simplix forum

simplix
Есть файл вируса шифровальщика, нод блокирует его действия по IP даже через виртуалку, поэтому для теста отключал защиту на физическом.
Суть в том, чтобы найти создаваемый закрытый ключ, который мошенники хранят на своем сервере.
Как мне кажется ключ создается на стороне клиента и только после создания открытого ключа, закрытый ключ отправляется на сервер.

Есть ли желание сделать фикс защиты от шифрования и попробовать найти закрытый ключ?
Отправил вложение в ЛС.

Vitokhv
Нельзя вылечить шифрование, его можно только предотвратить или восстанавливать файлы из резервной копии. Закрытый ключ здесь найти не сложно, он хранится в файле %Temp%\28fb39da.373b1cbc во время работы шифровальщика, а затем отправляется на сервер автора и удаляется без возможности восстановления. Ключи генерируются случайным образом и бесполезны на других компьютерах.

Выскажусь и я, по поводу дистанционной помощи.
Здесь забыли уточнить, что дистанционная помощь оказывается не посторонней домохозяйке, никто незнакомцу не будет объяснять по телефону как снять банер. В любом случае вы бывали на компьютере "домохозяйки" хотя бы раз. Я сейчас стараюсь на все компы, которые проходят через меня, интегрировать AntiSMS + "Downloader.exe /Task". Поверьте, намного проще оказать телефонную помощь. Даже запросто объяснить по телефону  как попасть в среду восстановления WinRE, запустить AntiSMS для профилактики или восстановиться с раннее созданного образа. Я один компьютер года три не видел, всё по телефону объяснял как восстанавливать с системного образа, пока не слетела среда восстановления WinRE. Теперь интегрировал AntiSMS + "Downloader.exe /Task" и стало ещё проще. Пользователь на уровне "домохозяйки" с плюсом.

Здраствуйте! Если у кого есть желание и возможность сделайте пожалуйста сборку win pe на базе загрузчика семерки  с  нужными программами как  в сборке от Xemom1 antisms8.iso  и с уже интегрированным antisms. Есть подозрение, что на загрузчике от семерки и с ее драйверами она будет работать лучше на определенной линейке настольных компьютеров.

simplix, скажи, нет ли в планах добавить в сабж борьбу с адварой от Мелкомягких, а именно GWX ?
Скрытый текст (раскрыть):
https://forum.oszone.net/post-2514471.html#post2514471
https://forum.oszone.net/post-2515317-1734.html
https://xakep.ru/2015/04/07/windows-10-downloader/
http://www.dedoimedo.com/computers/wind … emove.html

Отредактировано 0 0 (09.06.2015 14:45:11)

Gadavre
А на столько ли важно в сборке WinPE интегрированный AntiSMS? Загрузился с любого WinPE (в интернете на любой вкус) и запустил AntiSMS с флешки. Таким методом очень легко пользоваться всегда свежей версией AntiSMS.

Sergikaz сообщает:

Gadavre
А на столько ли важно в сборке WinPE интегрированный AntiSMS? Загрузился с любого WinPE (в интернете на любой вкус) и запустил AntiSMS с флешки. Таким методом очень легко пользоваться всегда свежей версией AntiSMS.

Такой способ точно не имеет никаких недостатков по сравнению с интегрированным sms?  Вы точно знаете, что Antisms запущенный с  диска  через win pe также будет работать эффективно как интегрированный? Вы решили какие то проблемы с компом этим способом?  А если вирус сделал невозможным запуск exe приложений?

Я к чему это спрашиваю. В одном win pe запустил ccleaner с диска. Почистил им реестр. Перезагрузился в систему, запустил заново ccleaner. Программа нашла при анализе ключи реестра, которые она в win pe удалила... И зачем, говориться было чистить реестр в win pe?

Отредактировано Gadavre (09.06.2015 15:55:45)

Sergikaz сообщает:

Gadavre

На самой первой странице этой темы:
Если вы запустите AntiSMS на каком-то стороннем WinPE и обнаружите не совсем корректную работу программы, то обязательно сообщите здесь. Этим вы только поможете сделать программу ещё лучше.

Встроил antisms  в  систему, запустил, настройка системы прошла корректно. Запустил antisms с жесткого диска  из под win pe by the Truth . Через примерно 1 минуту выскочило окошко с текстом:
ваши файлы читаются медленно. Возможно диск поврежден или подлежит замене
C инегрированной antisms  в сборке от Xemom1 также все было нормально.
Знаете, вроде бы мелочь, но неприятный осадок оставляет в душе. Напрашивается вывод:
Antisms  не совсем корректно работает, если его запускать с жесткого диска из под win pe

Отредактировано Gadavre (09.06.2015 17:18:05)

0 0 сообщает:

нет ли в планах добавить в сабж борьбу с адварой от Мелкомягких, а именно GWX ?

