Перейти к содержанию
AM_Bot

Вирус-вымогатель CryptoBot сдаёт своих жертв через Twitter

Recommended Posts

AM_Bot

1397138[1].jpgВирусы-вымогатели, которые шифруют файлы пользователей, требуя денег за расшифровку, терроризируют Интернет уже не первый год. Однако в нынешнем октябре они разбушевались не на шутку – очевидно, совершив новый эволюционный скачок в области автоматизации.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Интересно, а кроме-как резервных копий можно-ли как-то защитится от таких угроз ?

Кто-нить знает какие механизмы сейчас у АВ для защиты от криптолокеров...

У доктора веба как понимаю только механизм создания резервных копий и всё ?

Что предлагают другие решения, давно просто уже не тестил другие продукты, уже вышли новые версии 2015, в старых особо ничего и не было, появились-ли какие-то может новые технологие для защиты от таких типов вирусов ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

У каспера есть технология отката, см. последнюю версию.

Детект хороший на шифровальщиков как ни станно у Agnitum.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kalibra666
У каспера есть технология отката, см. последнюю версию.

Улучшенная функция мониторинга активности теперь не просто анализирует все процессы, происходящие в операционной системе, но также в автоматическом режиме создает резервные копии файлов, которые имели контакт с подозрительной программой. В случае если информация все же претерпела какие-либо вредоносные изменения, продукт автоматически восстановит резервную копию файла.

Выделим слово "если", т.е. в противном случае если программа автоматически не примет решения о вредоностности изменений, то и соответственно не поможет ничем. Кроме того при выходе из Касперского (а это может быть и простая перезагрузка компьютера по причине например зависания от какого то вредоностного процесса) - резервные копии сделаные Касперским 2015 автоматически удаляются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×