Беда - Словил Ransom - Mayday Mayday Mayday!

User avatar
Privet
Администратор
Posts: 16900
Joined: 03 Jan 1999 10:01
Location: Redmond, WA

Беда - Словил Ransom - Mayday Mayday Mayday!

Post by Privet »

Словил по собственной дурости. Было много отвлекающих факторов (вышла из строя батарея - срочно требовалась замена, перестал работать мой большой 4K монитор и пр. и пр. более серьёзное). На этом фоне меня стали раздражать непрерывно что-то предлагающие окна Касперского и я не нашёл ничего лучшего, как его отключить совсем. Видимо, в этот момент и словил.

1. Стала крайне медленно работать клавиатура, но я именно в этот момент пытася установить внешний монитор на USB3. Решил, что он забирает слишком много трафика и выталкивает клавиатуру. На самом деле, мне, скорее всего, установили перехватчик ввода от клавиатуры.
2. При перезагрузке лоптопа вошёл в UEFI (всё разбирался с монитором) и обнаружил, что его код покосился. Нажал кнопку "восстановить".
3. Потом сошла с ума мышка. На третий день Зоркий Сокол (с) ... понял, что произошло что-то неладное и что надо срочно реактивировать анти-вирусную защиту и обезвреживать компьютер.
4. В списке анти-вирусов кроме Касперского и виндошного я обнаружил ещё какой то Ransom и в описании к нему было написано что-то типа такого: "пользуйтесь анти-вирусами, чтобы в систему не проникли такие, как Ransom". Полез на гугл смотреть что это за хрень и ахнул.

Сразу выключил лаптоп. В нём стоит SSD диск на PCIe m.2. Заказал срочно коробку (enclosure) под такой диск и теперь его изучаю с другой машинки.

1. Файлов с расширением "locked*" не обнаружено. Все мои файлы, похоже, на месте. Копирую их.
2. Файлов с расширением "crypt*" обнаружено 12 шт., но все они были совершенно маловажными и, вполне возможно, были зашифрованы соответствующими приложениями (типа WatsApp).
3. Просканировал Касперским весь диск, но он не обнаружил абсолюбно ничего серьёзного (были только несколько: "это легальное приложение, но может использоваться преступниками, чтобы нанести вред").
4. Попытка найти на компьютере любой файл, в котором бы присутствовало слово "Ransom" успехом пока не увенчалась. Поиск ещё не закончен. Найду - сообщу.
5. Пароли сменил.

Теперь сижу и чешу репу. Что делать дальше?
Может вирус осесть в BIOS или в чём-то подобном? Если да, то как его оттуда вытравливать?
Триста лет уже ничего не ловил.
Дайте, пожалуйста, вразумительный совет. Я пока пошукаю чего-нибудь гуглом.
Привет.
User avatar
Uzito
Уже с Приветом
Posts: 7026
Joined: 06 Feb 2002 10:01
Location: NJ, USA

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by Uzito »

Надежнее всего format c:
User avatar
Privet
Администратор
Posts: 16900
Joined: 03 Jan 1999 10:01
Location: Redmond, WA

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by Privet »

Uzito wrote: 12 Jul 2020 22:29 Надежнее всего format c:
Ну, для этого много ума не надо. Только там у меня стоит OEM система, ключей к которой у меня нет. Поэтому, запускать систему всё равно придётся (все файлы я скопировал, опасности что-то потерять нет). В идеале её лучше бы вылечить, но я не пойму, что происходит. В системе явно работает вирус, но "внешние" сканеры (пробовал несколько) его не находят. Я оказался первой жертвой неизвестного доселе вируса? Кажется маловероятным. Где он ещё может спрятаться? Причём, напрягает факт того, что погосилась BIOS.
Привет.
User avatar
Uzito
Уже с Приветом
Posts: 7026
Joined: 06 Feb 2002 10:01
Location: NJ, USA

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by Uzito »

Privet wrote: 13 Jul 2020 01:25 Ну, для этого много ума не надо. Только там у меня стоит OEM система, ключей к которой у меня нет. Поэтому, запускать систему всё равно придётся (все файлы я скопировал, опасности что-то потерять нет). В идеале её лучше бы вылечить, но я не пойму, что происходит. В системе явно работает вирус, но "внешние" сканеры (пробовал несколько) его не находят. Я оказался первой жертвой неизвестного доселе вируса? Кажется маловероятным. Где он ещё может спрятаться? Причём, напрягает факт того, что погосилась BIOS.
Всё возможно, поэтому лучший способ это таки format c: так как никто не даст гарантию что зараза полностью вычищена.
На OEM лаптопе ключи прошиты в том же BIOS, поэтому система должна автоматически активироваться если ставить с OEМ диска.

