Эпидемия шифратора WannaCryptor: рекомендации ESET
Автор
Ego Dekker, в Eset NOD32 Antivirus & Smart Security
Объявления
-
Сообщения
-
От demkd · Опубликовано
ничего нового ---------------------------------------------------------
4.99.5
---------------------------------------------------------
o Добавлен новый режим запуска для работы с неактивной системой без необходимости загрузки с флешки или диска.
Начиная с Windows 8 доступна интеграция uVS в меню дополнительных параметров загрузки для
запуска uVS из штатной среды восстановления Windows (WinRE) для работы с _неактивной_ системой.
Интеграция осуществляется нажатием кнопки "Интегрировать uVS в меню дополнительных параметров загрузки".
Загрузиться в меню можно с помощью кнопки "Перезагрузить систему в меню дополнительных параметров загрузки",
после появления меню выберите:
Поиск и устранение неисправностей/Диагностика/Troubleshoot(зависит от версии и региона Windows) --> uVS
В отличии от dclone, uVS уже не получится разместить в образе WinRE, просто не хватит места на диске,
поэтому запуск uVS происходит из каталога запуска процесса интеграции, т.е. при обновлении версии uVS
не нужно повторно выполнять интеграцию, достаточно обновить uVS в каталоге из которого была произведена интеграция.
В пути до uVS допустимо использовать кириллицу, даже если WinRE не имеет поддержки русского языка.
При запуске из меню дополнительно производится инициализация сети в WinRE, т.е. будет доступна сеть
для проверки файлов на VT, проверки сертификатов или для предоставления доступа удаленному пользователю к "рабочему столу".
o Разовый доступ к рабочему столу доступен в WinRE/WinPЕ если в нем была инициализирована сеть,
если образ сделан в uVS или загрузка была через интегрированный пункт в меню то сеть инициализируется при старте системы
автоматически, однако поддержки uPNP в WinRE по умолчанию нет, поэтому для подключения к "рабочему столу" WinPE
следует использовать обратное подключение к клиенту с белым адресом. (если подключение будет через интернет).
(!) В WinRE/PE доступен только один режим захвата экрана - GDI, передача экрана нормально работает в WinRE/PE на базе
(!) Win8/Win8.1/Win11, в Win11 и WinPE на его базе необходим включенный режим BLT, в противном случае консольные окна не отображаются.
(!) Как минимум часть версий WinPE на базе Win10 дефектные (все x86), при работе с ним не отображаются консольные окна и есть проблемы
(!) с отрисовкой окон и без удаленного доступа.
(!) Аналогичная проблема наблюдается в WinRE для устаревших билдов Win10, для новых билдов Win10 проблемы нет.
(!) В некоторых случаях окно uVS может оказаться за меню загрузки, в этом случае используйте Alt+Tab для переключения окон.
o Добавлены новые модули:
o файл rein/rein.x64 отвечает за запуск uVS из меню.
o файл usvc.x64 отвечает за запуск uVS под LocalSystem.
o встроенный ресурс getcpb отвечает за получение файлов из пользовательского буфера обмена при запуске под LocalSystem.
o В окно лога подключения к удаленному рабочему столу добавлены кнопки для быстрого доступа к настройкам системы,
запуску uVS и файлового менеджера.
o Добавлена поддержка создания загрузочных образов дисков на базе WinPE+ADK v10.1.26100.2454 (декабрь 2024).
(!) для создания 32-х битного WinPE или WinPE с поддержкой старого железа этот ADK не годится.
(!) для создания 32-х битных образов используйте ADK для Windows 10 2004. (см. подробнее в FAQ.txt)
o Улучшена функция создания загрузочных дисков.
ISO стал мультизагрузочным с поддержкой UEFI, ISO теперь создается в UDF формате,
т.е. загрузка с диска будет работать и на старом компьютере без UEFI и на новом с UEFI.
Образ диска теперь занимает немного меньше места за счет дополнительно оптимизации содержимого UDF ISO.
Добавлена проверка на разметку флешки, допустимая разметка MBR, GPT не поддерживается.
(!) Загрузочная флешка всегда форматируется в FAT32, вся информация на флешке будет удалена,
(!) флешки теперь мультизагрузочные.
o Если недоступен режим захвата экрана DDA то серверная часть теперь автоматически устанавливает режим захвата GDI.
o Теперь пока открыто окно удаленного рабочего стола удаленная система не будет засыпать.
o Теперь окно лога передачи файла можно свернуть вместе с основным окном.
o При ручном вводе одноразового кода доступа к удаленному рабочему столу тире теперь расставляются автоматически.
o Исполняемый файл при выборе режима разового доступа к рабочему столу теперь
всегда имеет фиксированное имя "uvsrdp".
Т.е. теперь можно из одного каталога последовательно запустить удаленный рабочий стол и затем uVS в обычном режиме.
o Оптимизирована вспомогательная функция копирования незащищенных файлов, теперь она работает немного быстрее
системной функции CopyFile если копирование файла происходит на другой диск и значительно быстрее если
при этом исходный файл хотя бы частично попал в файловый кэш.
o Уменьшены требования к доступной памяти при запуске в системе без файла подкачки.
Уменьшено максимально возможное число файлов в списке для x86 систем до 100000.
o uVS теперь совместим со штатной средой восстановления Windows 8.
o Перехват клавиатуры выделен в отдельный поток, что снизило инпут лаг нажатий клавиш и устранило проблему
задержки ввода с клавиатуры на клиентской машине при передаче файлов по узкому каналу (менее 10Mbit).
o Исправлена ошибка из-за которой не восстанавливался размер окна удаленного рабочего стола при повторном нажатии Alt+V.
o Исправлена ошибка из-за которой был доступен просмотр экрана удаленного компьютера в режиме "только передача файлов"
если был выбран режим захвата экрана GDI или DDA1.
o Исправлена ошибка из-за которой в окне удаленного доступа при выборе настройки из списка передавались нажатия и движения мыши
в удаленную систему.
o Исправлена ошибка из-за которой назначение основного дисплея влияло на номер дисплея в DDA режиме, что приводило
к неправильному расчету координат мыши на виртуальном дисплее удаленной системы.
o Исправлена ошибка из-за которой не сохранялся каталог дополнительных файлов при создании загрузочной флешки.
o Передаваемый по сети файл теперь блокируется не полностью на время передачи, а остается доступным для чтения.
o Исправлена ошибка из-за которой не передавались на удаленный компьютер файлы с длинным путем (ошибка "путь не найден").
o Исправлена ошибка из-за которой в редких случаях не восстанавливались права доступа и владелец ключей реестра после их модификации.
-
От PR55.RP55 · Опубликовано
Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] - [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO - [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию ) -
От PR55.RP55 · Опубликовано
В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067 -
От demkd · Опубликовано
И не должен работать, такое удалять разрешено только вручную. -
От PR55.RP55 · Опубликовано
Ошибка получения XML описания задачи: \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask [Error: 0x80041321 - Образ задачи поврежден или изменен. ] Соответственно на такие случаи команда: (Alt+Delete) не работает. https://vms.drweb.ru/virus/?i=27169926
-