Перейти к содержанию

Recommended Posts

Valery Ledovskoy

О, есть у меня конкретные цифры. На нашем форуме давал днём:

Количество детектов в каждые сутки за последний месяц.

Period Trojan.Winlock

26.12.2009 2,667

27.12.2009 3,191

28.12.2009 15,508

29.12.2009 113,259

30.12.2009 59,810

31.12.2009 3,032

01.01.2010 20,845

02.01.2010 30,782

03.01.2010 2,885

04.01.2010 6,584

05.01.2010 1,329

06.01.2010 3,063

07.01.2010 12,993

08.01.2010 166,051

09.01.2010 24,467

10.01.2010 30,830

11.01.2010 23,476

12.01.2010 77,517

13.01.2010 40,899

14.01.2010 35,449

15.01.2010 40,687

16.01.2010 9,591

17.01.2010 17,383

18.01.2010 12,626

19.01.2010 6,439

20.01.2010 5,871

21.01.2010 6,663

22.01.2010 79,000

23.01.2010 122,007

24.01.2010 35,050

25.01.2010 32,989

sww, обычно, когда ЛК или Панда говорят цифры, вы не услышите и такого. Правда? :) Задавать вопросы обычно просто некому. А часто очень хочется.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ko6ra

Это не считая Fakealert, который местами выглядит так же?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Ko6ra, да, это конкретно Trojan.Winlock

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porco Rosso
О, есть у меня конкретные цифры. На нашем форуме давал днём:

Количество детектов

= заражений?

а цифры интересные, особенно в динамике

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Да, количество детектов не равно количеству заражений, это понятно. И тоже учитывается.

Ладно, Вы как хотите, а я спать. Ибо снова к пятнице буду никакой и придётся все выходные отсыпаться. Если завтра будет время - пообщаюсь.

Думаю, хоть что-то интересное из цифр здесь было сегодня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porco Rosso
Да, количество детектов не равно количеству заражений, это понятно. И тоже учитывается.

Ладно, Вы как хотите, а я спать. Ибо снова к пятнице буду никакой и придётся все выходные отсыпаться. Если завтра будет время - пообщаюсь.

Думаю, хоть что-то интересное из цифр здесь было сегодня.

Да, пора... Спокойной ночи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
О, есть у меня конкретные цифры. На нашем форуме давал днём:

Количество детектов в каждые сутки за последний месяц.

О, ну наконец-то. Вот это уже другой коленкор. Динамика довольно интересная (да и цифры внушительные), но как уже говорили выше (и я это говорил) кол-во детектов != кол-ву заражений. И как это погрешность учитывалась - неизвестно. Да, кстати, также нет разницы между заражением и вылеченным компьютером (detected != cured), т.е. вполне реальны повторные детекты и повторные перезаражения, хоть каждый день.

Так что, сомнительные у вас выходят миллионы, необоснованные.

sww, обычно, когда ЛК или Панда говорят цифры, вы не услышите и такого. Правда? :) Задавать вопросы обычно просто некому. А часто очень хочется.

Тут бабушка надвое сказала, когда как, честно говоря. Например, идем сюда и смотрим любой рейтинг вредоносных программ за какой-либо месяц. Все с цифрами, как и должно быть. Я сейчас бегло просмотрел ЛКшный секурелист - аналитику и веблог, и не нашел громких высказываний о миллионах зараженных компьютеров и эпидемиях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

По данным декабря и ноября на Securelist о Winlock и Ransom пока ничего не было слышно

http://www.securelist.com/ru/analysis/2080...amm_dekabr_2009

http://www.securelist.com/ru/analysis/2080...amm_noyabr_2009

Но данные января же ещё не выпущены. Было бы очень интересно с ними ознакомиться.

Давайте просто подождём их выхода, чтобы узнать число заражённых ПК пользователей по версии Securelist.

И очень жаль, что раздел "Аналитика - Кибервымогательство" не обновляется с 2007 года.

PS. Добавлю, что один из malware, блокирующий работу своим баннером и вымогающий деньги, по версии Dr.Web зовётся MulDrop. Потому число блокеров-вымогателей нужно складывать, и оно явно будет немалым. Top10.