На не-лаптопе гарантированный метод получить чистую машину это прошить BIOS в автоматическом режиме с USB и установить систему с нуля.
User avatar
Privet
Администратор
Posts: 16900
Joined: 03 Jan 1999 10:01
Location: Redmond, WA

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by Privet »

Uzito wrote: 13 Jul 2020 01:33 На OEM лаптопе ключи прошиты в том же BIOS, поэтому система должна автоматически активироваться если ставить с OEМ диска.
OEM диск - имеете в виду какой-то CD? Нет у меня никаких CD. Dell XPS приходит голенький в коробке и больше ничего, кроме блока питания.
Подсмотреть эти ключи в BIOS/UEFI можно?
Привет.
Searcher
Уже с Приветом
Posts: 2566
Joined: 09 May 2002 17:39
Location: MA, USA

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by Searcher »

Privet wrote: 13 Jul 2020 02:08
Uzito wrote: 13 Jul 2020 01:33 На OEM лаптопе ключи прошиты в том же BIOS, поэтому система должна автоматически активироваться если ставить с OEМ диска.
OEM диск - имеете в виду какой-то CD? Нет у меня никаких CD. Dell XPS приходит голенький в коробке и больше ничего, кроме блока питания.
Подсмотреть эти ключи в BIOS/UEFI можно?
Из моего опыта с Dell: в BIOS лежит сертификат активируюший систему (не номер/ключ, а именно сертификат). В связи с этим, OS recovery диск от любого Dell с такой же операционной системой должен подойти. В крайнем служе позвонить в Dell Support и заказать рецоверы диск (обычно в порядка $10)
User avatar
Uzito
Уже с Приветом
Posts: 7026
Joined: 06 Feb 2002 10:01
Location: NJ, USA

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by Uzito »

Privet wrote: 13 Jul 2020 02:08 OEM диск - имеете в виду какой-то CD? Нет у меня никаких CD. Dell XPS приходит голенький в коробке и больше ничего, кроме блока питания.
Подсмотреть эти ключи в BIOS/UEFI можно?
Смотрите тут
https://www.dell.com/support/article/en ... er?lang=en

https://www.techspot.com/guides/1760-fi ... oduct-key/
User avatar
Privet
Администратор
Posts: 16900
Joined: 03 Jan 1999 10:01
Location: Redmond, WA

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by Privet »

Кстати, recovery OEM disk, некоторая часть всего диска, у меня, конечно, есть, но вопрос в том, насколько теперь безопасно с него что-то ставить.

Вполне возможно, что Ransom был отвлекающим манёвром, а главная цель была, возможно в краже паролей, но это всё гадание.
Привет.
User avatar
veey+
Уже с Приветом
Posts: 1321
Joined: 29 Jul 2019 17:34
Location: NYC

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by veey+ »

если это покупной комп, там должна быть партишн, с которой можно переустановить систему. я так делал на сони вайо с помощью саппорта.
This world is totally fugazi.
User avatar
Privet
Администратор
Posts: 16900
Joined: 03 Jan 1999 10:01
Location: Redmond, WA

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by Privet »

veey+ wrote: 13 Jul 2020 02:44 если это покупной комп, там должна быть партишн, с которой можно переустановить систему. я так делал на сони вайо с помощью саппорта.
Там просто директория - Recovery.

У меня два практически идентичных Dell XPS. Разного возраста. На новом (который не пострадал) в папку Recovery войти нельзя. На диске с пострадавшего видна J:\\Recovery\OEM.
Привет.
User avatar
Privet
Администратор
Posts: 16900
Joined: 03 Jan 1999 10:01
Location: Redmond, WA

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by Privet »

Я восстановил систему из папки Recovery. Встало всё автоматом. Почти все файлы с расширением exe убраны, но все мои файлы сохранились. Все программы придётся устанавливать заново.
Привет.
User avatar
Privet
Администратор
Posts: 16900
Joined: 03 Jan 1999 10:01
Location: Redmond, WA

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by Privet »

