Для входа на форум нажмите здесь

Вернуться   GoHa.Ru > Форумы > Компьютеры: железо, софт и VR

Ответ
 
Опции темы
Старый 01.02.2021, 10:24   #1 
Оникся
Игрок Оникся вне форума

 Аватар для Оникся

Ответить с цитированием
Info
Сообщений: 12,897
Всего лайков: 685
Регистрация: 28.08.2013
Медаль "500 лайков" GoHa.Ru - Старожил Просветитель
Награжден за: За гайд по классу Самурай в Final Fantasy XIV
КАкое расширение у вируса-шифровальщика?

Администраторы, работающие с базами данных и 1С наверняка знают о чём речь. Кто-то знает, какое обычно разрешение имеют скрипты? В интернете пишут, что .js, потому что пишутся на яве. Ещё варианты есть? КАк распознать файлик?

Благодарю
__________________
Судьбы нет. Только Сила Воли
Одиночества плен лучше праведной лжи
Старый 01.02.2021, 10:45   #2 
Altwazar
Гуру Altwazar сейчас на форуме

 Аватар для Altwazar

Ответить с цитированием
Info
Сообщений: 4,352
Всего лайков: 187
Регистрация: 03.08.2006
Игра: Guild Wars 2
Сервер: Piken Square
Гилд.: ComCon[ComC]
GoHa.Ru I Степени
Re: КАкое расширение у вируса-шифровальщика?

Цитата:
Сообщение от Оникся Посмотреть сообщение
В интернете пишут, что .js, потому что пишутся на яве. Ещё варианты есть? КАк распознать файлик?
Никак, это может быть любой исполняемый (и не совсем) файл.
js популярен только в письмах на почте, так как экзешник через них протащить сложно.
Старый 01.02.2021, 10:49   #3 
Оникся
Игрок Оникся вне форума

 Аватар для Оникся

Ответить с цитированием
Info
Сообщений: 12,897
Всего лайков: 685
Регистрация: 28.08.2013
Медаль "500 лайков" GoHa.Ru - Старожил Просветитель
Награжден за: За гайд по классу Самурай в Final Fantasy XIV
Re: КАкое расширение у вируса-шифровальщика?

Цитата:
Сообщение от Altwazar Посмотреть сообщение
Никак, это может быть любой исполняемый (и не совсем) файл.
Мне прислали письмо с .html . Может быть?

Хотелось бы просто покопаться с коде, если это оно
__________________
Судьбы нет. Только Сила Воли
Одиночества плен лучше праведной лжи
Старый 01.02.2021, 11:07   #4 
Altwazar
Гуру Altwazar сейчас на форуме

 Аватар для Altwazar

Ответить с цитированием
Info
Сообщений: 4,352
Всего лайков: 187
Регистрация: 03.08.2006
Игра: Guild Wars 2
Сервер: Piken Square
Гилд.: ComCon[ComC]
GoHa.Ru I Степени
Re: КАкое расширение у вируса-шифровальщика?

Цитата:
Сообщение от Оникся Посмотреть сообщение
Мне прислали письмо с .html . Может быть?
Одного .html не достаточно, возможно там еще что-то есть.
Там тяжело что-то разобрать в этих js. Привести их в упорядоченный вид просто, но код всё равно не читаемый.
Старый 01.02.2021, 19:37   #5 
gogi
поджигатель пуканов gogi вне форума

 Аватар для gogi

Ответить с цитированием
Info
Всего лайков: 1,504
Игра: дока2
Рейдер пандемии
Награжден за: Эксперт по выживанию при пандемии COVID-19 GoHa.Ru - 10 лет Медаль "1К лайков"
Re: КАкое расширение у вируса-шифровальщика?

