Крипто-вируси /ransomware/

[MitkoS]

Ей така изглеждат автоматичните "стари" версии на документ, когато е включено File History при Win 10. Все едно е познатото System Restore още от XP, но не само за системни файлове, а и за най-обикновени документи (на картинката документите са на дестопа). При Windows-сървърите това го има вградено още от Win2003 и е ценно да се ползва при шернати папки и инцидентно повреждане/изтриване на файл/документ в тия папки.
А при десктоп машините се появи при Win8.1 .

В случай, че пострадате от крипто-вирус, то трябва да направите Open или Restore на някоя от Previous Versions (както са бутоните на картинката), само че на ниво папка. По-нагоре FearMe написа, че сегашните варианти на крипто вирусите изключват System Restore и е възможно тези Previous Versions да изчезнат. Но това не значи непременно, че са изтрити, има добре описани техники за "бърникане" по System Restore и старите версии, дори когато System Restore е бил изключен и изглежда, че няма стари версии.

[Jack Krauser]

Точно по рано писах как става заразата обикновено по мейла идва писъмце - може и от собствени ти адрес да е - уордовски файл с макрос обикновено зипнат. Когато стартираш и се изпълни макроса се инжектира самия вирус и се стартира. Визуално се вижда отворен празен уордски файл... Ако обаче са ти забранени макросите - не се изпълнява макроса!
Нали това е от моя личен опит и тестче което правих по рано...Естествено може варианти много подобни да има за да пуснеш духа от бутилката...
Самия макрос не можах да му видя кода щото е защитен с парола...

Много е рисково положението с тези макроси добре, че ни предупреди. А гадните хакери с крипто-вирусите, по много подъл начин се възползват от наивността и доверчивостта на хората. Ще си намерят и те майстора, рано или късно.
Аз използвам Libre Office и сега погледнах как са настроени макросите при мен. Зададена е висока(предпоследна) степен на сигурност - могат да се стартират само подписани макроси от надеждни източници, което е много добре. Всички останали са блокирани.

Днес пробвах за тест, да си изпратя през gmail писмо с прикрепени към него потенциално опасни файлове(exe, js, rar), да видя какво ще стане, но gmail веднага ми извади предупреждение за потенциална опасност и отказа да изпрати писмото.
Но с тия макроси е наистина много подъл номер. Най-добре е да са изключени, за да няма неприятни изненади.

[blue1]

Обяснете моля на простоцарски от къде да си настроим макросите ? Аз съм с уйн 10. Благодаря!


P.S. Намерих в офиса настройка на макроси в центъра за сигурност и го направих на - Забрани всички макроси с уведомяване. Това ще върши ли работа?

[Jack Krauser]

Да, ще върши работа. На Libre Office се настройват от тук:

[VanDan]

Има варианти, при които въобще не са замесени макроси, а "прихващането" става само с "посещение" на сайт със заразен флаш примерно или javascript.

[Jack Krauser]

Изобщо не вярвам. Ако беше така, аз щях поне десет пъти да се заразя до сега. Джаваскрипта и флаша са ми пуснати постоянно, браузвам навсякъде и нямам антивирусна.
Джавскрипт в браузъра е с много ограничени права и е невъзможно да стартира приложение в Уиндоус. Файловете на флаша с разширение .flv също са напълно безопасни за операционната система. Ако човек само браузва в интернет е невъзможно вируса да го зарази нито през флаш, нито през джаваскрипт. Убеден съм.

В повечето случаи заразяването става по вина на потребителя, когато почне да сваля разни файлове и не обръща внимание какво точно сваля. Криптовирусите са маскирани с подходящи иконки да заблуждават и имената им са примерно така:
document1.pdf.exe, video.mkv.exe, music.mp3.exe, iconpack.ico.exe.
В бързината повечето не обръщат внимание какво теглят и се лъжат лесно. Но даже и да изтеглим през браузъра криптовирус, в Уиндоус ще светнат поне 2-3 предупреждения, ако се опитаме да го стартираме директно - първо предупреждение в браузъра за опасни файлове, след това UAC и последното предупреждение от нет фреймуърк. Потребителя ги игнорира всичките и накрая сам си инсталира вируса.

Вината за заразяването е изцяло заради малоумното поведение на потребителите, които цъкат където им падне и изобщо не гледат, и не обръщат внимание на предупрежденията. На такива каквато и защити да им сложиш, дори Бил Гейтс да седи до тях, пак ще се заразят.

[justify]

И аз 13 и половина години не бях успешно атакуван от вирус и си мислех, че няма вече вируси, но се оказа друго завършващо накрая на файла с ".мп3" и изтриване на всички точки за възстановяване ...

Вируса се инсталира на C директорията и "дълбае" докато ти си оставил компа, или правиш нещо на него.Дълбае с часове, дни и месеци ако е необходимо.Изчаква удобният момент.На практика е зловреден код който се инсталира на C устройството и който дори е трудно да бъде засечен от антивирусна.При мен след като се активира, дори Windows defender offline не успя да го елиминира след като провери и целият компютър офф лайн.Рестратира компа и отново не успя да го елиминира.

Не бъди толкова убеден, че на теб няма да се случи.Не се знае.

Може просто да пишеш някакъв документ и докато кликаш по папките да отовориш нещо което ти трябва да "изникне" искане за разрешение за отваряне не уиндоус програма.Дори няма да разбереш каквто точно се случва.ще си мислиш че стартираш някъв ъпдейт или друга програма за проверка на уиндоус за зловреден код или друга програма, а ще ти сервират кодирани файлове...

Застраховани и гаранция няма ...

[lazarus18]

Много "хитро" бяха подходили към Apple. Бяха хакнали сайта на Transmission и всички, които свалят торент клиента им се лепва вируса.