Выбор Антивируса (опрос)

Ваш выбор

Kaspersky
20
23%
Dr.Web
1
1%
Avast
16
19%
Avira
2
2%
AVG
3
3%
ESET NOD
22
26%
Zillya
0
Немає голосів
Symantec
3
3%
Другой
12
14%
Не пользуюсь АВ
7
8%
 
Всього голосів: 86

Аватар користувача
KVadik
Доцент
Повідомлень: 9861
З нами з: 03 травня 2013, 10:35
Дякував (ла): 1067 разів
Подякували: 1466 разів
Контактна інформація:

Re: Выбор Антивируса (опрос)

Повідомлення KVadik » 10 вересня 2021, 23:40

Это немного неправильное описание. Он "шифровал" файлы до перезагрузки. После перезагрузки он "шифровал" MFT.
˙иʞuɐv ʁнǝw ʎ ɐ
‘˙˙˙ʁɔvʎнdǝвǝdǝu dиw – ɐwʎ ɔ vǝmоɔ dиw

OlegLOA
Доцент
Повідомлень: 8158
З нами з: 25 листопада 2012, 19:04
Звідки: г. Черновцы
Дякував (ла): 1076 разів
Подякували: 1016 разів

Re: Выбор Антивируса (опрос)

Повідомлення OlegLOA » 10 вересня 2021, 23:43

Master писав:
10 вересня 2021, 23:29
Вирус «Петя» — как работает?

я имел дело только с таким Петей
он активировался 27 июня 2017 года.
около 10 часов утра.
шифровал он только данные а не системные файлы
Да мне тоже только такой попадался.
Когда он там активировался не знаю
Но зашифрованы были только документы, система осталась целая.
Антивирусник стоял, но это ничего не дало в данном случае.
А может как раз антивирусник не дал зашифровать МФТ
Сервіс-центр "ЕКСПЕРТ" - РЕМОНТ аудіо/відео техніки,комп'ютерів,моніторів та іншої електроніки
м.Чернівці, вул.Комарова,9АА(вхід з вул.Івасюка,100м від Комарова) тел.(МТС)0506027068, (КС)0975931050
https://goo.gl/mvzvhy

Аватар користувача
KVadik
Доцент
Повідомлень: 9861
З нами з: 03 травня 2013, 10:35
Дякував (ла): 1067 разів
Подякували: 1466 разів
Контактна інформація:

Re: Выбор Антивируса (опрос)

Повідомлення KVadik » 10 вересня 2021, 23:47

да он Это. Но не всегда все его части срабатывали. Вот подробное описание его работы:
Шкідлива дія
Шифрування файлів
Шкідлива дія вірусу складається з двох частин та залежить від прав, який має його процес, та від того, які процеси працюють в операційній системі. Вірус обчислює нескладний геш назв запущених процесів, і якщо буде знайдено наперед задані коди може або припинити своє поширення, або ж, навіть, відмовитись від шкідливої дії.

Першим кроком вірус шифрує файли з наперед заданого переліку типів (їх понад 60) з використанням алгоритму AES-128. Для кожного комп'ютера вірус обчислює новий ключ симетричного алгоритму шифрування AES-128, який шифрує 800-бітним відкритим ключем RSA з пари ключів зловмисників та зберігає на жорсткому диску. Повідомлення з вимогою викупу для дешифрування файлів залишається на жорсткому диску. Це повідомлення має відмінний від ключа на другому кроці ключ (так званий «ідентифікатор жертви») та доведена можливість відновлення втрачених файлів за умови отримання правильного коду від зловмисників. Проте, навіть тут зловмисники припустились помилок, внаслідок яких відновлення даних істотно ускладнене, а сам вірус Petya не містить модуля для відновлення даних, тому для цього необхідна іще одна, інша програма.

Слід також зазначити, що у функції шифрування файлів зловмисник припустився помилки, яка може істотно ускладнити (якщо не унеможливити) їхнє відновлення: вірус шифрує лише перший мегабайт даних у файлах більшого розміру, але не скидає стан алгоритму шифрування при переході до наступного файлу. Таким чином, для відновлення файлів слід виконувати в ідентичному порядку.

Знищення файлової системи
Див. також: NTFS та Головний завантажувальний запис
Після завершення першого кроку (шифрування файлів), якщо вірус має достатньо системних прав та за певних інших умов, він переходить до другого кроку (знищення файлової системи).

Другим кроком вірус:

змінює головний завантажувальний запис (MBR) кодами свого запуску,
обчислює «ідентифікатор жертви» (англ. Victim ID) із застосуванням випадкових чисел,
обчислює ключі шифрування із використанням криптографічно стійкого генератора псевдовипадкових чисел, зберігає його у MBR,
встановлює випадковий таймер (не менше 10, але не більше 60 хвилин) на перезавантаження комп'ютера, та
знищує всі записи в системних журналах.
При завантаженні комп'ютера завдяки змінам в головному завантажувальному записі (MBR) замість операційної системи буде завантажено шкідливий код вірусу, який малює на екрані підробку під інтерфейс програми перевірки цілісності жорсткого диска Chkdsk. Основна шкідлива дія на цьому кроці полягає в шифруванні таблиці файлів (англ. Master File Table, MFT) файлової системи NTFS алгоритмом шифрування Salsa20. При цьому ключ шифрування по завершенні процесу безповоротно стирається, а жертві пропонується відправити зловмисникам для отримання ключа дешифрування «ідентифікатор жертви» (англ. Victim ID), який жодним чином не пов'язаний з тим ключем.