А шо почтовый софт не блочит js?
__________________
Цитата:
Сообщение от Velsh Посмотреть сообщение
жду тебя в можайске, покажу очко
Цитата:
Сообщение от Velsh Посмотреть сообщение
а так я миллионер да
Старый 01.02.2021, 20:56   #6 
Оникся
Игрок Оникся вне форума

 Аватар для Оникся

Ответить с цитированием
Info
Сообщений: 12,897
Всего лайков: 685
Регистрация: 28.08.2013
Медаль "500 лайков" GoHa.Ru - Старожил Просветитель
Награжден за: За гайд по классу Самурай в Final Fantasy XIV
Re: КАкое расширение у вируса-шифровальщика?

В простую гугл почту пришло
__________________
Судьбы нет. Только Сила Воли
Одиночества плен лучше праведной лжи
Старый 03.02.2021, 09:43   #7 
Altwazar
Гуру Altwazar сейчас на форуме

 Аватар для Altwazar

Ответить с цитированием
Info
Сообщений: 4,352
Всего лайков: 187
Регистрация: 03.08.2006
Игра: Guild Wars 2
Сервер: Piken Square
Гилд.: ComCon[ComC]
GoHa.Ru I Степени
Re: КАкое расширение у вируса-шифровальщика?

Цитата:
Сообщение от Гоги Посмотреть сообщение
А шо почтовый софт не блочит js?
Обычно это js файл в архиве. Чаще всего, ни почтовые серверы, ни клиенты не жалуются.
По какой причине под виндой js файлы так легко запускаются для меня загадка.
Старый 03.02.2021, 10:27   #8 
gogi
поджигатель пуканов gogi вне форума

 Аватар для gogi

Ответить с цитированием
Info
Всего лайков: 1,504
Игра: дока2
Рейдер пандемии
Награжден за: Эксперт по выживанию при пандемии COVID-19 GoHa.Ru - 10 лет Медаль "1К лайков"
Re: КАкое расширение у вируса-шифровальщика?

Цитата:
Сообщение от Altwazar Посмотреть сообщение
Обычно это js файл в архиве. Чаще всего, ни почтовые серверы, ни клиенты не жалуются.
По какой причине под виндой js файлы так легко запускаются для меня загадка.
в каком архиве? гуглопочта например чекает открытые архивы, а если архив запаролен и пароль в теле письма есть - то тоже чекает и блочит письмо если есть потенциально опасные расширения файлов. Наши православные почты пропускают такое, у них подход шоб клиенту удобнее было. Экзешники можно пересылать без проблем. Они проверяют антивирусом и все, но если сборка шифровальщика свежая то это конечно не помогает
Старый 03.02.2021, 11:12   #9 
ai_bullet
No Pasaran ai_bullet вне форума

Ответить с цитированием
Info
Сообщений: 699
Всего лайков: 82
Регистрация: 06.06.2020
Зомби мутанта Победитель конкурса
Награжден за: Победитель конкурса по Mafia: Definitive Edition
Re: КАкое расширение у вируса-шифровальщика?

Любой тип.
Для винды первое, что пришло на ум, это функция RunHTMLApplication. А это уже и всякие элементы ActiveX и доступ к файловой системе и незаметность выполнения и т.д.
По умолчанию расширение таких файлов .hta
Старый 03.02.2021, 11:35   #10 
Altwazar
Гуру Altwazar сейчас на форуме

 Аватар для Altwazar

Ответить с цитированием
Info
Сообщений: 4,352
Всего лайков: 187
Регистрация: 03.08.2006
Игра: Guild Wars 2
Сервер: Piken Square
Гилд.: ComCon[ComC]
GoHa.Ru I Степени
Re: КАкое расширение у вируса-шифровальщика?

Цитата:
Сообщение от Гоги Посмотреть сообщение
в каком архиве?
Иногда с паролем, иногда по ссылке. Архив еще помогает скрыть от глаз расширение файла. На том же gmail-е блокировать js файлы стали только года три назад.
Старый 03.02.2021, 12:14   #11 
pakos
pakos вне форума

 Аватар для pakos

Ответить с цитированием
Info
Сообщений: 13,981
Всего лайков: 107
Регистрация: 28.03.2008
Игра: жду новых релизов
GoHa.Ru - 10 лет Крафтер
Re: КАкое расширение у вируса-шифровальщика?

