Всё, что нас не убивает, мутирует и пробует снова

До сих пор есть такие...

Я словил вирус майнер



На днях случайном образом словил на компьютер вирус майнер. Это уже происходило со мной раньше, но в этот раз он был серьезно улучшен.
По мимо того что система грузилась в 100% и температуры процессора были на уровне 94-97° градусов, этот майнер максимально защищал себя и вводил ограничения в систему, а именно:

- диспетчер задач и все его аналоги не работают
- любая попытка скачать или открыть антивирус сразу отменятся
- Загрузится с флешки для использования Live USB утилит нельзя, так как на BIOS теперь стоит пароль и принудительно включена функция Secure Boot
- Права на системные папки изменены, их больше нельзя удалить
- Майнер маскируется под системный процесс и его очень тяжело вычислить

Спустя пару дней активной борьбы, мне все таки удалось его удалить. Конечно всегда был вариант снести Windows и начаться заново, но восстанавливать все желания не было, плюс данный майнер оставил свою копию на всех дисках сразу, 2 SDD и 1 HDD, таким образом их надо было бы все форматировать в ноль, а это звучит совсем ужасно.
Как же у меня получилось избавиться от него?
Скажу сразу гайды и видео на YouTube мне никак не помоги, они скорее всего эффективны против старых майнеров, например того что я ловил раньше, пару лет назад.
Вот алгоритм действий, который помог мне
1. Сбросить BIOS и выключить функцию Secure Boot
2. Загрузится с флеши на live USB дистрибутив Linux с утилитами по устранению вредоносных программ
3. Просканировать систему с помощью Dr Web Cureit, удалить все что он найдет, в моем случае это Trojan.Clipper и BtcMine
4. Загрузиться обратно в Windows
5. Воспользоваться утилитой RKill, она нужна для остановки всех подозрительных и неизвестных процессов
6. Запустить утилиту MineSearcher, она заточена конкретно искать майнеры
7. Ещё раз Dr Web для надежности
8. Готово, температура процессора 70°, нагрузка в среднем 15%

Кстати мне не помог даже ChatGPT 4o.
А ещё немного грустно, что не смотря на мою победу над ним, я к сожалению не смог отследить откуда именно он он выполз. Такие майнеры работают с определённой отсрочкой, чтобы ты не мог отследить после какого скачанного файла это все произошло. Грубо говоря месяц назад ты мог скачать зараженный файл, но даст он о себе знать только сегодня.

Ответ на пост «За безопасность надо платить, а за ее отсутствие – расплачиваться!»

Я понимаю что сдэк редиски и сливают данные, что их сб никуда не годится и тд и тп.

Просто хотелось бы задать вопрос тем самым "кулхацкерам", к которым отношение в инфополе колеблется от "гля какие" до " а чо такого? а вот сдэк..."

-Господа Великие Хакеры, а вы не могли бы просто ебать друг друга в жопу на своих конференциях и в своем даркнете, и не торогать простых граждан, которые ждут подарки детям, у которых малый бизнес горит, которым просто не пришло уже оплаченное или личное имущество.

И никакие вы не робингуды, вы обычные обиженные на жизнь малолетние долбоебы, которым случайно посчастливилось поджечь сарай, чему и радуетесь.

Ну а если вы отработали корпоративный заказ конкурентов, то вы еще и преступники...

Но пидорами вы стали при любой мотивации

Жара

Сегодня годовщина первого запуска вируса Win95.cih

он же знаменитый Чернобыль. Было это 26 апреля 1999 года.

Помню в тот день бухгалтерия выла горючими слезами, интернета еще толком не было, никто не знал, чо делать, антивирусы были с оффлайн обновлением, кто-то из наших посоветовал резко дернуть дату на всех компах на месяц назад, чем несомненно спас больше половины парка компов.

Нам, программерам и админам было пофиг, потому что мы сидели под ДОСом упорно :)

Зачотная была бомба, похлеще ФАБа.

Мы потом 2 недели работали еще по предыдущему месяцу, пока противоядие не нашлось и не прочистило все компы.

