КАкое расширение у вируса-шифровальщика?

Оникся · 01.02.2021, 10:24

Администраторы, работающие с базами данных и 1С наверняка знают о чём речь. Кто-то знает, какое обычно разрешение имеют скрипты? В интернете пишут, что .js, потому что пишутся на яве. Ещё варианты есть? КАк распознать файлик?

Благодарю

Altwazar · 01.02.2021, 10:45

Цитата:

Сообщение от Оникся

В интернете пишут, что .js, потому что пишутся на яве. Ещё варианты есть? КАк распознать файлик?

Никак, это может быть любой исполняемый (и не совсем) файл.
js популярен только в письмах на почте, так как экзешник через них протащить сложно.

Оникся · 01.02.2021, 10:49

Цитата:

Сообщение от Altwazar

Никак, это может быть любой исполняемый (и не совсем) файл.

Мне прислали письмо с .html . Может быть?

Хотелось бы просто покопаться с коде, если это оно

Altwazar · 01.02.2021, 11:07

Цитата:

Сообщение от Оникся

Мне прислали письмо с .html . Может быть?

Одного .html не достаточно, возможно там еще что-то есть.
Там тяжело что-то разобрать в этих js. Привести их в упорядоченный вид просто, но код всё равно не читаемый.

Гоги · 01.02.2021, 19:37

А шо почтовый софт не блочит js?

Оникся · 01.02.2021, 20:56

В простую гугл почту пришло

Altwazar · 03.02.2021, 09:43

Цитата:

Сообщение от Гоги

А шо почтовый софт не блочит js?

Обычно это js файл в архиве. Чаще всего, ни почтовые серверы, ни клиенты не жалуются.
По какой причине под виндой js файлы так легко запускаются для меня загадка.

Гоги · 03.02.2021, 10:27

Цитата:

Сообщение от Altwazar

Обычно это js файл в архиве. Чаще всего, ни почтовые серверы, ни клиенты не жалуются.
По какой причине под виндой js файлы так легко запускаются для меня загадка.

в каком архиве? гуглопочта например чекает открытые архивы, а если архив запаролен и пароль в теле письма есть - то тоже чекает и блочит письмо если есть потенциально опасные расширения файлов. Наши православные почты пропускают такое, у них подход шоб клиенту удобнее было. Экзешники можно пересылать без проблем. Они проверяют антивирусом и все, но если сборка шифровальщика свежая то это конечно не помогает

ai_bullet · 03.02.2021, 11:12

Любой тип.
Для винды первое, что пришло на ум, это функция RunHTMLApplication. А это уже и всякие элементы ActiveX и доступ к файловой системе и незаметность выполнения и т.д.
По умолчанию расширение таких файлов .hta

Altwazar · 03.02.2021, 11:35

Цитата:

Сообщение от Гоги

в каком архиве?

Иногда с паролем, иногда по ссылке. Архив еще помогает скрыть от глаз расширение файла. На том же gmail-е блокировать js файлы стали только года три назад.

pakos · 03.02.2021, 12:14

в чем проблема удалить не читая да и все

ai_bullet · 03.02.2021, 12:32

По расширению определять, к слову, вообще не правильно. Можно и файлу без расширения определить какой надо MIME тип, хотя б тот же text/html сменить на application/hta.

Altwazar · 03.02.2021, 13:46

Цитата:

Сообщение от ai_bullet

По расширению определять, к слову, вообще не правильно. Можно и файлу без расширения определить какой надо MIME тип, хотя б тот же text/html сменить на application/hta.

У файла не получиться сменить mime. Да и винда, вроде как, ориентируется всё равно по разрешению.

ai_bullet · 03.02.2021, 14:33

Цитата:

Сообщение от Altwazar

У файла не получиться сменить mime.

Почему нет? В скрипте на сервере подставить заголовок какой надо и втюхать в безобидный свиду <object>

Цитата:

Сообщение от Altwazar

Да и винда, вроде как, ориентируется всё равно по разрешению.

В том и дело, что загруженный файл будет иметь расширение какое требуется.
А самой винде пофиг, она ориентируется на сопоставленные ей расширения файлов приложениям.

Код:

fsutil file createnew %userprofile%\file 0 && mshta %userprofile%\file

First Hero · 03.02.2021, 14:37

А через "Песочницу" открыть файл слабо?

Altwazar · 03.02.2021, 16:26

Цитата:

Сообщение от ai_bullet

Почему нет? В скрипте на сервере подставить заголовок какой надо и втюхать в безобидный свиду <object>

Можно, но это может повлиять только на интерпретацию файла браузером. Не вижу от этого пользы в плане доставки шифровальщика.