Вчера закончил поздно. Сейчас немного деталей:

1. Перед восстановлением системы я, люблпытства ради, просканировал заражённую систему несколькими антивирусами - malwarebytes и Касперсим уже "изнутри". Никаких серьёзных проблем не найдено. Как и при внешнем сканировании, были найдены только несколько подознительных легальных приложений.
2. Зешёл при перезагрузке в UEFI и восстановил factory setting. Переписывается при этом вся область UEFI/BIOS или только установки, я не знаю. Если кто-то знает, что при этом реально происходит, дайте, пожалуйста, знать, что конкретно делается в этом случае. Наверняка, это многим будет интересно.
3. Восстановил полностью OEM систему. Мой login сохранился. Что ещё стоит или необходимо сделать, чтобы исключить возможность повторного заражения?

Спасибо всем за помощь. Я давно уже не ковырялся и многие навыки, если и были, растворились в повседневных заботах.
Пожалуйста, дайте знать, если надо сделать что-то ещё или что-то проверить.
Особенно интересует возможность проверки UEFI/BIOS на целостность и на присутствие неизвестного кода.

Спасибо,
Борис
Привет.
User avatar
Uzito
Уже с Приветом
Posts: 7026
Joined: 06 Feb 2002 10:01
Location: NJ, USA

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by Uzito »

Restore Factory Settings только очищает настройки.
Вообще говоря, UEFI прошить просто так сложно. Нужно знать приватный ключ производителя компьютера, которым обновления подписываются.
Если Вас целенаправленно не атакует игрок государственного уровня, такое вряд ли возможно.

>Что ещё стоит или необходимо сделать, чтобы исключить возможность повторного заражения?

Не игнорировать предупреждения антивируса. Не скачивать и не запускать сомнительное ПО. Поставить ublock origin или еще лучше PiHole чтобы блокировать рекламные сети, которые довольно часто бывают источниками заразы.
User avatar
VovaK98
Уже с Приветом
Posts: 1686
Joined: 04 Mar 2002 10:01
Location: Tampa

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by VovaK98 »

Вдогонку.. И не факт, что format c: спасёт от partition sector вирусни.
Несите чушь бережно, стараясь не расплескать. Чушь хороша, когда она полная.
User avatar
Uzito
Уже с Приветом
Posts: 7026
Joined: 06 Feb 2002 10:01
Location: NJ, USA

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by Uzito »

VovaK98 wrote: 14 Jul 2020 14:26 Вдогонку.. И не факт, что format c: спасёт от partition sector вирусни.
Зависит от того, как была установлена винда. UEFI + GPT + secure boot не даст дороги вирусу.

Добавлю что 0-day дыры существуют и даже UEFI теоретически можно подломить, но никто не будет выпускать их на волю просто так чтобы заразить случайный компьютер.
OtecFedor
Уже с Приветом
Posts: 6849
Joined: 17 Oct 2001 09:01
Location: Уездный город N

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by OtecFedor »

Uzito wrote: 14 Jul 2020 12:19 Если Вас целенаправленно не атакует игрок государственного уровня, такое вряд ли возможно.
Так вот он какои, Korney...
User avatar
liamkin
Уже с Приветом
Posts: 1970
Joined: 19 Jun 2003 20:22
Location: USA

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by liamkin »

Privet wrote: 13 Jul 2020 01:25
Uzito wrote: 12 Jul 2020 22:29 Надежнее всего format c:
Ну, для этого много ума не надо. Только там у меня стоит OEM система, ключей к которой у меня нет. Поэтому, запускать систему всё равно придётся (все файлы я скопировал, опасности что-то потерять нет). В идеале её лучше бы вылечить, но я не пойму, что происходит. В системе явно работает вирус, но "внешние" сканеры (пробовал несколько) его не находят. Я оказался первой жертвой неизвестного доселе вируса? Кажется маловероятным. Где он ещё может спрятаться? Причём, напрягает факт того, что погосилась BIOS.
Просканируйте Recovery Partition тоже. Дикие вирусы, которых нет в базе антивирусов, мне попадались. Софт пиратский качать - себе дороже оказалось. Я чувствительную инфу держу в зашифрованных файлах.
Скачайте все бесплатные антивирусы Avira, Avast и т п - и натравливайте по одному. Еще проверьте какие файлы с наиболее свежей датой изменения- создания, их обычно не так много. Смотрите на файлы с большим размером. Может это архив - и антивирус не догадывается об этом - и его надо распаковать.
Про УЕФИ биос - возможно. Сбросьте установки, Прошейте свежий с вебсайта произваодителя, сбросьте установки еще раз.
User avatar
Privet
Администратор
Posts: 16900
Joined: 03 Jan 1999 10:01
Location: Redmond, WA

