Беда - Словил Ransom - Mayday Mayday Mayday!

[OtecFedor]

Если Вас целенаправленно не атакует игрок государственного уровня, такое вряд ли возможно.

Так вот он какои, Korney...

[liamkin]

Надежнее всего format c:

Ну, для этого много ума не надо. Только там у меня стоит OEM система, ключей к которой у меня нет. Поэтому, запускать систему всё равно придётся (все файлы я скопировал, опасности что-то потерять нет). В идеале её лучше бы вылечить, но я не пойму, что происходит. В системе явно работает вирус, но "внешние" сканеры (пробовал несколько) его не находят. Я оказался первой жертвой неизвестного доселе вируса? Кажется маловероятным. Где он ещё может спрятаться? Причём, напрягает факт того, что погосилась BIOS.

Просканируйте Recovery Partition тоже. Дикие вирусы, которых нет в базе антивирусов, мне попадались. Софт пиратский качать - себе дороже оказалось. Я чувствительную инфу держу в зашифрованных файлах.
Скачайте все бесплатные антивирусы Avira, Avast и т п - и натравливайте по одному. Еще проверьте какие файлы с наиболее свежей датой изменения- создания, их обычно не так много. Смотрите на файлы с большим размером. Может это архив - и антивирус не догадывается об этом - и его надо распаковать.
Про УЕФИ биос - возможно. Сбросьте установки, Прошейте свежий с вебсайта произваодителя, сбросьте установки еще раз.

[Privet]

Честно говоря, я так и не понял что это было. Никаких разрушений обнаружено не было. Это при том, что времени у него было вполне достаточно. После того, как стала дурить клавиатура, я благополучно уснул. Ransom, который появился в списке антивирусных провайдеров, неизвестно куда исчез. Такое впечатление, что это была какая-то пугалка, чтобы народ не вздумал отключать защиту даже на короткое время.

[veey+]

есть вирусы, которые держат часть кода в реджистри, поэтому антивирусы их не находят.

[jekasa]

Словил по собственной дурости. Было много отвлекающих факторов (вышла из строя батарея - срочно требовалась замена, перестал работать мой большой 4K монитор и пр. и пр. более серьёзное). На этом фоне меня стали раздражать непрерывно что-то предлагающие окна Касперского и я не нашёл ничего лучшего, как его отключить совсем. Видимо, в этот момент и словил.

1. Стала крайне медленно работать клавиатура, но я именно в этот момент пытася установить внешний монитор на USB3. Решил, что он забирает слишком много трафика и выталкивает клавиатуру. На самом деле, мне, скорее всего, установили перехватчик ввода от клавиатуры.
2. При перезагрузке лоптопа вошёл в UEFI (всё разбирался с монитором) и обнаружил, что его код покосился. Нажал кнопку "восстановить".
3. Потом сошла с ума мышка. На третий день Зоркий Сокол (с) ... понял, что произошло что-то неладное и что надо срочно реактивировать анти-вирусную защиту и обезвреживать компьютер.
4. В списке анти-вирусов кроме Касперского и виндошного я обнаружил ещё какой то Ransom и в описании к нему было написано что-то типа такого: "пользуйтесь анти-вирусами, чтобы в систему не проникли такие, как Ransom". Полез на гугл смотреть что это за хрень и ахнул.

Сразу выключил лаптоп. В нём стоит SSD диск на PCIe m.2. Заказал срочно коробку (enclosure) под такой диск и теперь его изучаю с другой машинки.

Может вирус осесть в BIOS или в чём-то подобном? Если да, то как его оттуда вытравливать?

Теоретически, вредоносный код может осесть в BIOS, учитывая что Вы используете SSD или NVMe под M.2 скроее всего Вы используете UEFI (UEFI BIOS). С ним дела интереснее, и в теории до Secure Boot делов наделать можно разбираясь с CPLD MB. Но, это все в теории. На практике никто не будет светить новыми тулсами, эксплоитами или инструментами для масс деплоя. В принципе, для перестраховки лучше UEFI BIOS с официально сайта лучше обновить с версии А до Б, но никак не с А до А. Если версия последняя, нужно записать предыдущую, после опять записать последнюю версию BIOS. Пионер в данном деле это HP, они первый внедрели автоматический откат BIOS + iLilo в случае хакерского образа в памяти. Зовется root of trust - https://www.hpe.com/us/en/solutions/inf ... urity.html

Учитывая, многие факторы, наверное самый примитивный и в тоже самый быстрый и эффективный способ, просто сделать рестор с бэкапа или установить ОС с нуля. Лет 10 назад этим занимались чуть ли не каждый год. Если стоит Windows 10, ключ по идее должен не требоваться. С другой стороны если техника от HP или Dell, проще связаться с ними и за символическую плата заказать Recovery DVD. Ключ не нужен в таком случае.

Как универсально средство = Касперский + последние пакеты обновлений + днс от яндекса https://www.go-electronic.com/?p=443 хоть и не являются полной панацеей, но являются довольно хорошей защитой на сегодняшний день.