Зловред удаляет файлы раз в час и при попытках перезагрузить ПК



Зловредных программ, угрожающих сохранности данных пользователя, становится все больше. Не успели решить проблему с криптовымогателем Petya, шифрующим жесткий диск пользователя вместо отдельных файлов, как появилось еще одно ransomware — криптовымогатель Jigsaw. Это ПО не просто шифрует файлы пользователя и требует выкуп за их дешифровку. Каждые 60 минут удаляется один файл пользователя, также данные уничтожаются вымогателем и при попытке перезагрузить ПК. Через некоторое время ежечасная «экзекуция» затрагивает уже не один, а больше файлов. При перезагрузке же удаляется не один и не два файла, а сразу тысяча.

Все это очень сильно действует на пользователя, и тот, в большинстве случаев, предпочитает заплатить. При этом на экране выдается инструкция о том, сколько нужно заплатить (биткоин-эквивалент $150) и где можно взять биткоины для оплаты «выкупа». Уже страшно? В общем-то, все это может подействовать и на технически подготовленного пользователя… Но выход есть — как и в случае с Petya, нашлись пользователи, которые научились обезвреживать ransomware. Теперь эти пользователи делятся опытом с другими.

Что делать?

Благодаря анализу, проведенному пользователями Твиттера MalwareHunterTeam?, DemonSlay335?, и BleepinComputer, найден способ обезвреживания ПО. Выпущен дешифровщик, который может расшифровывать файлы, затронутые Jigsaw.

Изначально необходимо завершить процессы firefox.exe и drpbx.exe в диспетчере задач. Это позволит избежать удаления файлов. Затем запускаем MSConfig и останавливаем процесс firefox.exe, который расположен в %UserProfile%\AppData\Roaming\Frfx\firefox.exe. Далее дешифруем файлы при помощи этой программы.

Все довольно просто:

Jigsaw Decrypter

Если нужно расшифровать все файлы на диске, выбираем не папку, а корень диска, и нажимаем на «Decrypt my files».

Decryption Finished

А дальше — дальше запускаем антивирусное ПО с новыми базами, и проверяем ПК.



Технические детали Jigsaw

После того, как зловред попадает на компьютер пользователя, он начинает искать файлы с определенным расширением, и шифрует их с AES-шифрованием. Родные расширения заменяются на .FUN, .KKK, или .BTC.

Шифруются вот такие файлы:
.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR, .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby, .1pa, .Qpd, .Txt, .Set, .Iif, .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4,, .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar


Их список размещается в %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt. Биткоин адрес сохраняется в файле %UserProfile%\AppData\Roaming\System32Work\Address.txt.

Файлы, связанные с этим зловредом:

%UserProfile%\AppData\Roaming\Frfx\
%UserProfile%\AppData\Roaming\Frfx\firefox.exe
%UserProfile%\AppData\Local\Drpbx\
%UserProfile%\AppData\Local\Drpbx\drpbx.exe
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\Address.txt
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt


Наконец, элементы реестра:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe %UserProfile%\AppData\Roaming\Frfx\firefox.exe

Как видим, шифровальщик не самый опасный, но задумка, конечно, сильная. Если будущие версии криптовымогателя будут защищены лучше, справиться с Jigsaw будет куда как сложнее.

Комментарии (68)


  1. Zolg
    13.04.2016 13:33

    Интересно, какая добрая сила удерживает авторов многих файлошифровщиков от использования ассиметричной криптографии?


    1. python273
      13.04.2016 13:43
      +1

      Никакая, ее уже используют.


      1. Zolg
        13.04.2016 13:52

        То, что ее используют совершенно не удивительно. Удивительно, что ее используют не все.


        1. postgree
          13.04.2016 18:12

          Необходимо иметь хост, на который будут сливаться ключи. Если шифровать одним, то или подберут ключ, или найдут способ выкрасть. Поэтому «умные» шифровальщики либо генерят пару для каждой инфицированной системы, либо получают открытый ключ с сервера. Так делают умные и неленивые. Глупые или ленивые используют симметричное шифрование, потому что все равно получать профиты.


          1. Zolg
            13.04.2016 18:31
            +2

            > Необходимо иметь хост, на который будут сливаться ключи.
            разве что для удобства «пользователя»

            > Если шифровать одним, то или подберут ключ
            Лично мне неизвестны подтвержденные случаи факторизации даже старой доброй RSA 2048.

            > выкрасть
            выкрасть закрытый ключ с подконтрольного злоумышленнику (и неизвестного широкой общественности) хоста задача на несколько порядков затруднительней, чем вытащить ключ (симметричного шифрования) вшитый в бинарник криптора.

            > Глупые или ленивые
            Очень похоже на объяснение феномена, однако масштаб глупости и ленности поражает.


    1. OldFisher
      13.04.2016 13:46

      Эта добрая сила удерживает далеко не всех авторов, но к счастью, она пока что предотвращает появление шифровальщиков с более опасными способами проникновения, чем вложение в e-mail.


    1. KonstantinSpb
      13.04.2016 14:02

      Ассиметричное шифрование — ресурсоемкое, поэтому им шифруют ключи симметричного, или незначительные по размеру данные.


      1. Zolg
        13.04.2016 14:57

        Спасибо, Кэп!
        А каким образом это его использовать (для шифрования ключей симметричного, которым зашифрованы файлы) не дает?


        1. Xaliuss
          13.04.2016 19:19
          +1

          Уже есть достаточно локеров, которые используют такой механизм. Если нет ошибки в реализации (которые где-то оставляют следы симметричного ключа или даже секретного )асимметричного в коде, то расшифровать без оплаты невозможно. Недавно так больница в Америке попала.


      1. rkfg
        13.04.2016 18:32

        Кроме ресурсоёмкости есть ещё интересные особенности. За все алгоритмы не поручусь, но в RSA размер шифруемых данных не должен превышать длину ключа. Ключ — это модуль, по которому берётся результат возведения в степень шифруемых данных, степень чаще всего одна и та же, 65537. Понятно, что если модуль равен n, то получаемые шифрованные (и расшифрованные же) значения будут лежать в диапазоне от 0 до n-1, в битах же можно подстраховаться и ограничить значения до 2^(m-1), где m = log2(n). Если взять слишком большое шифруемое значение, большее n, то расшифровка станет попросту невозможна, получится мусор. Если же шифруемое число слишком маленькое, его необходимо «добить» до этого 2^(m-1), иначе простой перебор может сломать всю схему. Правила выравнивания (padding) тоже описываются в стандартах.

        Алгоритм ГОСТ 34.10-2012 (на эллиптических кривых) из OpenSSL вообще режет данные до 256 бит принудительно, в документации говорится, что шифрование предназначено исключительно для сессионных ключей, которые, сюрприз-сюрприз, в симметричном алгоритме именно 256 бит длиной. ЭЦП, впрочем, может быть 256 или 512 бит. Не знаю, особенность реализации это или самого алгоритма, он для моего понимания слишком сложен, в отличие от RSA, так что не разбирался.

        Смысл всего написанного выше в том, что криптографы не зря категорически не рекомендуют реализовывать алгоритмы самостоятельно. Даже если всё сделано верно, создать побочные каналы утечки данных (выравнивание, генерация ключей, некоторые не строго определённые параметры типа экспоненты и т.д.) можно очень просто, если не знать досконально всех особенностей этих алгоритмов. И уже неоднократно этим пользовались аналитики из антивирусных компаний, чтобы сделать генераторы ключей и декрипторы, хотя, казалось бы, сами алгоритмы выглядят непробиваемыми, с длиннющими ключами и страшными картинками на весь экран.


  1. br0x
    13.04.2016 15:49

    А зачем вообще шифровать, если можно просто удалять и прописывать нулями? Все равно ведь пипл заплатит через какое-то время


    1. masai
      13.04.2016 16:09

      Если просто удалять по одному, то пользователь может выключить компьютер и подключив диск к другому компьютеру вытащить данные.


      1. GoldGoblin
        13.04.2016 16:43

        Имеется ввиду затереть сразу все файлы а написать что они зашифрованы. br0x Вы злодей :)


        1. alexws54tk
          13.04.2016 17:16

          <сарказм>
          А как ещё «бороться» с пользователями игровой прошифки и наполнения для неё версиями „Торрент эдишн“?
          </сарказм>


          1. EvgeniD
            14.04.2016 12:56

            Вшить в видеокарты ATI/Nvidia частоты, не позволяющие играть в 3D?
            А требование выкупа зашить в заставку при запуске (некоторые биосы/редакторы точно позволяли это)
            В случае с Intel — патчим uefi, может быть там кое-что интересное…
            Забыл название технологии, суть: windows запускает бинарник, вшитый в uefi…



      1. 0x131315
        13.04.2016 18:33

        Ничто не мешает это сделать и при шифровании — процесс шифрования занимает около недели. И лишь когда весь список будет обработан — выскакивает сообщение, вирь вылазит из тьмы и просит денег.
        Профилактика вполне эффективна — стоит лишь контролировать ресурсы своей системы, и отлавливать тех, кто ими пользуется без спроса. Так можно поймать вирь на раннем этапе, и не потерять слишком много информации — вирь вынужден шифровать кучу мусора, т.к. не в состоянии идентифицировать важные данные.


    1. tmin10
      13.04.2016 17:16
      +2

      Корпоративная этика: если все вирусы после оплаты будут восстанавливать файлы, то им продолжат платить. А если никто ничего восстанавливать не будет, то платить никто просто не будет, т.к. файлов никак не вернуть.


      1. br0x
        13.04.2016 17:33

        Да, в этом есть смысл. Пираты, живущие по кодексу чести)


        1. tmin10
          13.04.2016 17:46
          +2

          Приходится, иначе им не будет доверия… Хотя напрашивается жестокая идея, как лишить их бизнеса: сделать несколько атак таких же локеров, которые стирают файлы и требуют деньги, ничего не восстанавливая и ещё и издеваясь над заплатившими. Тогда процент платящих будет намного ниже и бизнес перестанет быть рентабельным для всех. К сожалению, для этого должны пострадать очень много юзеров, что неприемлемо.


          1. stalinets
            13.04.2016 20:07
            +3

            Идея хорошая. Те, кто борется с киберпреступностью, могли бы развить её и реализовать. Реальных жертв можно было бы заменить на подставных, развернув информационную кампанию, чтоб везде появлялись статьи про массовые вирусы-вымогатели, ничего не дешифрующие после оплаты. Это ударило бы по доходам вирусописателей, но до конца всё равно не победило бы.


        1. kprohorow
          13.04.2016 23:05

          Совершенно верно. Честность это самый дорогой товар в мире, даже в криминальном. Кидал и отморозков никто не любит.


      1. MTyrz
        14.04.2016 05:01

        Помнится, в эпоху винлокеров примерно один из десяти возвращал какой-нибудь код разблокировки. Ко мне тогда довольно много народу обращалось со словами «я им заплатил, как просили, для надежности два раза, а они...»


  1. Alexey2005
    13.04.2016 17:37

    Ох и сильно же этот вымогатель воздействует на пользователя! До такой степени, что юзер, потея от ужаса, беспомощно наблюдает, как улетают его файлы, но при этом даже не помышляет о том, чтоб вырубить комп.


  1. aquamakc
    13.04.2016 18:33
    +1

    Значок приложения уж больно смахивает на дефолтный у WinForms из Visual Studio


  1. nonand
    13.04.2016 18:33

    Как видно про mkv и flac этот шифровальщик не знает. Кстати можно все важные для себя расширения переименовать, например doc>doc1, на работоспособность используемого их софта скорее всего не повлияет, а от шифровальщиков защитит. Можно даже батник написать и в планировщик закинуть, который будет это делать периодически автоматом. Правда еще вопрос проверяется ли только первое вхождение, тогда лучше что-то вроде doc>dc1.

    До чего все-таки страшные стали зловреды, раньше подцепишь трояна, ну пароли уведет, поменяешь потом, спам будет рассылать, а теперь все ценное портят. Бэкапы, конечно, спасут, но их еще надо своевременно делать.


    1. Alexey2005
      13.04.2016 18:54

      Те бэкапы, которые делает среднестатистический пользователь, зачастую бессильны против таких троянов. Потому что если бэкап делается простым копированием на внешний диск, то троян зашифрует и его тоже.
      А если в облако, то облако вполне может успеть синхронизироваться с зашифрованным диском.


