Viktor_Kisel
Silver Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bort_Nick
caspara
Проверил вирус perfc.dat (взял тот что по ссылке у Bort_Nick) запустил командой:
rundll32.exe ”C:\Windows\perfc.dat”,#1 30
Что получилось:
Сразу при запуске шифрует на всех разделах .xls, .vbs и архивы .zip .gz и вероятно остальные (все не проверял просто).
Также на разделе С:\ с виндой шифрует (при удачном раскладе) .txt, .doc, .htm, на D:\ не шифрует ничего кроме вышеупомянутых .xls, .vbs и архивы .zip .gz ....
Ждал 10 минут, винда не перегружается, перегрузил ресетом, запустился фальшивый скандиск дошел до 100%, потом второй - не хватило терпения дождаться даже 1%, а так ждать несколько часов или десятков часов до 100% - это перебор. Перегрузил ресетом, появился черный экран с красными буковками, загрузился с загрузочной флешки - скандиском восстановил все файлы на пустом разделе С:\, BootICE-ом восстановил MBR. Но винда конечно уже не загрузилась поскольку нужные системные файлы были запорчены (видать зашифрованы). Тут только переустановка (или восстановление из образа), что я и сделал.
Какая существует защита?
100% защиту при правильной настройке (или без настройки) дает только утилита проактивной защиты HIPS (типа Malware Defender 2.6.0).
Попроще вариант на автомате установить и использовать AntiWinLocker 3.0.3 - защищает от изменений MBR, что предотвращает порчу MBR и фальшивый скандиск, но .xls, .vbs и архивы буду зашифрованы. И конечно же придется делать переустановку винды.
Третий вариант защиты пока в процессе, еще не сделан, если будет то отпишусь. |