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by Privet »

Честно говоря, я так и не понял что это было. Никаких разрушений обнаружено не было. Это при том, что времени у него было вполне достаточно. После того, как стала дурить клавиатура, я благополучно уснул. Ransom, который появился в списке антивирусных провайдеров, неизвестно куда исчез. Такое впечатление, что это была какая-то пугалка, чтобы народ не вздумал отключать защиту даже на короткое время.
Привет.
User avatar
veey+
Уже с Приветом
Posts: 1321
Joined: 29 Jul 2019 17:34
Location: NYC

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by veey+ »

есть вирусы, которые держат часть кода в реджистри, поэтому антивирусы их не находят.
This world is totally fugazi.
jekasa
Posts: 6
Joined: 19 Oct 2009 11:12

Re: Беда - Словил Ransom - Mayday Mayday Mayday!

Post by jekasa »

Privet wrote: 12 Jul 2020 20:13 Словил по собственной дурости. Было много отвлекающих факторов (вышла из строя батарея - срочно требовалась замена, перестал работать мой большой 4K монитор и пр. и пр. более серьёзное). На этом фоне меня стали раздражать непрерывно что-то предлагающие окна Касперского и я не нашёл ничего лучшего, как его отключить совсем. Видимо, в этот момент и словил.

1. Стала крайне медленно работать клавиатура, но я именно в этот момент пытася установить внешний монитор на USB3. Решил, что он забирает слишком много трафика и выталкивает клавиатуру. На самом деле, мне, скорее всего, установили перехватчик ввода от клавиатуры.
2. При перезагрузке лоптопа вошёл в UEFI (всё разбирался с монитором) и обнаружил, что его код покосился. Нажал кнопку "восстановить".
3. Потом сошла с ума мышка. На третий день Зоркий Сокол (с) ... понял, что произошло что-то неладное и что надо срочно реактивировать анти-вирусную защиту и обезвреживать компьютер.
4. В списке анти-вирусов кроме Касперского и виндошного я обнаружил ещё какой то Ransom и в описании к нему было написано что-то типа такого: "пользуйтесь анти-вирусами, чтобы в систему не проникли такие, как Ransom". Полез на гугл смотреть что это за хрень и ахнул.

Сразу выключил лаптоп. В нём стоит SSD диск на PCIe m.2. Заказал срочно коробку (enclosure) под такой диск и теперь его изучаю с другой машинки.

Может вирус осесть в BIOS или в чём-то подобном? Если да, то как его оттуда вытравливать?
Теоретически, вредоносный код может осесть в BIOS, учитывая что Вы используете SSD или NVMe под M.2 скроее всего Вы используете UEFI (UEFI BIOS). С ним дела интереснее, и в теории до Secure Boot делов наделать можно разбираясь с CPLD MB. Но, это все в теории. На практике никто не будет светить новыми тулсами, эксплоитами или инструментами для масс деплоя. В принципе, для перестраховки лучше UEFI BIOS с официально сайта лучше обновить с версии А до Б, но никак не с А до А. Если версия последняя, нужно записать предыдущую, после опять записать последнюю версию BIOS. Пионер в данном деле это HP, они первый внедрели автоматический откат BIOS + iLilo в случае хакерского образа в памяти. Зовется root of trust - https://www.hpe.com/us/en/solutions/inf ... urity.html

Учитывая, многие факторы, наверное самый примитивный и в тоже самый быстрый и эффективный способ, просто сделать рестор с бэкапа или установить ОС с нуля. Лет 10 назад этим занимались чуть ли не каждый год. Если стоит Windows 10, ключ по идее должен не требоваться. С другой стороны если техника от HP или Dell, проще связаться с ними и за символическую плата заказать Recovery DVD. Ключ не нужен в таком случае.

Как универсально средство = Касперский + последние пакеты обновлений + днс от яндекса https://www.go-electronic.com/?p=443 хоть и не являются полной панацеей, но являются довольно хорошей защитой на сегодняшний день.

Return to “Вопросы и новости IT”