      1. Meklon
        13.04.2016 21:02
        +1

        Только облака нормальные имеют версионирование


        1. bgBrother
          14.04.2016 09:02

          Стоит заметить, что в некоторых из них, при достижении лимита в объеме, вся корзина с разными версиями файлов затирается. Так сделано, например, в Mega.


          1. Meklon
            14.04.2016 13:59

            У меня свой Owncloud)


      1. Amando
        13.04.2016 23:05
        +1

        Изменяется имя файла, то есть в конце добавляется расширение другое, значит файлы в облаке останутся прежние.


      1. fpir
        14.04.2016 13:45

        В описании каждого нового шифровальщика, с замиранием сердца ищу расширение .TIB.
        Пока не видел.


        1. Meklon
          14.04.2016 16:22

          А на отдельный раздел? Acronis вполне так делает. У обычного пользователя не туда доступа.


          1. fpir
            14.04.2016 16:25

            Более того, на отдельный сервер, под учёткой службы акрониса, но мало-ли)


            1. Meklon
              14.04.2016 16:29

              Я давно уполз с Windows, но Acronis вполне приятен был в работе. У меня где-то бесплатный ключ бонусом от SSD достался.


          1. fpir
            14.04.2016 16:34

            Вернее уязвимость есть.
            Бухи заходят на сервер RemoveApp под админскими учётками. Без этого никак. И хотя сами они сидят под пользовательскими и это, физически, другой сервер всё-ж у них есть доступ с админскими правами. Надо, наверное, вывести backup-сервер из AD


      1. Jokerzp
        18.04.2016 10:37

        Буквально недавно компания Veeam представила интересную новую функцию в своем продукте по созданию бэкапов, направленную на противодействие криптолокерам. При использовании USB-устройств для хранения бэкапов можно настроить автоматическое отсоединение съемного устройства после завершения резервного копирования (Eject removable storage once backup is completed).
        Считаю эту функцию весьма актуальной, в связи с участившимися всплесками активности криптолокеров.


    1. Barafu
      13.04.2016 19:06
      +1

      Вообще-то зловреды с этого начинали — показать картинку и форматнуть винт или БИОС. Потом уже начались ботнеты и пароли. Развитие пошло по спирали.
      Защищаться от шифровальщиков надо не этими бабушкиными способами, а нормальной политикой безопасности системы, когда, если скачал экзешник, то, чтобы его запустить, нужно пару раз явно подтвердить, что ты этого хочешь. А если и запустил, то это не даёт софту по умолчанию право править ядро, ставить драйверы или лезть в файлы другого пользователя.
      У меня есть сервачок-файлопомойка, так там есть shadow-копии всех ценных файлов. И копии с этого сервака никак нельзя удалить (заблокированы команды работы с ФС) и диск нельзя форматнуть (заблокирован низкоуровневый доступ) и в ядро нельзя встроиться (цифровая подпись). Вот там вообще ни один зловред ничего не испортит, в худшем случае зафлудит пустое место.
      Но народу, видите ли, неудобно, когда ты скачал exe-шник а ещё надо разрешения ему выдавать, народ, видите ли, пугается вопросов UAC и отключает его нафиг целиком. А потом возмущаются, чего мол, так много троянов…


      1. impetus
        14.04.2016 00:14
        +1

        уже объясняли — от гос.органов ходят экселевские фалы со скриптами — без них там каша. Соотв когда с похожего на ЦБ адреса приходит заскриптованный файл — «новые положения обмена валюты для банков (вступают в действие с понедельника).doc» — как должен поступить финдир в пятницу вечером? Особенно если админ и безопасник уже свалили…


        1. kasperos
          14.04.2016 07:21

          «новые положения обмена валюты для банков (вступают в действие с понедельника).doc                                   .exe» -же


          1. kprohorow
            14.04.2016 11:41

            На грамотно настроенном сервере письма с таким файлом во вложении не будут доставлены. Ключевое слово: «грамотно».


            1. kasperos
              14.04.2016 12:04

              В грамотно построенной операционной системе

              Ключевое слово: «грамотно».

