Еще один троянец-вымогатель - теперь в MBR - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
Danilka

Еще один троянец-вымогатель - теперь в MBR

Автор Danilka, в Общий форум по информационной безопасности

Recommended Posts

demkd    638

demkd
Опубликовано

Ну вот теперь осталось дождаться перешивок биоса. Чтоб вымогал $$ сразу после POST-а :D Хотя можно и проще блокировать загрузку с диска.... кстати интересно как там дела у касперского с их запатентованным аппаратным антивирусом :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

ntoskrnl    155

ntoskrnl
Опубликовано
считает значение и сравнивает его с хэшем размером в 2 байта:

.......

К счастью, жесткий диск или файлы не шифруются

.......

Оригинальная главная загрузочная запись сохраняется в четвертом секторе жесткого диска вместе с маркером зловреда

Да это разве "Охренеть" :) Опять школьники балуются. :) Вот чего с Gpcode.ax делать?...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

sww    486

sww
Опубликовано
кстати интересно как там дела у касперского с их запатентованным аппаратным антивирусом :)

Для того, чтобы вылечить это аппаратный антивирус не нужен. Старый-добрый fixmbr.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    638

demkd
Опубликовано
Для того, чтобы вылечить это аппаратный антивирус не нужен. Старый-добрый fixmbr.

Это как бы в консоль еще попасть нужно, что... несколько затруднено в данном случае, я лично предпочитаю мелкософтовский bootsect.exe. А про аппаратный антивирус просто вспомнилось глядя на черный скриншот, даже не знаю почему :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

sww    486

sww
Опубликовано
Это как бы в консоль еще попасть нужно, что... несколько затруднено в данном случае, я лично предпочитаю мелкософтовский bootsect.exe. А про аппаратный антивирус просто вспомнилось глядя на черный скриншот, даже не знаю почему :)

Не вижу сложностей загрузиться с Windows Repair.

Как выяснилось данный локер не оставляет таблицу разделов (она сохранена лишь в копии MBR), поэтому fixmbr не поможет.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

DiabloNova    175

DiabloNova
Опубликовано

Кидисы дорвались до мбр ха.

Ну вот теперь осталось дождаться перешивок биоса. Чтоб вымогал $$ сразу после POST-а

Долго же еще ждать с такими то буткитами и их установщиками. Бедная офикла.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      По мелочи: 1) В меню: Тесты > Тест на АКТИВНЫЕ файловые вирусы
      Так вот, если просто закрыть окно по Esc ( не нажимая ОК ) программа всё равно начнёт поиск... 2) В меню: Файл > Восстановить реестр.
      Пример из лога:
      Выполнено за 1,423 сек.
      Указанный каталог не содержит полной и доступной для чтения копии реестра.
      ----
      Выполнено за 1,423 сек. Что выполнено ?
      Как-то совсем нехорошо звучит. Не нужно так пугать.  :)
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       5.0.5
      ---------------------------------------------------------
       o Исправлена ошибка в функции "Отобразить цепочку запуска процесса" в окне Истории процессов и задач.
         Функция могла зациклиться на конечном процессе цепочки, что приводило к подвисанию uVS.

       o Исправлена ошибка в функции проверки переменных окружения при работе с неактивной системой.

       o В лог добавлен вывод состояния флагов защиты uVS.

       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Ага, есть такое, исправлю. При включенном отслеживании или наличии драйвера данные оттуда не берутся, во всех версиях uVS. Такого не наблюдаю.
         
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Что там будет с историей процессов и задач при работе с активной системой, трудно сказать, это же надо на своей системе (или VM) включать отслеживание. С отслеживанием в основном работаем с образами. Тема так и называется  "создать образ автозапуска с отслеживанием процессов и задач".
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      https://disk.yandex.ru/i/JPJDtV0H4P6Hjg
×