в чем проблема удалить не читая да и все
Старый 03.02.2021, 12:32   #12 
ai_bullet
No Pasaran ai_bullet вне форума

Ответить с цитированием
Info
Сообщений: 699
Всего лайков: 82
Регистрация: 06.06.2020
Зомби мутанта Победитель конкурса
Награжден за: Победитель конкурса по Mafia: Definitive Edition
Re: КАкое расширение у вируса-шифровальщика?

По расширению определять, к слову, вообще не правильно. Можно и файлу без расширения определить какой надо MIME тип, хотя б тот же text/html сменить на application/hta.
Старый 03.02.2021, 13:46   #13 
Altwazar
Гуру Altwazar сейчас на форуме

 Аватар для Altwazar

Ответить с цитированием
Info
Сообщений: 4,352
Всего лайков: 187
Регистрация: 03.08.2006
Игра: Guild Wars 2
Сервер: Piken Square
Гилд.: ComCon[ComC]
GoHa.Ru I Степени
Re: КАкое расширение у вируса-шифровальщика?

Цитата:
Сообщение от ai_bullet Посмотреть сообщение
По расширению определять, к слову, вообще не правильно. Можно и файлу без расширения определить какой надо MIME тип, хотя б тот же text/html сменить на application/hta.
У файла не получиться сменить mime. Да и винда, вроде как, ориентируется всё равно по разрешению.
Старый 03.02.2021, 14:33   #14 
ai_bullet
No Pasaran ai_bullet вне форума

Ответить с цитированием
Info
Сообщений: 699
Всего лайков: 82
Регистрация: 06.06.2020
Зомби мутанта Победитель конкурса
Награжден за: Победитель конкурса по Mafia: Definitive Edition
Re: КАкое расширение у вируса-шифровальщика?

Цитата:
Сообщение от Altwazar Посмотреть сообщение
У файла не получиться сменить mime.
Почему нет? В скрипте на сервере подставить заголовок какой надо и втюхать в безобидный свиду <object>

Цитата:
Сообщение от Altwazar
Да и винда, вроде как, ориентируется всё равно по разрешению.
В том и дело, что загруженный файл будет иметь расширение какое требуется.
А самой винде пофиг, она ориентируется на сопоставленные ей расширения файлов приложениям.

Код:
fsutil file createnew %userprofile%\file 0 && mshta %userprofile%\file
Старый 03.02.2021, 14:37   #15 
First Hero
Старожил First Hero вне форума

 Аватар для First Hero

Ответить с цитированием
Info
Сообщений: 1,762
Всего лайков: 24
Регистрация: 15.04.2008
Ник: First Hero
ВКонтакте Google Steam Яндекс
GoHa.Ru II Степени Зомби мутанта
Re: КАкое расширение у вируса-шифровальщика?

А через "Песочницу" открыть файл слабо?
Старый 03.02.2021, 16:26   #16 
Altwazar
Гуру Altwazar сейчас на форуме

 Аватар для Altwazar

Ответить с цитированием
Info
Сообщений: 4,352
Всего лайков: 187
Регистрация: 03.08.2006
Игра: Guild Wars 2
Сервер: Piken Square
Гилд.: ComCon[ComC]
GoHa.Ru I Степени
Re: КАкое расширение у вируса-шифровальщика?

Цитата:
Сообщение от ai_bullet Посмотреть сообщение
Почему нет? В скрипте на сервере подставить заголовок какой надо и втюхать в безобидный свиду <object>
Можно, но это может повлиять только на интерпретацию файла браузером. Не вижу от этого пользы в плане доставки шифровальщика.
Ответ

Вернуться   GoHa.Ru > Форумы > Компьютеры: железо, софт и VR
Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


(c) GoHa.Ru 2003-2021
Рейтинг@Mail.ru