              Такой или иной экзешник, полученный по почте или через флешку, никогда не получит прав доступа к документам пользователя и тем более к «0 кольцу» системы. Почта изначально задумывалась как средство передачи текстовых сообщений (кому, тема, «Приветы»). Это уже позже придумали как файлы цеплять. С заражением нужно бороться на уровне ОС, а не встраивать в «роутеры информации» средства анализа и контроля.


        1. Barafu
          15.04.2016 13:19

          А что, скрипты в Excel не sandbox-ятся нормально? Если нет — признать Excel программой-зловредом и запускать в виртуалке, с зарегулированным доступом к собственно документам.


    1. Oplkill
      13.04.2016 23:05

      Не такая и сложная задача вставить распознаватель реального формата файла


  1. N1ghtroad
    13.04.2016 19:43
    +1

    Новый виток борьбы canon vs nikon.
    .raw вирь шифрует, а о .nef не знает.


  1. vanyatwo
    13.04.2016 19:57
    -1

    Все эти вирусы — следствие поведения самих пользователей. Только императивный доступ!
    Расскажу на своем примере — работаю в ВУЗе. Все машины в моем поле зрения были поставлены на простую схему «Администратор» для меня, «Пользователь» для всех. Все необходимые программы (7zip, Sumatra и тд) ставятся заранее. Необходимо новое ПО — заявка и обоснование.


    1. impetus
      13.04.2016 20:51

      Все необходимые программы (7zip, Sumatra
      И не говорите — что вообще этим людишкам надо-то? — кирзачи, портянки — есть, перловки — навалом, плац покрашен, в строю песни поют — радуются… чего не хватает?


      1. vanyatwo
        13.04.2016 21:07

        Это вы из-за того, что «императивный» однокоренное с «империя»? :D

        А вообще, Autodesk пакет с серверной лицензией, OCR и профильный по кафедрам. Там хороший набор ПО, просто он весь записан был в изначальное ТЗ :)


        1. impetus
          13.04.2016 23:43
          -1

          А скрипты в автодесковых файлах вы тоже не даёте пользователям запускать?
          А поработать с тем же самым учебнымм файлом дома? (т.е воткнуть флешку) тоже?
          (я так понял что это ВУЗ и вы — препод (и привыкли всех считать идиотами строить)


          1. vanyatwo
            13.04.2016 23:49
            +1

            Тут у меня для вас два аргумента:
            • т.к. это лицензия, пакет постоянно обновляется;
            • из того, что я понял по поводу этих скриптов (до этого не слышал, в гугле первые ссылки по запросу autodesk script virus) — они влияют только на сам автокад. Это не проблема. Стерли машину => восстановили из слепка (на каждый комплект железа свой слепок, таких «локальных» парков не много, поэтому могу позволить) => подключили к серверу лицензий, через 5 минут работа продолжается.

            А вообще, опять же, не встречался со скриптами в принципе (сам за автокадом не работаю), поэтому не знаю как они себя ведут под обычным пользователем. Во всяком случае, никто еще не жаловался.


            1. impetus
              14.04.2016 00:04

              ок. т.е. об этом векторе атаки вы узнаете уже по факту.
              Вот и вся цена ваших императивов.
              Впрочем если ваши пользовтаели ценного контента не генерят и результатов их работы вам не жалко — то действительно пофигу. Соотв. ваш подход только для таких случаев и годен.


              1. vanyatwo
                14.04.2016 00:23
                +2

                Ну да, я из тех людей, что не могут знать всего на свете :)
                По поводу ценного контента — студенты и преподаватели являются пользователями. Их контент сводится к воспроизведению действий, указанных в методичке. Т.е. при потере данных никто особо не расстроится.
                Но опять же — за 3 с лишним года я ни разу не сталкивался. Столкнулся бы — и с этим что-то придумал. Пока такой необходимости не было.


                1. impetus
                  14.04.2016 00:49

                  Т.е. при потере данных никто особо не расстроится.
                  Завидую! (ушёл спать, напевая «если у вас нету данных — вам их не потерять»)


                  1. chaynick
                    14.04.2016 13:45

                    Вы это… Дайте вариант, при котором у вас будет гарантия полной защиты от угроз и потерь данных.


                    1. impetus
                      14.04.2016 14:03

                      Защита от трёхсотчасового гамма-всплеска в понятие «полная» входит?


                      1. chaynick
                        14.04.2016 14:05

                        Естественно! Причем по всей планете.

