Для входа на форум нажмите здесь
Новые комментарии
КАкое расширение у вируса-шифровальщика?
Автор темы: Оникся
Дата создания: 01.02.2021 10:24
Аватар для Оникся
Игрок
Регистрация:
28.08.2013
GoHa.Ru - 10 лет Медаль "500 лайков" Просветитель
Награжден за: За гайд по классу Самурай в Final Fantasy XIV
КАкое расширение у вируса-шифровальщика?
Администраторы, работающие с базами данных и 1С наверняка знают о чём речь. Кто-то знает, какое обычно разрешение имеют скрипты? В интернете пишут, что .js, потому что пишутся на яве. Ещё варианты есть? КАк распознать файлик?

Благодарю

Судьбы нет. Только Сила Воли
Одиночества плен лучше праведной лжи
Аватар для Altwazar
Мастер
Регистрация:
03.08.2006
GoHa.Ru - 10 лет
Re: КАкое расширение у вируса-шифровальщика?
Сообщение от Оникся:
В интернете пишут, что .js, потому что пишутся на яве. Ещё варианты есть? КАк распознать файлик?
Никак, это может быть любой исполняемый (и не совсем) файл.
js популярен только в письмах на почте, так как экзешник через них протащить сложно.
Аватар для Оникся
Игрок
Регистрация:
28.08.2013
GoHa.Ru - 10 лет Медаль "500 лайков" Просветитель
Награжден за: За гайд по классу Самурай в Final Fantasy XIV
Re: КАкое расширение у вируса-шифровальщика?
Сообщение от Altwazar:
Никак, это может быть любой исполняемый (и не совсем) файл.
Мне прислали письмо с .html . Может быть?

Хотелось бы просто покопаться с коде, если это оно

Судьбы нет. Только Сила Воли
Одиночества плен лучше праведной лжи
Аватар для Altwazar
Мастер
Регистрация:
03.08.2006
GoHa.Ru - 10 лет
Re: КАкое расширение у вируса-шифровальщика?
Сообщение от Оникся:
Мне прислали письмо с .html . Может быть?
Одного .html не достаточно, возможно там еще что-то есть.
Там тяжело что-то разобрать в этих js. Привести их в упорядоченный вид просто, но код всё равно не читаемый.
Аватар для gogi
глубокий аналитик
Веселый дембель Рейдер пандемии
Награжден за: Эксперт по выживанию при пандемии COVID-19 GoHa.Ru - 10 лет Медаль "2К лайков"
Re: КАкое расширение у вируса-шифровальщика?
А шо почтовый софт не блочит js?

Сообщение от kamaelf:
я не мужик
Аватар для Оникся
Игрок
Регистрация:
28.08.2013
GoHa.Ru - 10 лет Медаль "500 лайков" Просветитель
Награжден за: За гайд по классу Самурай в Final Fantasy XIV
Re: КАкое расширение у вируса-шифровальщика?
В простую гугл почту пришло