Вирус Win95.CIH - Старичок Чернобыль - уникальный в свое время вирус. И не только потому, что он является первым из "вирусов, действительно портящих железо". А, главным образом потому, что он использует очень интересный фокус с пролезанием на 0-е кольцо привилегий процессора (в то время как большинство вирусов и юзерских программ - сосут на третьем). После этого вирус может вызывать (и успешно это делает) VxD сервисы и запись в порты. Он не изменяет SYSTEM.INI, он не пишет .VXD-файлов в WINDOWS\SYSTEM, он только заражает PE-файлы... и (иногда) стирает FLASH BIOS и жесткие диски :) ... Грубо говоря, это первый "по-настоящему резидентный" Win95/98 вирус (еще добавить немножко полиморфизма, и будет все как под DOS :)). Под Win >= 2k не функционирует.

Активизируется 26 апреля (дата катастрофы на Чернобыльской АЭС и дата рождения автора вируса)

И снова о прививках...

У знакомой приятельницы заболел ребёнок. Кашель. Дите детсадовское, но на больничный с ним не шла, мол дома подлечимся и все пройдет. Не проходило. Воспитатели , зная скандальный характер мамы , несмело намекали, что хорошо бы к врачу мальчика сводить, но мать упорно игнорила их намеки.
А тут детский сад, в который они ходили закрыли на ремонт и детей распределили по другим. В новом саду воспитатель сразу обратила внимание на лающий кашель ребенка и вечером матери сказала, что примет в группу только со справкой от врача. На слова родительницы, что ничего страшного и они лечатся дома, повторила свои требования. Небольшой проверочный скандал устроенный родительницей не помог. Пришлось идти в поликлинику. А там на приеме опытный врач ошарашил маменьку тем, что оказываетсяу ребенка коклюш, а ни какая не аллергия, как она думала.
Приятельница теперь дома с ребенком, усердно лечит его. Дитю уже чуть лучше.
Когда малыша надо было вакцинировать, она с гордым видом написала отказ, искренне веря , что прививки изжили себя и уже только вредят. Сейчас , видя мучения ребенка она себя готова за локоть укусить, но что сделано то сделано. На волне понимания своей глупости, зарегистрировалась в клане антипрививочников и вносит туда смуту.
А в саду теперь карантин.

Ответ на пост «Запрет на пересылку картинок»

Ой, подержиье моё пиво!

Пару недель назад пришла тёща со своим смартфоном. Научили бабулю ватсапом пользоваться ну и пошла бурная переписка с подругами. Всё по классике - по 100 раз на день гифки, картинки, видосики.

И вот звонит она и сообщает, что реклама забодала. Принесла телефон, смотрю. Какая-то приложуха вирусная каждые 10 секунд закрывает весь экран рекламой. Это просто пздц какой-то! Ни позвонить нормально, но чатики почитать. И трафик жрет, как в прорву! Долго рылся. Антивирусом гонял, мусор всякий отключал. Настройки, разрешения - всё перерыл. Нифига! Прёт реклама, даже в офлайн.

Ну и решил сность всю развлекуху: вайбер, ватсап, тиктоки всякие с одноклассниками. Вроде помогло. Начал устанавливать обратно. Дошел до ватсап. И по дурости восстановил архивы из синхронизации. Ну и понеслось по новой.

Пришлось наглухо сносить ватсап со всеми потрохами по новой и устанавливать без восстановления медийки из архива. Это проблему решило, реклама пропала.

Так что здравое зерно в этой пугалке есть - в медиаконтенте рассылают хрень всякую. А пенсионры не очень понимают, куда можно заходить и что загружать.

Нас сново пугают неизвестным вирусом Х, как думаете, план «Золотой миллиард» в деле?

Только не жрите там ничего

Рекомендуем
@lyalja
@moderator
Тренды

Fastler - информационно-развлекательное сообщество которое объединяет людей с различными интересами. Пользователи выкладывают свои посты и лучшие из них попадают в горячее.

Контакты

© Fastler v 2.0.2, 2024


Мы в социальных сетях: