Беда - Словил Ransom - Mayday Mayday Mayday!

[Privet]

Словил по собственной дурости. Было много отвлекающих факторов (вышла из строя батарея - срочно требовалась замена, перестал работать мой большой 4K монитор и пр. и пр. более серьёзное). На этом фоне меня стали раздражать непрерывно что-то предлагающие окна Касперского и я не нашёл ничего лучшего, как его отключить совсем. Видимо, в этот момент и словил.

1. Стала крайне медленно работать клавиатура, но я именно в этот момент пытася установить внешний монитор на USB3. Решил, что он забирает слишком много трафика и выталкивает клавиатуру. На самом деле, мне, скорее всего, установили перехватчик ввода от клавиатуры.
2. При перезагрузке лоптопа вошёл в UEFI (всё разбирался с монитором) и обнаружил, что его код покосился. Нажал кнопку "восстановить".
3. Потом сошла с ума мышка. На третий день Зоркий Сокол (с) ... понял, что произошло что-то неладное и что надо срочно реактивировать анти-вирусную защиту и обезвреживать компьютер.
4. В списке анти-вирусов кроме Касперского и виндошного я обнаружил ещё какой то Ransom и в описании к нему было написано что-то типа такого: "пользуйтесь анти-вирусами, чтобы в систему не проникли такие, как Ransom". Полез на гугл смотреть что это за хрень и ахнул.

Сразу выключил лаптоп. В нём стоит SSD диск на PCIe m.2. Заказал срочно коробку (enclosure) под такой диск и теперь его изучаю с другой машинки.

1. Файлов с расширением "locked*" не обнаружено. Все мои файлы, похоже, на месте. Копирую их.
2. Файлов с расширением "crypt*" обнаружено 12 шт., но все они были совершенно маловажными и, вполне возможно, были зашифрованы соответствующими приложениями (типа WatsApp).
3. Просканировал Касперским весь диск, но он не обнаружил абсолюбно ничего серьёзного (были только несколько: "это легальное приложение, но может использоваться преступниками, чтобы нанести вред").
4. Попытка найти на компьютере любой файл, в котором бы присутствовало слово "Ransom" успехом пока не увенчалась. Поиск ещё не закончен. Найду - сообщу.
5. Пароли сменил.

Теперь сижу и чешу репу. Что делать дальше?
Может вирус осесть в BIOS или в чём-то подобном? Если да, то как его оттуда вытравливать?
Триста лет уже ничего не ловил.
Дайте, пожалуйста, вразумительный совет. Я пока пошукаю чего-нибудь гуглом.

[Uzito]

Надежнее всего format c:

[Privet]

Надежнее всего format c:

Ну, для этого много ума не надо. Только там у меня стоит OEM система, ключей к которой у меня нет. Поэтому, запускать систему всё равно придётся (все файлы я скопировал, опасности что-то потерять нет). В идеале её лучше бы вылечить, но я не пойму, что происходит. В системе явно работает вирус, но "внешние" сканеры (пробовал несколько) его не находят. Я оказался первой жертвой неизвестного доселе вируса? Кажется маловероятным. Где он ещё может спрятаться? Причём, напрягает факт того, что погосилась BIOS.

[Uzito]

Ну, для этого много ума не надо. Только там у меня стоит OEM система, ключей к которой у меня нет. Поэтому, запускать систему всё равно придётся (все файлы я скопировал, опасности что-то потерять нет). В идеале её лучше бы вылечить, но я не пойму, что происходит. В системе явно работает вирус, но "внешние" сканеры (пробовал несколько) его не находят. Я оказался первой жертвой неизвестного доселе вируса? Кажется маловероятным. Где он ещё может спрятаться? Причём, напрягает факт того, что погосилась BIOS.

Всё возможно, поэтому лучший способ это таки format c: так как никто не даст гарантию что зараза полностью вычищена.
На OEM лаптопе ключи прошиты в том же BIOS, поэтому система должна автоматически активироваться если ставить с OEМ диска.

На не-лаптопе гарантированный метод получить чистую машину это прошить BIOS в автоматическом режиме с USB и установить систему с нуля.

[Privet]

На OEM лаптопе ключи прошиты в том же BIOS, поэтому система должна автоматически активироваться если ставить с OEМ диска.

OEM диск - имеете в виду какой-то CD? Нет у меня никаких CD. Dell XPS приходит голенький в коробке и больше ничего, кроме блока питания.
Подсмотреть эти ключи в BIOS/UEFI можно?

[Searcher]

На OEM лаптопе ключи прошиты в том же BIOS, поэтому система должна автоматически активироваться если ставить с OEМ диска.

