Пугают, но почему-то не страшно
payshanba, 11-oktabr, 2018
СМИ не перестают потчевать нас разного рода ужастиками:
Эксперты в области кибербезопасности из MalwareHunterTeam обнаружили опасный вирус-шифровальщик, названный именем бывшего американского президента Барака Обамы. О находке сообщило издание BleepingComputer.
Читаем дальше:
Вымогатель пресекает деятельность установленных на компьютер антивирусов.
Вообще-то слово «пресекать» обычно используется при описании работы правоохранительных органов: например, «пресечена деятельность хакерской группировки». За кого болеет автор новости?
После завершения антивирусных программ вредное ПО сканирует компьютер и шифрует на нем все файлы формата exe.
Для «ужас-ужаса» это весьма странное действие. Как правило, исполняемые файлы легко восстановить. Максимум, чего достигнет злоумышленник, так это остановки работы каких-то программ или всей системы в целом.
Под воздействие попадает также содержимое папки Windows, которое обходят своим вниманием другие вирусы.
Точно, все рухнет!
Теперь посмотрим первоисточник:
Шифровальшик завершает работу различных антивирусов. При этом выполняются следующие команды:
taskkill /f /im kavsvc.exe
taskkill /f /im KVXP.kxp
taskkill /f /im Rav.exe
taskkill /f /im Ravmon.exe
taskkill /f /im Mcshield.exe
taskkill /f /im VsTskMgr.exe
https://www.bleepingcomputer.com/news/security/barack-obamas-blackmail...
Что такое taskkill? Это системная команда, позволяющая завершить процесс в ОС Windows из командной строки. Флаг /F нужен для принудительного завершения процесса – например, зависшего и не отвечающего, флаг /IM используется при наличии многочисленных одинаковых процессов. Если нужно завершить процесс на удаленной машине, используется флаг /S.
А вот если вы хотите удалить все запущенные кем-то из пользователей процессы, нужно использовать флаг /FI.
Это «швейцарский нож» для тех, кто хочет остановить ненужные процессы. Но только те, которые не находятся в сфере ответственности самозащиты Dr.Web.
Для интереса запускаем консоль (обязательно от имени администратора!) и пытаемся «убить» какой-нибудь из процессов нашего антивируса:
Самозащита, господа!
В общем, на «ужас-ужас» уже не тянет, поскольку остановить что-либо защищенное подобный подход, естественно, не позволит.
Вот что, правда, при этом интересно:
Шифровальщик изменяет ключи реестра, определяющие ассоциации, связанные с файлами .exe, так, чтобы они использовали новый значок и запускали вирус каждый раз, когда кто-то запускает исполняемый файл.
Не вирус это, не вирус! Нет заражения самого файла. Но вот кликать по разным файлам не следует, пока система не очищена до конца.
#Trojan.Encoder #троянец #безопасностьАнтивирусная правДА! рекомендует
Trojan.Encoder.26282 (именно так мы распознаем это чудо) – вовсе не «ужас», начиная с терминологии и заканчивая своими возможностями. Но он способен испортить настроение и задать работы. Поэтому:
- не забываем про антивирус, в котором должны быть активированы ВСЕ компоненты защиты;
- не кликаем по чему попало.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Sasha50
17:25:11 2019-01-29
PahomUbuntu
17:48:28 2018-10-17
Damir
17:28:33 2018-10-12
Ruslan
14:03:22 2018-10-12
razgen
01:24:50 2018-10-12
Lia00
00:25:01 2018-10-12
eaglebuk
22:31:16 2018-10-11
В...а
22:21:43 2018-10-11
vla_va
22:05:23 2018-10-11
Rider
21:42:03 2018-10-11
ek
21:24:47 2018-10-11
МЕДВЕДЬ
21:20:53 2018-10-11
Неуёмный Обыватель
21:01:42 2018-10-11
А был еще и Сталин: Весной 2018 года эксперты обнаружили вирус под названием StalinLocker. Вредная программа блокировала все файлы на компьютере, ставя на заглушку портрет Иосифа Сталина. https://lenta.ru/news/2018/05/16/stalin_na_vas_est/
Ну там хоть кодом разблокировки служила разница между датой запуска файла на компьютере и числами 1922.12.30 (скорее всего, подразумевается дата утверждения договора об образовании СССР).
orw_mikle
20:51:10 2018-10-11
Шалтай Александр Болтай
20:47:28 2018-10-11
kva-kva
20:45:55 2018-10-11
Неуёмный Обыватель
20:37:00 2018-10-11
mk.insta
20:26:03 2018-10-11
Littlefish
20:25:14 2018-10-11
Littlefish
20:20:59 2018-10-11
Littlefish
20:18:55 2018-10-11
Сергей
19:59:43 2018-10-11
anatol
19:54:39 2018-10-11
Dvakota
19:50:27 2018-10-11
Татьяна
19:44:09 2018-10-11
robot
19:32:28 2018-10-11
Andromeda
19:21:23 2018-10-11
Альфа
19:01:24 2018-10-11
Toma
18:45:10 2018-10-11
Дмитрий
18:33:53 2018-10-11
Геральт
18:32:06 2018-10-11
a13x
16:49:40 2018-10-11
Masha
16:10:28 2018-10-11
La folle
16:05:31 2018-10-11
DrKV
16:04:49 2018-10-11
b_ice
13:03:29 2018-10-11
Но больше всего удивляют продукты, которые остались в команде, неужели они позволяют делать с собой такое? Стыдно должно быть производителям.
Только Доктор Веб надежда и опора.
Dmur
12:37:45 2018-10-11
vinnetou
12:18:09 2018-10-11
Biggurza
12:12:34 2018-10-11
От безопасности отпрянуть,
Как будто в темный омут кануть
И в жизни глупость совершить!
Я в Windowse, как на кресте,
Живые файлы распинаю,
Скрижали помнят сны Синая.
Моя ИБ на высоте!
И я слежу за ОС живой,
Её связующие нити,
Как сигнатура в Web защите
И бытия последний бой.
Чрез трепыханья единиц
Ловлю троянов ловко в сети,
Как гонококк тысячелетий
С истлевших, ветхих web-страниц…
Сегодня можно с толком жизнь.
Чтоб безопасностью не кичась
В запретные плоды не тычась,
Пора бы с Dr.Web дружить!
maestro431
11:59:26 2018-10-11
Jenyatka
11:49:24 2018-10-11
B0RIS
11:43:23 2018-10-11
Денисенко Павел Андреевич
11:20:52 2018-10-11
Oleg
10:58:10 2018-10-11
Zserg
10:56:20 2018-10-11
I23
10:06:10 2018-10-11
Вячeслaв
10:03:51 2018-10-11
ЕСли не знаем, то по получении обновлений пролечим. Причем интересно то, что поскольку сейчас в основном трояны, то лечить не надо, надо удалить лишь. Что естественно проще. Проблема только в том, что нужно восстановить что троян подменил
I46
09:54:52 2018-10-11
Раш КХ
09:54:32 2018-10-11
EvgenyZ
09:16:52 2018-10-11