На этот счёт у меня ещё не готово однозначное решение. С одной стороны некоторым пользователям оно может мешать, но с другой стороны это официальное обновление, которое предлагает установить новую лицензионную систему бесплатно, и задача Майкрософт - сообщить всем пользователям о такой возможности. Ведь когда это сообщение будет скрыто, пользователь не узнает о таком, в общем-то неплохом предложении. Адварой это можно было бы назвать, если бы за него требовали деньги, а тут одно сообщение, которое предлагает поставить наконец-то бесплатную лицензию (такого ещё не было никогда) с сохранением всех данных и без ручной переустановки системы, по-моему это круто.

Gadavre сообщает:

Встроил antisms  в  систему, запустил, настройка системы прошла корректно. Запустил antisms с жесткого диска  из под win pe by the Truth . Через примерно 1 минуту выскочило окошко с текстом:
ваши файлы читаются медленно. Возможно диск поврежден или подлежит замене
C инегрированной antisms  в сборке от Xemom1 также все было нормально.

Такую функцию я добавил в версию 7.5 после того, как столкнулся с повреждённым винчестером, который на первый взгляд работал нормально, но вместо пяти минут проверка шла полчаса - повреждённые файлы просто не удавалось прочитать. Теперь AntiSMS предупреждает об этом, когда файлы читаются в сотню раз медленнее, чем должно быть. Чтобы исключить тот случай, когда ваш винчестер действительно повреждён, я бы советовал проверить его поверхность на ошибки. Заодно не помешает указать ссылку на тот WinPE, в котором появляется это сообщение, может быть проблема вообще в нём.

simplix сообщает:

Адварой это можно было бы назвать, если бы за него требовали деньги, а тут одно сообщение...

Вики говорит:

Adware (англ. ad, advertisement — «реклама» и software — «программное обеспечение») — программное обеспечение, содержащее рекламу. Также, термином «adware» называют вредоносное программное обеспечение, основной целью которого является показ рекламы во время работы компьютера.

Про рекламу:

В папке также лежит файл “config.xml”, который содержит некоторые URL, не работающие на данный момент (ссылки на рекламные баннеры и проч.). Например, “OnlineAdURL”
...
https://xakep.ru/2015/04/07/windows-10-downloader/

Приведённый листинг содержит инструкции, как загрузчик должен работать при приближении даты выхода Windows 10 (“AnticipationUX”). За некоторое время до этого можно ожидать появления рекламных баннеров, загружаемых с вышеупомянутых адресов, нового значка в трее и др.

Но соль то не в том, а в:
* хамском отношением к пользователю, цитата:

Процесс GWX.exe прибивается без проблем, но если мы попытаемся отключить ему все задачи (их несколько штук), нас ожидает первый сюрприз – сообщение о недостаточности прав учетной записи. Из под админа, ага. Второй сюрприз – когда попробуем пошаманить папку GWX. "Отказано в доступе."

Какой нынче стал замечательный Микрософт – уже не гнушается методов, которыми обычно пользуются зловредописатели. А уж для рекламы-то какое золотое дно получается! Тем не менее, на всякую хитрость есть свой винт с нужной резьбой.

* назойливости, удалишь - встанет заново.

* ну и конечно же бесплатный сыр бывает сами знаете где


На мой вкус такое можно добавлять в сабж только с капсом ( ну ты понимаешь о чём я.), но никак не по-дефолту.

simplix сообщает:

Gadavre сообщает:

Заодно не помешает указать ссылку на тот WinPE, в котором появляется это сообщение, может быть проблема вообще в нём.

Могу дать только прямую ссылку c  даной статьи о том как сделать мультифлешку. Образ называется Windows 7PE
http://moicom.ru/sozdanie-multizagruzoc … mi-rukami/

g0dl1ke
Вы хотите сказать, что если вирусом испорчена ассоциация файлов в системе, то  в WinPe она будет нормальной и мы сможем исполнить любой exe?

Отредактировано Gadavre (09.06.2015 20:07:13)

Gadavre
давайте отделять мух от котлет: все, что есть в целевой ос - ну никак не переносится/не отражается в среде winpe

так, а сейчас рекомендую присесть, если стоите, у меня для вас важная информация: winpe работает даже если windows не запускается, более того, winpe работает, даже если windows нет вовсе и совсем ужас - winpe работает даже если целевой пк не имеет НЖМД