OEM диск - имеете в виду какой-то CD? Нет у меня никаких CD. Dell XPS приходит голенький в коробке и больше ничего, кроме блока питания.
Подсмотреть эти ключи в BIOS/UEFI можно?

Из моего опыта с Dell: в BIOS лежит сертификат активируюший систему (не номер/ключ, а именно сертификат). В связи с этим, OS recovery диск от любого Dell с такой же операционной системой должен подойти. В крайнем служе позвонить в Dell Support и заказать рецоверы диск (обычно в порядка $10)

[Uzito]

OEM диск - имеете в виду какой-то CD? Нет у меня никаких CD. Dell XPS приходит голенький в коробке и больше ничего, кроме блока питания.
Подсмотреть эти ключи в BIOS/UEFI можно?

Смотрите тут
https://www.dell.com/support/article/en ... er?lang=en

https://www.techspot.com/guides/1760-fi ... oduct-key/

[Privet]

Кстати, recovery OEM disk, некоторая часть всего диска, у меня, конечно, есть, но вопрос в том, насколько теперь безопасно с него что-то ставить.

Вполне возможно, что Ransom был отвлекающим манёвром, а главная цель была, возможно в краже паролей, но это всё гадание.

[veey+]

если это покупной комп, там должна быть партишн, с которой можно переустановить систему. я так делал на сони вайо с помощью саппорта.

[Privet]

если это покупной комп, там должна быть партишн, с которой можно переустановить систему. я так делал на сони вайо с помощью саппорта.

Там просто директория - Recovery.

У меня два практически идентичных Dell XPS. Разного возраста. На новом (который не пострадал) в папку Recovery войти нельзя. На диске с пострадавшего видна J:\\Recovery\OEM.

[Privet]

Я восстановил систему из папки Recovery. Встало всё автоматом. Почти все файлы с расширением exe убраны, но все мои файлы сохранились. Все программы придётся устанавливать заново.

[Privet]

Вчера закончил поздно. Сейчас немного деталей:

1. Перед восстановлением системы я, люблпытства ради, просканировал заражённую систему несколькими антивирусами - malwarebytes и Касперсим уже "изнутри". Никаких серьёзных проблем не найдено. Как и при внешнем сканировании, были найдены только несколько подознительных легальных приложений.
2. Зешёл при перезагрузке в UEFI и восстановил factory setting. Переписывается при этом вся область UEFI/BIOS или только установки, я не знаю. Если кто-то знает, что при этом реально происходит, дайте, пожалуйста, знать, что конкретно делается в этом случае. Наверняка, это многим будет интересно.
3. Восстановил полностью OEM систему. Мой login сохранился. Что ещё стоит или необходимо сделать, чтобы исключить возможность повторного заражения?

Спасибо всем за помощь. Я давно уже не ковырялся и многие навыки, если и были, растворились в повседневных заботах.
Пожалуйста, дайте знать, если надо сделать что-то ещё или что-то проверить.
Особенно интересует возможность проверки UEFI/BIOS на целостность и на присутствие неизвестного кода.

Спасибо,
Борис

[Uzito]

Restore Factory Settings только очищает настройки.
Вообще говоря, UEFI прошить просто так сложно. Нужно знать приватный ключ производителя компьютера, которым обновления подписываются.
Если Вас целенаправленно не атакует игрок государственного уровня, такое вряд ли возможно.

>Что ещё стоит или необходимо сделать, чтобы исключить возможность повторного заражения?

Не игнорировать предупреждения антивируса. Не скачивать и не запускать сомнительное ПО. Поставить ublock origin или еще лучше PiHole чтобы блокировать рекламные сети, которые довольно часто бывают источниками заразы.

[VovaK98]

Вдогонку.. И не факт, что format c: спасёт от partition sector вирусни.

[Uzito]

Вдогонку.. И не факт, что format c: спасёт от partition sector вирусни.

Зависит от того, как была установлена винда. UEFI + GPT + secure boot не даст дороги вирусу.

Добавлю что 0-day дыры существуют и даже UEFI теоретически можно подломить, но никто не будет выпускать их на волю просто так чтобы заразить случайный компьютер.

[OtecFedor]

Если Вас целенаправленно не атакует игрок государственного уровня, такое вряд ли возможно.

Так вот он какои, Korney...