Судьбы нет. Только Сила Воли
Одиночества плен лучше праведной лжи
Аватар для Altwazar
Мастер
Регистрация:
03.08.2006
GoHa.Ru - 10 лет
Re: КАкое расширение у вируса-шифровальщика?
Сообщение от Гоги:
А шо почтовый софт не блочит js?
Обычно это js файл в архиве. Чаще всего, ни почтовые серверы, ни клиенты не жалуются.
По какой причине под виндой js файлы так легко запускаются для меня загадка.
Аватар для gogi
глубокий аналитик
Веселый дембель Рейдер пандемии
Награжден за: Эксперт по выживанию при пандемии COVID-19 GoHa.Ru - 10 лет Медаль "2К лайков"
Re: КАкое расширение у вируса-шифровальщика?
Сообщение от Altwazar:
Обычно это js файл в архиве. Чаще всего, ни почтовые серверы, ни клиенты не жалуются.
По какой причине под виндой js файлы так легко запускаются для меня загадка.
в каком архиве? гуглопочта например чекает открытые архивы, а если архив запаролен и пароль в теле письма есть - то тоже чекает и блочит письмо если есть потенциально опасные расширения файлов. Наши православные почты пропускают такое, у них подход шоб клиенту удобнее было. Экзешники можно пересылать без проблем. Они проверяют антивирусом и все, но если сборка шифровальщика свежая то это конечно не помогает
Аватар для ai_bullet
No Pasaran
Регистрация:
06.06.2020
Зомби мутанта Победитель конкурса
Награжден за: Победитель конкурса по Mafia: Definitive Edition
Re: КАкое расширение у вируса-шифровальщика?
Любой тип.
Для винды первое, что пришло на ум, это функция RunHTMLApplication. А это уже и всякие элементы ActiveX и доступ к файловой системе и незаметность выполнения и т.д.
По умолчанию расширение таких файлов .hta
Аватар для Altwazar
Мастер
Регистрация:
03.08.2006
GoHa.Ru - 10 лет
Re: КАкое расширение у вируса-шифровальщика?
Сообщение от Гоги:
в каком архиве?
Иногда с паролем, иногда по ссылке. Архив еще помогает скрыть от глаз расширение файла. На том же gmail-е блокировать js файлы стали только года три назад.
Аватар для pakos
Регистрация:
28.03.2008
Крафтер GoHa.Ru - 10 лет
Re: КАкое расширение у вируса-шифровальщика?
в чем проблема удалить не читая да и все
Аватар для ai_bullet
No Pasaran
Регистрация:
06.06.2020
Зомби мутанта Победитель конкурса
Награжден за: Победитель конкурса по Mafia: Definitive Edition
Re: КАкое расширение у вируса-шифровальщика?
По расширению определять, к слову, вообще не правильно. Можно и файлу без расширения определить какой надо MIME тип, хотя б тот же text/html сменить на application/hta.
Аватар для Altwazar
Мастер
Регистрация:
03.08.2006
GoHa.Ru - 10 лет
Re: КАкое расширение у вируса-шифровальщика?
Сообщение от ai_bullet:
По расширению определять, к слову, вообще не правильно. Можно и файлу без расширения определить какой надо MIME тип, хотя б тот же text/html сменить на application/hta.
У файла не получиться сменить mime. Да и винда, вроде как, ориентируется всё равно по разрешению.
Аватар для ai_bullet
No Pasaran
Регистрация:
06.06.2020
Зомби мутанта Победитель конкурса
Награжден за: Победитель конкурса по Mafia: Definitive Edition
Re: КАкое расширение у вируса-шифровальщика?
Сообщение от Altwazar:
У файла не получиться сменить mime.
Почему нет? В скрипте на сервере подставить заголовок какой надо и втюхать в безобидный свиду <object>

Сообщение от Altwazar:
Да и винда, вроде как, ориентируется всё равно по разрешению.
В том и дело, что загруженный файл будет иметь расширение какое требуется.
А самой винде пофиг, она ориентируется на сопоставленные ей расширения файлов приложениям.

Код:
fsutil file createnew %userprofile%\file 0 && mshta %userprofile%\file
Аватар для First Hero
Старожил
Регистрация:
15.04.2008
Зомби мутанта
Re: КАкое расширение у вируса-шифровальщика?
А через "Песочницу" открыть файл слабо?
Аватар для Altwazar
Мастер
Регистрация:
03.08.2006
GoHa.Ru - 10 лет
Re: КАкое расширение у вируса-шифровальщика?
Сообщение от ai_bullet:
Почему нет? В скрипте на сервере подставить заголовок какой надо и втюхать в безобидный свиду <object>
Можно, но это может повлиять только на интерпретацию файла браузером. Не вижу от этого пользы в плане доставки шифровальщика.
Ваши права в разделе