Макс: Ловят, потому что на него навешан дополнительный функционал, там и функции трояна, и функции локера.
Эти сигнатуры есть в базе антивирусов, и по ним его отследить элементарно.
Современные шифровальщики в большей своей массе, не несут на себе никакого дополнительного функционала кроме собственно шифрования.
Они даже не утруждают себя блокированием экрана, и сообщением пользователю что все его файлы зашифрованы.
Зачем? По таким действиям их легко заблокировать антивирусы.
Поэтому современный шифровальщик отработал, все зашифровали и удалился.
А пользователь узнает что файлы зашифрованы только увидев странные имена файлов.
Как правило в имени файлов записан и почтовый адрес вымогателей, куда надо обращаться за расшифровкой.
Просто и эффективно.
Вот по приведенной вами ссылке описаны найденные подозрительные участки кода-
Keystroke loggers
Password stealers
Password crackers
Spam tools
Port scanners
Vulnerability scanners
Flooders
Patchers
Это типичные для вирусов фишки, и они прекрасно ловятся по ним.
А шифровальщику не надо ни пароли искать, ни патчить чего-то там, ни лог клавиатурный писать.
Нет у него подозрительных сигнатур.
Что касается упомянутой вами википедии, то вот классификация вируса из википедии -
"Компью́терный ви́рус — вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи."
Шифровальщик не создает своих копий.
Не внедряется в код других программ.
Не лезет в системные области памяти, и загрузочные секторы.
Не распространяет свои копии по каналам связи.
По сигнатурам определить его нереально. Бывают два типа сигнатур
1)банальная контрольная сумма файла, но это малоэффективно, добавил один байт к файлу и уже сигнатура другая.
2) сигнатуры не всего файла, а определенного куска, который выполняет некоторые действия.
Контрольная сумма файлов обходится элементарно - добавляешь в тело файла ненужную для работы информацию, что то типа порядкового номера, и штампуешь тысячи файлов с разными контрольными суммами.
С вирусом такое сделать намного сложнее - вирус должен сам распостранятся по системе, т.е вбросили его в десятке мест, а дальше он бегает от машины к машине через сеть, или через флешки.
Т.е его можно отследить по контрольной сумме в принципе.
Шифровальщик же как правило доставляется персонально клиенту, например через письма - делаешь рассылку, и для каждого адреса файлы с разными контрольными суммами. Делается элементарно.
Второй тип - сигнатура кода подразумевает наличие характерных кусков кода, выполняющих определенные действия.
Вот с этим тут проблема - характерный кусок кода только один, собственно код который выполняет шифрование, но поскольку они используют стандартные механизмы шифрования, такой код содержат тысячи полезных программ. Например тот же винрар. Включишь такую сигнатуру в вирусную базу - и антивирус заблокирует у миллионов пользователей миллионы полезных программ. Пользователи за это спасибо не скажут.
А других каких то особых сигнатур у него нет - он больше ничего особенного не делает, исключительно стандартные действия - обход файлов, запись в файл, удаление файлов.
Это что касается сигнатур.
А по эвристике тоже ничего полезного - он прописывает себя в автозагрузку, не пытается проникнуть по сети на другие компьютеры, не пытается повысить привилегии, не пытается записать себя как службу. Т.е его эффективность основана на простоте.
Ему не нужны какие то хитрые механизмы проникновения в систему, по которым отслеживается большинство вирусов - пользователь его запускает сам, своими руками.
Ему не нужно прописывать себя в автозагрузку - у него нет задачи оставаться в системе, наоборот после окончания работы он сам себя любезно удаляет.
Ему не нужны админские права - он шифрует те файлы к которым имеет доступ запустивший его пользователь, этого достаточно.
Макс: Антивирус не может обнаружить шифровальщик если он не содержит вирусов.
Зачастую вирусы используют как транспорт для шифровальщика, либо включают вирус в состав шифровальщика для повышения привилегий.
В таких случаях шифровальщик содержит вирусные сигнатуры и прекрасно детектируется и блокируется антивирусами.
Но такое бывает редко, большинство шифровальщиков с которыми я сталкивался были простые и эффективные - никаких вирусов.
Пользователь их запускает, они шифруют все, после чего самоуничтожаются.
Ну если канальная 300 то так и есть.
Но такое бывает редко - это эфир должен быть довольно чистый, и сигнал хороший, да и провайдеры редко дают скорость более 100мегабит в интернет, разве что в локалку.
Поэтому из за того, что иногда будет возможность качать на 20% быстрее особого смысла брать маршрутизатор с гигабитным портом нет.