[liamkin]

Надежнее всего format c:

Ну, для этого много ума не надо. Только там у меня стоит OEM система, ключей к которой у меня нет. Поэтому, запускать систему всё равно придётся (все файлы я скопировал, опасности что-то потерять нет). В идеале её лучше бы вылечить, но я не пойму, что происходит. В системе явно работает вирус, но "внешние" сканеры (пробовал несколько) его не находят. Я оказался первой жертвой неизвестного доселе вируса? Кажется маловероятным. Где он ещё может спрятаться? Причём, напрягает факт того, что погосилась BIOS.

Просканируйте Recovery Partition тоже. Дикие вирусы, которых нет в базе антивирусов, мне попадались. Софт пиратский качать - себе дороже оказалось. Я чувствительную инфу держу в зашифрованных файлах.
Скачайте все бесплатные антивирусы Avira, Avast и т п - и натравливайте по одному. Еще проверьте какие файлы с наиболее свежей датой изменения- создания, их обычно не так много. Смотрите на файлы с большим размером. Может это архив - и антивирус не догадывается об этом - и его надо распаковать.
Про УЕФИ биос - возможно. Сбросьте установки, Прошейте свежий с вебсайта произваодителя, сбросьте установки еще раз.

[Privet]

Честно говоря, я так и не понял что это было. Никаких разрушений обнаружено не было. Это при том, что времени у него было вполне достаточно. После того, как стала дурить клавиатура, я благополучно уснул. Ransom, который появился в списке антивирусных провайдеров, неизвестно куда исчез. Такое впечатление, что это была какая-то пугалка, чтобы народ не вздумал отключать защиту даже на короткое время.

[veey+]

есть вирусы, которые держат часть кода в реджистри, поэтому антивирусы их не находят.

[jekasa]

Словил по собственной дурости. Было много отвлекающих факторов (вышла из строя батарея - срочно требовалась замена, перестал работать мой большой 4K монитор и пр. и пр. более серьёзное). На этом фоне меня стали раздражать непрерывно что-то предлагающие окна Касперского и я не нашёл ничего лучшего, как его отключить совсем. Видимо, в этот момент и словил.

1. Стала крайне медленно работать клавиатура, но я именно в этот момент пытася установить внешний монитор на USB3. Решил, что он забирает слишком много трафика и выталкивает клавиатуру. На самом деле, мне, скорее всего, установили перехватчик ввода от клавиатуры.
2. При перезагрузке лоптопа вошёл в UEFI (всё разбирался с монитором) и обнаружил, что его код покосился. Нажал кнопку "восстановить".
3. Потом сошла с ума мышка. На третий день Зоркий Сокол (с) ... понял, что произошло что-то неладное и что надо срочно реактивировать анти-вирусную защиту и обезвреживать компьютер.
4. В списке анти-вирусов кроме Касперского и виндошного я обнаружил ещё какой то Ransom и в описании к нему было написано что-то типа такого: "пользуйтесь анти-вирусами, чтобы в систему не проникли такие, как Ransom". Полез на гугл смотреть что это за хрень и ахнул.

Сразу выключил лаптоп. В нём стоит SSD диск на PCIe m.2. Заказал срочно коробку (enclosure) под такой диск и теперь его изучаю с другой машинки.

Может вирус осесть в BIOS или в чём-то подобном? Если да, то как его оттуда вытравливать?

Теоретически, вредоносный код может осесть в BIOS, учитывая что Вы используете SSD или NVMe под M.2 скроее всего Вы используете UEFI (UEFI BIOS). С ним дела интереснее, и в теории до Secure Boot делов наделать можно разбираясь с CPLD MB. Но, это все в теории. На практике никто не будет светить новыми тулсами, эксплоитами или инструментами для масс деплоя. В принципе, для перестраховки лучше UEFI BIOS с официально сайта лучше обновить с версии А до Б, но никак не с А до А. Если версия последняя, нужно записать предыдущую, после опять записать последнюю версию BIOS. Пионер в данном деле это HP, они первый внедрели автоматический откат BIOS + iLilo в случае хакерского образа в памяти. Зовется root of trust - https://www.hpe.com/us/en/solutions/inf ... urity.html

Учитывая, многие факторы, наверное самый примитивный и в тоже самый быстрый и эффективный способ, просто сделать рестор с бэкапа или установить ОС с нуля. Лет 10 назад этим занимались чуть ли не каждый год. Если стоит Windows 10, ключ по идее должен не требоваться. С другой стороны если техника от HP или Dell, проще связаться с ними и за символическую плата заказать Recovery DVD. Ключ не нужен в таком случае.

Как универсально средство = Касперский + последние пакеты обновлений + днс от яндекса https://www.go-electronic.com/?p=443 хоть и не являются полной панацеей, но являются довольно хорошей защитой на сегодняшний день.