Kriptirani podaci - ransomware POMOĆ

Za to sve nakeljit na komp stvarno moras bit vanserijski biser  

Ova priča me podsjeća na jednu baku ovdje u okolici koja je prije koju godinu odlučila popiti sve lijekove koje ima u kući da bi bila što zdravija. Nek se nađe...

Misli ti što hoćeš.

Možda čovjek nema SSD (barem pod Moj PC nema). Meni Avast kada skenira koristi 20-25 MB rama i onda se vrati u normalnu, isto je i kada skinem nešto, uglavnom iznad 25 MB NE IDE. S MBAM-om kao i s HitmanPro-em i EEK-om će proći jednom mjesečno tako da tu ne vidim problem.

Može ostavit i Windows Firewall, CFW sam napisao zbog sandbox-a.

U vezi ovog "big boobs.jpg.exe", svi antivirusi (osim MSE-a) blokiraju takve stvari. Prije dva mjeseca, namjerno sam skinuo virus sa Facea sličan kao "big boobs.jpg.exe" i antivirus ga je uspiješno blokirao. Uostalom, jedan kolega s foruma se javio u AV temu sa plaćenim BitDefenderom i uključenim Auto-Pilotom, trebao si vidjeti čega je svega imao na računalu. Nisu ni plaćeni antivirusi zlato. Samo što se plaća ne mora značiti da je program kvalitetan.

Sys. resursi nisu samo RAM. CPU, RAM, I/O requests, file lockovi, mreža, izmjene po registryu, hookovi na procese, ekstenzije za Win. Explorer... Sve to je vrlo osjetljiv sustav i na računalu na kojem radim ne želim nikakve procese koji će mi bez najave mijenjati ili zagušivati išta od toga. Neki gamer si može slobodno to nalijepiti ali neki k koji stalno piše i čita SSD, kači se na fajlove i procese i ometa rad sustava nije za nekog tko actually neš radi.

Kako si mjerio potrošnju memorije? Onaj .exe koji vidiš u task manageru?

Potrošnju Avasta, Uncheckyja i HMP Alerta sam mjerio pomoću Process Explorera. CFW nemam instaliran na računalu, ali se sjećam koliko je trošio prije ~mjesec dana.

Postavljeno mi je da pokazuje sve vrste procesa i ukupno ih imam 56. Nije ništa novo da Avast koristi 10-25 MB rama jer on radi u Real-Time i skenira sve i svaša. Za Unchecky i HMP Alert je isto ok da koristi tako malo jer oni ne skeniraju datoteke. Unchecky samo iz instalera odbija ponude, a HMP Alert nadgleda koje programe pokrećem.

Prva linija obrane (osim naravno "brain.exe") bi trebala biti na browseru i zato sam i preporucio "trio fantasticus" za zaštitu browsera ( traffic light koji ne po meni bolji od WOT-a, AdGuard i HitmanPro.Alert with Criptoguard koji sigirno ne bi dozvolio ovakav tip zaraze ).

Njih troje jako malo troše i ništa ne usporavaju (barem meni ne) a osiguravaju jako dobar zid na prvoj crti bojišnice!

Ja također koristim i Open DNS adrese (koje ništa ne troše a surf mi je čak i malo brži) koje su mnogo puta blokirale pristup malcioznim stranicama koje moj "brain.exe" nije mogao unaprijed klasificirat.

Demonstracije radi bi mogao napisati program koji u PE "troši" 15kb a posebno dignut proces (ili servis, još bolje) bi bez problema pojeo 150 MB. Just sayin'...

BTW, dobar dio antivirusa ima svoje rootkitove koji uredno skrivaju kritične procese. Rušio nam se neki servis, točnije, povremeno je pucao kod pokušaja otvaranja oveće baze (SQLite in-memory). Nakon par dana analize i nekoliko dumpova, našli smo NODov hook. Jednostavnom usporedbom izlistanih procesa i njihovog working seta sa ukupno zauzetom memorijom smo došli do razlike od 200tinjak MB. Jedan NODov .dll je u memoriji imao referencu na blok od tih 200-250 MB. Prema PEu, ta memorija je bila slobodna (i prema windowsima). Pokušaj oslobađanja te memorije bi loše završio i servis bi se srušio.

Isključimo NOD na tom PCju i sve magično proradi.

I opet se bavimo samo memorijom. I/O, CPU, mreža?

Nije stvar u tome koji je AV. Ako jedan to radi, vjerojatno i ostali. To što vidiš u Task Manageru i PEu ništa ne znači ako je proces pokrenut kao zaseban i ne komunicira sa UIjem na "normalne" načine. Svaki AV se štiti na svoj način. Neki rootkitovima, neki kernel modulima, neki posebnim driverima, neki kreativnim prtljanjem po memoriji... Da to ne rade, svaki virus bi ih mogao ili gasiti ili im kopati po memorijskom prostoru.

Kuzim ja to sve, ali on ne trazi nikakvu otkupninu. Da pokazuje platio bih i probao!!!

- ne, i dalje ne kužiš.. ima ih koji plate, pa opet ništa jer zašto predpostaviti da će lopov biti pošten a time stvara ogroman rizik (ako policija..). + podpitanje backup? Što želiš spasiti? itd..

Odgovor na backup predpostavljam, pa sad (malo trljanja soli na ranu, ne tebi nego zbog ostalih da se to ne desi, tebi mogu samo zaželjeti sreću u pokušaju), backup bi bio rješenje, u ovakvim situacijama cijena HDDa je mizerna.

Važnije pravilo, razlikujte 'radni' PC (s podacima i sl) i kućni-gamerski-zabavni.. po mogućnosti ne miješajte to dvoje. To ne znači da moraš imati 2xPC nego npr dva diska, dualboot itd. i ne downloadati smeće nadati se 'neće mene'.. u radnom, dok u zabavnom možeš svašta i bez ovakvih posljedica.

-znam, to nije spas, ali je recimo preventiva.

-ako baš želiš, vjerojatno google može otkriti neku adresu koja će uzeti novac.. pa možda otključaš, ali nekako to nije baš sigurno...

.. nije loše npr raspitati se oko policije i sl.. možda postoji nešto/netko tko pomaže. Bilo bi vrijeme da se neka udruga/drž.agencija pozabavi takvim stvarima. HTV, BUG..?? Pa i opet natrljavanje na nos korisnicima, pazite! internet je divlji zapad, nije sigurno mjesto.. pamet u glavu.

Ovo je isključivo poslovno računalo, nikakvi igrice keygeni i neprovjereni dokumenti nisu skidani. 

Sa PEom doznaj u kojem je svchost.exe (servicehost.exe - to ono što inače degenerici govore da ih je "previše" ili da su virusi) i vidi koliko taj određeni troši memorije/CPUa. To može biti malo zeznuto jer nekad jedan svchost drži nekoliko servisa... Ali mislim da process explorer može pokazati koliko koji servis drži zauzeto RAMa ili CPUa (i disk I/O req., mreže....)

Klik na plusić i sve vidiš

Primjer

Primjer 2

Pogledaj u services.msc jel ima koji avirin servis. Ako ima, potraži u kojem je svchostu.

Sad vidim sa ima svoj .exe i nije u svchostu. To ti je to.