. А после перезагрузки открылся пустой рабочий стол и полу убитое меню Windows 10. Профили пользователей стали не видны все остальное превратилось в .crypto. С этого момента жизнь началась с нового чистого листа. В один миг все превратилось в пыль.

Обнаружил интересные две особенности:

  • Все, что было в папке c:\temp не зашифровалось.
  • В таком виде можно было устанавливать программы и они устанавливались прямо в папки с зашифрованными здесь же лежащими программами (как бы рядом с ними или поверх), выглядело это достаточно странно, будто компьютер, как ни в чем не бывало продолжает работать в штатном режиме .

Что дальше?

  • Kaspersky и Malware при загрузке уже конечно не стартовали (были уже зашифрованы), но я поставил их прям снова тут же рядом, и запустил полную проверку, они ничего не нашли.
  • Все тоже самое касалось и DrWeb и иже с ними… Никто ничего не находил или если находил, то было уже поздно махать граблями.
  • Далее поставил, также прям рядом с остальными,  утилиту HitmanPro (активировал триальную версию), она нашла какой-то троян, «пристрелила» его, и после перезагрузки у меня появились документы Рабочего стола и вообще стал виден Рабочий стол, которого до селе не было вовсе. Документы на Рабочем столе оказались не зашифрованными-это безусловно радовало, так как файлов, которые были у меня на Рабочем столе более у меня не было нигде, быстро скопировал из на флешку.

Об аналогах читаем здесь: http://remontka.pro/malware-removal-software/

Далее предстояло расшифровать файлы, вот интересный сайт где собрано не мало декрипторов:

https://www.nomoreransom.org/ru/decryption-tools.html

вначале начал пробовать и проверять по порядку сверху вниз разными утилитами, но каждая из них требовала немало времени на полную проверку (изучая форумы по теме шифровальщиков, натыкался на сообщения от людей, у которых на восстановление и расшифровку уходило по 2 недели, это мрак), такого времени у меня не было да и смысла это все восстанавливать я не видел, ведь у меня был BACKUP (бэкап всего, кроме, как я уже выше писал, папок Рабочего стола, но теперь были и они), а в текущей ситуации, это как никогда грело душу.

На переустановку всего (у меня достаточно много утилит, оснасток и программ) ушел день, еще день на, то чтоб перелить все мои файлы в исходное положение из Backup. Итого эксперименты стоили 2-х полных дней и это несколько выбило меня из устойчивого рабочего ритма.

Мораль басни какова?

  • Стараемся пользоваться только лицензионным или как минимум проверенным софтом, кряки, патчи, кейгены, все это порой приводит к аналогичным последствиям.
  • Не заходим на те страницы которые явно блокируются антивирусом или Malware, не добавляем их в исключения.
  • Не устанавливаем предлагаемые плагины и прочие надстройки с интернета.
  • Не исключаем никакие папки из проверки и защиты, как в антивирусе, так и в Malware.
  • Не стоит надеяться, что установленный антивирус (будь то Касперский, Др.Веб, Аваст или еще какой-либо) Вам сильно поможет и спасет Вас от всех проблем, как видим это так, да не так 😦
  • Золотое правило-БЭКАП НАШЕ ВСЕ!!!

Всем хорошей работы !!!

07.06.2017 Posted by | antiviruses | 2 комментария

RansomFree.

Вирусы (скрипты, апплеты….) шифровальщики в наше время все чаще и чаще становятся немалой головной болью многих пользователей, а в последствии и админов. Я уже неоднократно столкнулся с данной проблемой и с ее последствиями после. Если думаете, что установленный антивирус, будь то Касперский, Др.Веб, Макафи и прочие иже с ними вам помогут? — Да, возможно помогут, но как показывает практика, далеко не всегда. Поэтому в данном случае лучше переспать, чем не доесть, то есть лучше постараться избежать вируса-шифровальщика, нежели потом разбираться с последствиями. Эта мысль не дает мне покоя, поэтому я периодически продолжаю интересоваться темой борьбы с данной проблемой . Вчера на одном из иностранных форумов, наткнулся на интересную рекомендацию, о том что есть бесплатная утилита RansomFree —  для защиты Windows от вирусов-вымогателей.

snap

Скачать и почитать о ней можно здесь: https://ransomfree.cybereason.com/

Сегодня утром поставил утилиту, на сколько она эффективна пока непонятно, надеюсь будет время потестировать на днях, если кто-то уже проверил в действии утилиту, прошу написать в комментариях.

Всем хорошей работы!!!

24.01.2017 Posted by | antiviruses | Комментарии к записи RansomFree. отключены

Троян «istartsurf».

На выходных, сидя за домашним компьютером в интернете, как то невзначай прихватил себе, вирус не вирус, так даже сложно сказать…. Такой  вроде ненавязчивый, но стал меня нервировать достаточно сильно.

Открываешь любой браузер ( у меня их всегда два IE and Chrome), а там как раз стартовая страница   «istartsurf». Открываешь новую страницу, например google.com она открывается, но при попытке перейти на любую другую страницу, снова открывается страница  «istartsurf». В интернете стало невозможно «сидеть», при том в обоих браузерах одно и тоже.

Самым неприятным моментом здесь, явилось то, что у меня на компьютере установлен «Kaspersky» последней редакции  (настроен в среднем режиме безопасности) и он даже не «пискнул» при попадании на компьютер вот такой «заразы». Это очень расстраивало.

— Изменил настройки Касперского в максимальную защиту, перезагрузил комп, никакого эффекта присутствия. Полная проверка ничего не выявила.

— «Снес Каспера», поставил «DRWEB», он что-то нашел, и даже «пристрелил» вроде, но после перезагрузки я вновь увидел все тоже самое, картина печальна, Ни «Каспер» ни «ВЕБ» никак себя не показали.

Становилось все больше интересно, как победить «сие явление»???? (я давно уже с таким не сталкивался).

Начал «серфить» варианты в интернете, решений оказалось не мало:

http://forum.ykt.ru/viewtopic.jsp?id=3360096

http://soft2secure.com/knowledgebase/istartsurf

http://www.techsupportall.com/how-to-remove-istartsurf-com-search-page-removal-help/

За 3 часа удалось многое попробовать поставить и покрутить, но все безрезультатно. Чего только не делал, а «воз и ныне там», пока не наткнулся на рекомендацию добрых людей, установить утилиту «SpyHunter» (она не бесплатна) и вот только она помогла мне решить проблему:

http://www.spyhunter4download.net/ru/

snap

Это не реклама, за 3 часа изысканий, мне удалось попробовать множество вариантов, способов, рекомендаций и утилит, но все они оказались бесполезны, а эта реально помогла.

После того, как сканирование завершилось, проанализировал, где прописался данный троян «istartsurf», оказалось что в очень многих местах, и многие из них мне удалось обнаружить «руками», но как оказалось не все. Соответственно если до конца не «вычистили» все файлы, то после перезагрузки удаленные ключи реестра восстановятся снова и все вернется на «круги свои».

В случае возникновения аналогичной проблемы, рекомендую это решение.

Всем хорошей работы !!!

P.S. Через пару дней в мои руки попал другой компьютер с аналогичной проблемой, но с другой разновидностью рекламы:

snap

К сожалению «SpyHunter» оказался тут бессилен, хотя и нашел что-то, но удалить не смог. Отсюда вывод, универсальных программ не существует, каждый случай уникален. В этом случае помогла вот эта утилита:

https://www.malwarebytes.org/antimalware/premium/

snap1

Еще раз все хорошей работы !!!

07.10.2014 Posted by | antiviruses | Комментарии к записи Троян «istartsurf». отключены