                        Вывод — что системы безопасности не нужны в принципе, так как ничего не гарантируют?


                        1. impetus
                          14.04.2016 15:39

                          Этот же вывод, но в «градациях серого»: вероятность события, умноженная на ущерб = цена вопроса.
                          Соотв (цена мероприятий по защите) / (цену вопроса) не должна превышать где-то 1.3 (те самые пресловутые 30% прибыльности, за которые капиталист готов пуститься во все тяжкие).
                          если цифра сильно отлоняется от этой в какую-либо строну — или кто-то кого-то на… или кто-то чего-то недопонимает, т.е сильно неоправданно рискует.


                          1. chaynick
                            14.04.2016 15:44

                            >И не говорите — что вообще этим людишкам надо-то? — кирзачи, портянки — есть, перловки — навалом, плац покрашен, в строю песни поют — радуются… чего не хватает?

                            Ну тогда чего к человеку цепляетесь? Решение достаточно надежное для своих денег, и не стоит изобретать «вирусы в скриптах автокада» — старый добрый аппаратный кейлоггер вполне справиться с утечкой данных.


    1. rkfg
      13.04.2016 21:28

      А как эти меры защитят от шифрования пользовательских файлов? Если сами пользователи имеют доступ к файлам, вирус точно так же сможет их менять. А запустить они его могут из почты, с флешки и т.д.


      1. vanyatwo
        13.04.2016 21:29

        Они его не могут запустить. Что Петя, что данный «фрукт», основную работу начинают только после запуска исполняемого. А обычный пользователь не может запустить неизвестный системе исполняемый файл.


        1. nonand
          14.04.2016 15:44

          А через уязвимости браузера шифровальщик может пролезть?
          Можно еще кстати запретить удаление/модификацию средствами NTFS, оставить доступ только на чтение.


          1. vanyatwo
            14.04.2016 15:58

            Конечно может. Тот же flash — решето еще то. Но! все программы запускаются с правами обычного пользователя. Сомневаюсь, что они могут чего-то серьезного сделать с системой (если вообще могут) посредством этих уязвимостей.
            Да и повторюсь — контент и его защита является проблемой самого пользователя, я в принципе не вижу достаточно прозрачной схемы контролировать контент для довольно широкого профиля его генерации (начиная документами и заканчивая чертежами).


    1. kasperos
      14.04.2016 07:26

      Такой подход для гуманитарки хорош, а как дела у программистов? Им тоже на каждый «скомпиленный экзешник» заявку писать?


      1. vanyatwo
        14.04.2016 15:59

        Не сталкивался с контролем машин для «низкоуровневой» разработки, но предполагаю, ограничение на IDE и пусть внутри ковыряются.
        На том же Visual Basic у нас отлично преподают и обучают. Конечно вопрос целесообразности изучения данного языка в принципе, но… как паттерны, могу предположить что будет полезным.


      1. streetflush
        15.04.2016 18:54

        Вот хорошая практика. Сто раз подумают, прежде чем пересобирать.


  1. qrck13
    13.04.2016 23:05
    +1

    Чего только не придумают люди, лишь бы не делать backup-ов.


  1. HuanCarlosPesto
    15.04.2016 19:07
    +1

    Мой вариант защиты:
    1. Архивы создаются автоматически (бесплатных программ море), только расширения архивов меняются на нетипичные. Например .dll или .drv
    2. В специальную скрытую папку закинута наживка в виде некоего ненужного файла типа «Договор.docx»
    3. На жестком диске создан дополнительный раздел, который отформатирован, но ему не присвоена буква.
    4. По расписанию запускается батник, который проверяет наличие файла наживки. Если файл на месте, то скорее всего «В Багдаде все спокойно» и можно запускать процедуру слива накопившихся архивов на скрытый раздел, предварительно разделу назначается буква (к примеру «W:»), после окончания слива раздел размонтируется (буква драйва удаляется).
    5. Если же файла на месте нет, или есть но другой, то «Алярм!», скорее всего в системе завелся шифровщик.
    Что используем: effector saver, synchredible, diskpart.


  1. assign
    15.04.2016 19:07

    Где его можно найти?(ничего плохого не замышляю) Просто хочется посмотреть бинарник.