кейгены которые вирусом не являются прекрасно детектируются антивирусами по одной простой примете - они лезут в память чужого процесса.
Т.е чтобы сгенерировать ключ от программы надо залезть в память программы.
Вот на этом их и ловят.
Полез в чужую память - значит что-то подозрительное делает, надо заблокировать.
Макс: По той простой причине что это не вирус.
Вирусы это определенный класс программ, которые эксплуатируя уязвимости системы совершают разные действия в системе.
Шифровальщики как правило не используют никаких уязвимостей, т.е это обычная программа шифрующая данные, запущенная пользователем. Что плохого в программе шифрующей данные? И почему антивирус должен на нее реагировать. Я вот программой winrar регулярно шифрую данные, и ничего, антивирусы на нее не реагируют.
Вся разница в том что шифровальщик не сообщает пользователю ключ для дешифровки. Это его единственное отличие от нормальной программы шифрующей данные.
Поэтому отличить их от нормальных программ не представляется возможным.
Иногда для доставки шифровальщика на целевую машину используется вирус в качестве транспорта, тогда антивирус может помочь - заблокировать вирус, и шифровальщика который он несет в себе.
Но чаще шифровальщики проникают на систему используя методы социальной инженерии, т.е их запускает пользователь.
Олег Nerwin: Ну я же говорю - если подключение исключительно по WiFi, т.е вся локалка по WiFi.
Если локальная сеть на витой паре- тогда смысл есть, и еще какой.
телефон по wifi выдает 90мбит, а ноутбук с 2 антеннами до 150
Выдает, не спорю. В идеальных условиях. В реальных как правило меньше.Это первое.
Ну даже пусть он выдает 150мегабит - это канальная скорость, т.е скорость беспроводного канала передачи данных. По этому каналу передаются ваши данные, а так же служебная информация, коды коррекции и.т.п.
При канале 150мегабит реальная скорость передачи ваших данных будет ниже 100мегабит, т.к в протокол WiFi из за нестабильности среды передачи заложено много избыточности - т.е передается куча кодов коррекции, и прочей технической информации.
Поэтому порт на 100мегабит никак не будет вас ограничивать.
dieillusion: Ну почему же не отвечает, отвечает.
Если вы отдали в гарантийный ремонт, а вам вернули из ремонта ноутбук не устранив проблему, то это повод предъявить претензию.
Но в вашем то случае проблему устранили насколько я понял.
Так какая вам разница каким образом ее устранили? Это исключительно внутреннее дело самого СЦ и вас не должно касаться.
Пума Тайланд: Ну я бы не сказал что это девять кругов ада, просто это реально долго.
И да отзывал было дело.
Просто на картах не держу крупных сумм, блокирование которых будет для меня проблематичным.
Карта это аналог денег на карманные расходы.
Крупные суммы надо держать на банковских счетах.
К тому же в большинстве случаев расчеты идут с использованием 3D Secure.
А расчеты которые разрешены без использования данной фишки - обычно ограничены очень мелкими суммами.
Поэтому проще знать об особенностях карты, чем устраивать пляски с напильником))
Cha Chochu: Я просто подумал что это гарантийный ремонт, т.е бесплатный.
Если ремонт не бесплатный, то появляется возможность подать в суд на СЦ.
Для этого нужно-
1) Документ от СЦ где указано что они заменили мат. плату.
2) Документ от производителя или продавца, где указан серийный номер мат. платы для определения факта замены.
В данном же случае
1)"по их словам, они заменили материнскую плату" - отсюда можно сделать вывод что документа где СЦ утверждает о замене нет, только слова.
2)Нет документа от производителя или продавца с указанием серийника прежней мат. платы.
Т.е в суд идти не с чем.
yamatoko: Во первых если уж на то пошло, TOR не обеспечивает полной анонимности.
Во вторых - для парсинга анонимность не нужна.
В третьих - TOR для парсинга применяется крайне редко, ибо медленно, и скорость небольшая.
Обычно используются прокси.
Эти сигнатуры есть в базе антивирусов, и по ним его отследить элементарно.
Современные шифровальщики в большей своей массе, не несут на себе никакого дополнительного функционала кроме собственно шифрования.
Они даже не утруждают себя блокированием экрана, и сообщением пользователю что все его файлы зашифрованы.
Зачем? По таким действиям их легко заблокировать антивирусы.
Поэтому современный шифровальщик отработал, все зашифровали и удалился.
А пользователь узнает что файлы зашифрованы только увидев странные имена файлов.
Как правило в имени файлов записан и почтовый адрес вымогателей, куда надо обращаться за расшифровкой.
Просто и эффективно.