Мне кажется или использовать утилиту после заражения уже бессмысленно, это механизм защиты, а не лечения.Может уже будем постепенно внедрять утилиту от Vitokhv на форумах, где пользователи столкнулись с шифровальщиком?
Не совсем так. Практика показывает, что пользователи не делают особых выводов после инцидента с шифровальщиком. Свежий пример: Шифровальшик - Уничтожение вирусовМне кажется или использовать утилиту после заражения уже бессмысленно, это механизм защиты, а не лечения.
Само письмо на первый взгляд особого внимания не представляло.
Грузит это Antivirus scan for 693e1a6056b6efb4cff6e0d8b380d297646e79231e4df7a9aad8661b714758a8 at 2016-10-18 12:55:06 UTC - VirusTotal на выполнениеВчера в одной организации пытались запустить письмо со скриптом:
Само письмо на первый взгляд особого внимания не представляло.
Но если присмотреться, можно обнаружить смешанные символы латиницы и кириллицы:
Видимо, первый этап, попытаться обойти антиспам фильтр.
Вторым этапом запуск почти пустого .JS скрипта, в содержании которого только "откуда скачать" и "куда сохранить" файл с расширением .EXE с помощью Powershell команды.
Этот способ не позволяет детектить файл как угрозу почти всем антивирусам:
Если скрипт скачивает основной файл, то без доступа к интернету или HTTP ресурсу содержащий вирус, скрипт не работает.
Видимо создатели идут на такие жертвы ради обхода детекта, многим у кого провайдер отключил интернет в момент открытия файла - повезло.
Расширение файлов после шифрования, всеми известный: .da_vinci_code
Из вышесказанного нужно дополнить защиту от Powershell команд внутри скриптов, если будет найден способ.
p.s. пока исходники рабочие, те кто может глубже разобрать работу трояна, пишите в ЛС (только для антивирусных аналитиков)
Если ограничить доступ через SRP скрипт не сможет выполнить команду на скачивание вируса:При использовании Windows PowerShell 4.0 и Windows PowerShell 3.0 интегрированная среда сценариев Windows PowerShell по умолчанию включена во всех версиях Windows.
Если она еще не включена, Windows Management Framework 4.0 или Windows Management Framework 3.0 включает ее.
Осталось найти раздел реестра, где можно выставить параметры на отключение Powershell.Доступ к C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe был ограничен по расположению; администратор применил правило политики {2007ec39-75f3-4dfc-86fe-e837082f7aa0} к пути powershell.exe.
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?