PSS. Avira тоже знали о трояне-вымогателе. Ещё 2 декабря появилось сообщение на их сайте.

http://www.avira.com/ru/security_news/blackmail_trojans.html

В базе со 2 ноября 2009 года.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Я умоляю, пожалей людей с трафиком. Есть же более-менее нормальная страница: http://www.drweb.com/unlocker/index/?lng=ru

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Я сейчас бегло просмотрел ЛКшный секурелист - аналитику и веблог, и не нашел громких высказываний о миллионах зараженных компьютеров и эпидемиях.

А я снова смотрю на запросы в техподдержку, которые пришли за ночь от вполне конкретных людей :)

Я умоляю, пожалей людей с трафиком. Есть же более-менее нормальная страница: http://www.drweb.com/unlocker/index/?lng=ru

Там есть кнопочка "Пропустить заставку" :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Там есть кнопочка "Пропустить заставку" smile.gif

Когда трафик уже будет сосаться на загрузку флеша, потом на загрузку новой страницы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

про миллионы - это скорее тема для отвлечения. Мне было интересно, как слегонца и просто Winlock проходил и ставился (хотя не только под Доктором, но все же!). Как его "ловил" инструмент в виде лечебного диска. И это же не один день было!!! Господа, может тут стоит еще поискать собаку - ИМХО, разумеется. Вот два моих приятеля теперь говорят о фейковой поддержке пользователей (тема "ф трекер" их не убедила, поскольку только тикет забирали два часа, а потом пошли вопросы). Лечение у специалиста - заняло примерно 40 мин+консультация, что и как надо защищать.

То есть - мысль не свежа, но - с ноября Доктором заявлена проблема (сейчас уже как эпидемия), а почему инструментарий то не докручен? СпецУтилита вышла только днями...Мне вот даже странно - как это понимать? То есть купил антивирус и барахтайся сам?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Один из malware, блокирующий работу своим баннером и вымогающий деньги, по версии Dr.Web зовётся MulDrop. Потому число блокеров-вымогателей нужно складывать, и оно явно будет немалым. Top10.

Кстати, судя по live.drweb.com никакой эпидемии нет :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
in4stor

alexgr, +1

действительно, все ударились в подсчеты заражений, а о сути проблемы как-то забыли - почему эта зараза так легко ставится на ПК в обход АВ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grex
https://support.drweb.com/new/tech

http://www.drweb.com/unlocker/donate/

http://forum.drweb.com/index.php?showforum=35

Пишите о заражениях. Помогайте.

Только не пустословьте здесь.

Действовать нужно по всем направлениям. И общение с правоохранительными органами - немаловажное направление.

Я спрашиваю о предотвращении заражений, а не о решении проблем постфактум.

Если это все, что вы можете сейчас предложить пользователям, то не очень впечатляет, честное слово.

действительно, все ударились в подсчеты заражений, а о сути проблемы как-то забыли - почему эта зараза так легко ставится на ПК в обход АВ?

Да проблема-то большей частью наблюдается у Др.Веб, наверное поэтому предпочитают напирать на призывы к властям, а не на собственные технологии. Жаль.

У других вендоров в борьбе с этой заразой ХИПСЫ и т.п. помогает, даже у Нода, и то эвристика часто на новые Винлоки срабатывает, а от Др.Веб

только призывы и слышатся. Неужели никакого честолюбия не осталось? Где же ваша эвристика, Ориджины, хоть что-нибудь?

Почему не видно результатов работы по предотвращению заражений пользователей еще не известными Винлоками?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

in4stor

Потому что не стали особо изобретать велосипед, и вполне возможно затачивалось это дело под конкретных вендоров....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Я спрашиваю о предотвращении заражений, а не о решении проблем постфактум.

Если это все, что вы можете сейчас предложить пользователям, то не очень впечатляет, честное слово.

Проблема решается по нескольким направлениям. Жаль, что некоторые вендоры заявляют о проблеме, а некоторые говорят, что проблемы нет. Кто поступает лучше?

Да проблема-то большей частью наблюдается у Др.Веб, наверное поэтому предпочитают напирать на призывы к властям, а не на собственные технологии.

Не понял, из чего следует, что проблема наблюдается только у Dr.Web. Потому что остальные её замалчивают?

Зачем тогда новость от ЛК, помогающая пострадавшим пользователям? Зачем у них страница с формой для разблокировки?

Как-то непонятно.

У других вендоров в борьбе с этой заразой ХИПСЫ и т.п. помогает, даже у Нода, и то эвристика часто на новые Винлоки срабатывает

Срабатывает иногда, весьма редко. Интересно узнать статистику, на каком проценте. У нас тоже бывают и origin'ы, и эвристика. Но слишком быстро появляются новые типы Винлоков. Плюс часто меняются пакеры.

По данным «Вымпелкома», в 2008 г. от sms-мошенничества пострадали 10 млн российских абонентов, говорит Корнеева, а около 1,5% обращений в центр поддержки «Вымпелкома» были жалобами на мошенников.По оценке партнера AC&M-Consulting Оксаны Панкратовой, объем мошенничества в мобильных сетях в 2009 г. составлял не более 15% выручки от микроплатежей, которая, по ее оценкам, была на уровне $350 млн, т. е. мошенники заработали примерно $50 млн.

http://www.vedomosti.ru/newspaper/article/2010/01/26/223770

И это 2008-ый и 2009-ый год. А, как я уже говорил, в декабре 2009-го и в январе 2010 ситуация существенно ухудшилась. Здесь вполне можно ориентироваться на приведённые мной коэффициенты. Думайте, господа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
in4stor

а Symantec под каким именем его определяет? Нашел инфу за осень прошлого года - там пишут, что это Trojan.Ransomlock.C

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
У нас тоже бывают и origin'ы, и эвристика. Но слишком быстро появляются новые типы Винлоков. Плюс часто меняются пакеры.

FLY-CODE не такой уж и универсальный?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Проблема решается по нескольким направлениям. Жаль, что некоторые вендоры заявляют о проблеме, а некоторые говорят, что проблемы нет. Кто поступает лучше?

Кто говорит, что проблемы нет? Я говорю, что ваши миллионы не обоснованы и это вчера мы и обсуждали.

По данным «Вымпелкома», в 2008 г. от sms-мошенничества пострадали 10 млн российских абонентов, говорит Корнеева, а около 1,5% обращений в центр поддержки «Вымпелкома» были жалобами на мошенников.

Валера, sms-мошенничество - это не только локеры. Это еще и dating, gsm-локаторы, sms-ридеры, полные версии фильмов и так далее. Не надо с больной головы на здоровую перекладывать и притягивать "миллионы" за уши.

действительно, все ударились в подсчеты заражений, а о сути проблемы как-то забыли - почему эта зараза так легко ставится на ПК в обход АВ?

И какие продукты каких вендоров вы проверяли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Валера, sms-мошенничество - это не только локеры.

Вячеслав, но количество локеров с ноября возросло в 22 раза.

Всё новые и новые подтверждения наших цифр.

Были миллионы пострадавших от SMS-мошенничества в общем.

Сейчас в частности от винлоков.

gsm-локаторы, sms-ридеры, полные версии фильмов

С таких сайтов сейчас тоже локеры качаются. И Fakealert'ы тоже пошли для англоязычной аудитории.

FLY-CODE не такой уж и универсальный?

Абсолютно универсальных решений нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

На данный момент не Касперский, не Веб не справляются с Winlock.

Вот несколько характерных примеров:

http://virusinfo.info/showthread.php?t=68733

http://virusinfo.info/showthread.php?t=68416

http://virusinfo.info/showthread.php?t=68543

таких примеров можно привести массу посмотрев раздел http://virusinfo.info/forumdisplay.php?f=46

Писатели Winlock опережают антивирусных вендоров не на шаг, а на километр <_<

И пока на вопрос, что поможет предохраниться от вымогателей, ответ на мой взгляд - это "старый добрый бэкап" но ни как не антивирус. Кстати, ни один антивирус не удаляет полностью даже известный Winlock. Всегда остаются хвосты - неработающие программы, потеря интернета и т.д. Единственное, что пока получается у антивирусных вендоров, это помощь в подборке кодов, да и то не всегда

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Писатели Winlock опережают антивирусных вендоров не на шаг, а на километр

А так всегда и было и это нормально, антивирус не может бежать впереди поровоза и даже вровень :) Просто winlock-и не дают обычному пользователю спокойно смотреть любимые короткометражные фильмы в зараженной чем попало системе, отсюда "миллионы зараженных" и даже некоторая истерия на почве этих смешных трояньчиков, которые можно уже зачищать с закрытыми глазами на время :)

старый добрый бэкап

Это да, тому же бесплатному ERUNT-у уже сколько лет? А кто из юзврей про него знает? :)

Разработчикам антивирусов изначально надо было продумать схему борьбы с неизвестным активным заражением, хотя бы таким простым как winlock... но вот только думать они действительно не хотят, видимо проще продолжать лелеять свою статичную защиту и соотв. крайне уязвимую защиту (хотя какая защита... антивирусы даже себя защитить не могут) или обзывать ее красивыми словами например проактивной, конечно же получать медали и награды XXX 100% и... раз за разом сливать каким-то студентам пакующим очередной винлок собранный на коленке, смешно. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Просто winlock-и не дают обычному пользователю спокойно смотреть любимые короткометражные фильмы в зараженной чем попало системе, отсюда "миллионы зараженных"

Мысль ускользает.

которые можно уже зачищать с закрытыми глазами на время smile.gif

Ой ли? Сможете написать инструкцию по удалению для простого пользователя для свежих экземпляров, если код разблокировки неизвестен? Сколько будет пунктов?

хотя бы таким простым как winlock

Расскажите по порядку, что именно просто.

антивирусы даже себя защитить не могут

Боже, ну глупость на глупости.

обзывать ее красивыми словами например проактивной

Не все это слово используют в рекламе ;)

конечно же получать медали и награды XXX 100%

И кто-то не хочет получать ;)

раз за разом сливать каким-то студентам пакующим очередной винлок собранный на коленке, смешно. smile.gif

Так разработайте ж лучше! И пользователи будут благодарны. Бла-бла-бла сплошное.

Спасибо за мнение, мы его учтём в дальнейшей работе :rolleyes:

sda, непонятно, Вы с цифрами, которые обсуждаются, согласны или просто так, поговорить о проблеме зашли? :)

Когда антивирус решал проблему вирусов на 100%? К этому можно лишь стремиться. Если включать голову, то вероятность заражения ниже, чем если не включать.

В последнем случае с любым антивирусом можно заполучить в систему всё, что угодно.

Основная проблема - не в антивирусных компаниях, а в низкой грамотности пользователей.

Покупают компьютер, выходят в инет - хватают - звонят, умоляют помочь.

Пока не будут со школы учить, что можно делать и что нельзя - авторы сделанных на коленке Винлоков (или подставьте другое название, которое потом придумают) будут побеждать.

Мы обучаем в данный момент партнёров основным принципам противодействия актуальным угрозам, чтобы они передавали эту информацию пользователям. Остальное всё снова бла-бла-бла.

Предложили бы чего лучше :)

ответ на мой взгляд - это "старый добрый бэкап"

Реклама антивирусов со встроенным бэкапом? :)

Не всегда применим, не всегда удобен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grex
В последнем случае с любым антивирусом можно заполучить в систему всё, что угодно.

Не с любым, а в основном с тем, который представляет из себя "классический" антивирус- т.е. просто антивирус, и больше ничего.

В тех продуктах, в которых есть дополнительный функционал- ХИПС, блокираторы, и т.п. шансы заполучить заражение

гораздо меньше. Конечно, не всегда с дефолтными настройками, иногда нужно кое-что подкручивать, но тем не менее

такая возможность есть- в отличие от "просто антивирусов", в которых подкручивать нечего.

Эвристика не сработала (а она как видно и не срабатывает) и все, заражение. Так что не надо обобщать- если нет

нужного функционала, это не значит что его нет у всех, поэтому не надо писать "с любым антивирусом можно заполучить в систему всё, что угодно".

Основная проблема - не в антивирусных компаниях, а в низкой грамотности пользователей.

Извините, но на кой черт тогда нужны антивирусные компании, если в дополнение к их продуктам пользователи

еще и обязаны быть грамотными? Пользователи за то и платят, что бы проблема грамотности была проблемой АВ компаний.

Антивирусы нужны в основном обычным пользователям, а не специалистам по безопасности.

А если не справляетесь, то тогда и нужно писать большими буквами на официальных сайтах-

"шансы не заразиться с нашим антивирусом 50/50",

"гарантировать вообще ничего не можем, т.к. от чего-то защищаем, от чего-то частично защищаем, от чего-то вообще защитить

никак не можем",

"вы обязаны быть профессионалом и защищать себя сами, тогда, возможно, наш антивирус от чего-то даже и защитит",

"если мы технологически не в состоянии с чем-то бороться, то все претензии правоохранительным органам",

"и вообще- пишите письма Президенту".

Классная позиция- просто слов нет!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×