Така поведінка відрізняється від поведінки оригінального хробака Petya/Mischa. Оригінальний вірус Petya зберігав ключ шифрування Salsa20 й тим самим зберігав можливість для відновлення даних. Хоча, через помилку в реалізації відновити дані виявилось можливим навіть без сплати викупу (поки ця помилка не була виправлена у третій версії та вірусі Goldeneye).

Слід зазначити, що шкідлива дія вірусу цим не обмежена: через ваду в реалізації вірус здатен повторно вражати одну й ту саму систему. Тоді зашифровані на першому кроці файли будуть зашифровані вдруге, а необхідний для їхнього дешифрування ключ буде затертий новим, чим унеможливить їхнє відновлення.
Востаннє редагувалось 10 вересня 2021, 23:49 користувачем KVadik, всього редагувалось 1 раз.
˙иʞuɐv ʁнǝw ʎ ɐ
‘˙˙˙ʁɔvʎнdǝвǝdǝu dиw – ɐwʎ ɔ vǝmоɔ dиw

Аватар користувача
Master
Легенда Форуму
Повідомлень: 37074
З нами з: 25 листопада 2012, 13:03
Звідки: Город Герой Черновцы
Дякував (ла): 2815 разів
Подякували: 2868 разів

Re: Выбор Антивируса (опрос)

Повідомлення Master » 10 вересня 2021, 23:48

Тот что был 27 не шифровал мфт.
100 %
У меня были пациенты из 3х разных корпораций.
Иожет ему прав не хватало.
Но кроме данных все было цело.
Востаннє редагувалось 10 вересня 2021, 23:51 користувачем Master, всього редагувалось 1 раз.
Все, что вы видите во мне - это не мое, это ваше.
Мое - это то, что я вижу в вас. ©

Аватар користувача
KVadik
Доцент
Повідомлень: 9861
З нами з: 03 травня 2013, 10:35
Дякував (ла): 1067 разів
Подякували: 1466 разів
Контактна інформація:

Re: Выбор Антивируса (опрос)

Повідомлення KVadik » 10 вересня 2021, 23:50

Master писав:
10 вересня 2021, 23:48
Тот что был 27 не шифровал мфт.
100 %
Шифровал. 100%. Но не всегда ему это удавалось. Возможно как раз антивирус поломал именно тот его модуль.
˙иʞuɐv ʁнǝw ʎ ɐ
‘˙˙˙ʁɔvʎнdǝвǝdǝu dиw – ɐwʎ ɔ vǝmоɔ dиw

Аватар користувача
Master
Легенда Форуму
Повідомлень: 37074
З нами з: 25 листопада 2012, 13:03
Звідки: Город Герой Черновцы
Дякував (ла): 2815 разів
Подякували: 2868 разів

Re: Выбор Антивируса (опрос)

Повідомлення Master » 10 вересня 2021, 23:52

KVadik писав:
10 вересня 2021, 23:50
Шифровал. 100%. Но не всегда ему это удавалось. Возможно как раз антивирус поломал именно тот его модуль.
Там пишут про права.
Их скорее всего и не было.
Все, что вы видите во мне - это не мое, это ваше.
Мое - это то, что я вижу в вас. ©

Аватар користувача
Master
Легенда Форуму
Повідомлень: 37074
З нами з: 25 листопада 2012, 13:03
Звідки: Город Герой Черновцы
Дякував (ла): 2815 разів
Подякували: 2868 разів

Re: Выбор Антивируса (опрос)

Повідомлення Master » 11 вересня 2021, 09:15

Вообще то это даже не существенно убивал ли он мфт или нет.
Факт в том что он убивал самое ценное.
Данные.
А систему и не особо жалко.
Вот я о чем.
Все, что вы видите во мне - это не мое, это ваше.
Мое - это то, что я вижу в вас. ©

OlegLOA
Доцент
Повідомлень: 8158
З нами з: 25 листопада 2012, 19:04
Звідки: г. Черновцы
Дякував (ла): 1076 разів
Подякували: 1016 разів

Re: Выбор Антивируса (опрос)

Повідомлення OlegLOA » 11 вересня 2021, 10:57

Master писав:
11 вересня 2021, 09:15
Вообще то это даже не существенно убивал ли он мфт или нет.
Факт в том что он убивал самое ценное.
Данные.
А систему и не особо жалко.
Вот я о чем.
Да, систему можно восстановить, это несущественная потеря.

Так именно поэтому, похоже, большинство антивирусников его не могли определить как вирус на начальном этапе, пока его не внесли в базы.
Ведь к системным файлам он не лез, работал только с "пользовательскими"...
Попробуй его отличи например от винрара или еще какого архиватора, или от программ для зашифровки, которыми пользователь вдруг решил все свои данные закрыть...
Но и после внесения, ведь ничего не стоит немного изменить код, чтоб его уже не опознавали антивирусы по своим базам, и получить какого-нибудь "Петю-2" или "Васю" ...
А эвристика заметно замедляет комп, многие отключают... Да и не у всех АВ она настолько хороша...


Так что если важны данные, нужно организовывать регулярный бэкап в защищенное хранилище, и не жмотиться на обьем хранилища
Жалко что не все это понимают...
Сервіс-центр "ЕКСПЕРТ" - РЕМОНТ аудіо/відео техніки,комп'ютерів,моніторів та іншої електроніки
м.Чернівці, вул.Комарова,9АА(вхід з вул.Івасюка,100м від Комарова) тел.(МТС)0506027068, (КС)0975931050
https://goo.gl/mvzvhy

Відповісти

Повернутись до “Програмне забезпечення”