На примере компьютера с очередной фотостудии, с установленной windows 7 , антивирусом Касперского, отключенными обновлениями и активатором с сюрпризом, мы узнаем о активной жизни хакеров из Equation Group.

чистка от вирусов Новомосковск

О этом писали даже ленивые, но как видно, технические статьи мало интересуют обывателя. Гораздо важнее рассказать о простых мерах безопасности, которые помогут сохранить информацию, время и деньги.

Важно понимать что безопасность данных и уязвимость вашего компьютера это неразрывная связь, где не стоит пренебрегать вторым. Частые страхи людей у нас же пиратская версия, мы боимся обновлений. Это и приводит к плохим результатам.

Машина работа в нормальном режиме лишь касперский постоянно ловил в памяти Rootkit.Win64.EquationDrug, блокировала попытки перейти на веб-страницу злоумышленников и запуски определенных программ. Платформа EquationDrug спокойно разместилась на Windows 7 и ограниченно соседствовала с каспером. Функционал платформы довольно обширный, удаленный доступ, распространение по сети, выборочные атака по компьютерам с определенной промышленной или индустриальной направленностью, троян шифровальщик, даже майнер запихнули. Более подробно ниже на картинке. Данные платформы разрабатывались еще АНБ, на сегодняшний момент ими пользуются различные хакерские группировки.
На текущий момент существуют и другие продвинутые киберплатфомы для атак на компьютеры

Работа платформы EquationDrug

Если вы используете Касперского и он находит что ли подобное, значит вы заражены одним из самых опасных и распространенным на территории России и Азиатских стран вирусом.

PDM:Exploit.Win32.Generic
MEM:Trojan.Win64.EquationDrug.gen
MEM:Rootkit.Win64.EquationDrug.a
Trojan-Dropper.Win32.Injector.nsfi
MEM:Trojan.Win32.EquationDrug.gen
MEM:Rootkit.Win32.EquationDrug.a
Backdoor.MSIL.NanoBot.afyd
Email-Worm.Win32.Bagle.pac

Как можно было понять антивирус не мог определить момент запуска и лишь сигнализировал о нахождении вредного присутствия в памяти. С данным вирусом  справляется Dr Web, в данном случаи я не стал его использовать а решил попробывать для начала связку TDSS Killer + Autorun + руки. Выставив все галочки в настройках TDSS Killler, программа выдала 4 сомнительных сервиса, без цифровых подписей. Один сервис был мне знаком и использовался в чудо активаторах для виндовс, что пестрит интернет. Данный сервис использовался для выкачивания через фоновую интеллектуальную систему Bits вредоносной программы. В обычном случаи служба используется для доставки обновлений, но у уязвимых, необновленных компьютеров, её вполне можно использовать для доставки вируса на ПК.

Удалив все сомнительные сервисы, проглядев и отключив сомнительные программы и библиотеки в Autoruns, нужно было подчистить весь хлам. Включив скрытые и системные папки нашлось кое-что интересное в системных папках, где такого быть не должно.

Проведена очистка временных файлов

del %Temp%\*.* /S /F /Q
del c:\windows\temp\*.* /S /F /Q

Восстановление Конфигурации Bits

net stop bits
del «%ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr*.dat»
sc.exe sdset bits D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
netsh winsock reset
netsh winhttp reset proxy
net start bits
bitsadmin.exe /reset /allusers

Для пущей надежности при разлиных вирусных заражениях следует почистить Кеш DNS в том чисте и внутренний кеш браузера.

Для Windows
ipconfig /flushdns
Для Браузеров
chrome://net-internals/#dns — ГуглХром
browser://net-internals/#dns — Яндекс
opera://net-internals/#dns — Опера

Перезагрузка и синий экран, всё как в старые добрые времена.

Восстановление хранилища и восстановление системных файлов

DISM /Online /Cleanup-Image /ScanHealth
SFC /Scannow
У кого не работает восстановление хранилища сначала установите это
KB2966583

По загрузке, что характерно слетела активация, такое часто происходит при восстановлении системных файлов. Подмена изменённого загрузчика, установка неподписанного измененного драйвера oem-drv86.sys, oem-drv64.sys, это всё решения для обхода защиты microsoft при проверке лицензии. По сему, если вы имеете лицензионный ключ, радуйтесь, ваш шанс что при очередном обновлении ваша система выдаст синий экран значительно снижен.

А теперь о главном. Данную уязвимость давненько прикрыли, еще тогда когда инструменты попали в открытую сеть. Использовать обновления, ваш шанс закрыть дыры в безопасности, которые постоянно находятся энтузиастами и темными душами даркнета. И так.

Обязательная установка обновления закрывающее уязвимость.
KB4012212

Включите обновление даже если у вас пиратка, лучше сидеть с черным экраном или надписью, чем с зашифрованными файлами.
sc.exe config wuauserv start= auto
net start wuauserv

Для управлением обновлений можно использовать графический интерфейс или PowerShell или командную строку

В командной строке windows 10 можно использовать внутреннюю программу USOClient.exe

  • StartScan  Запуск Сканирования

  • StartDownload запуск загрузки

  • StartInstall установка обновлений

  • RefreshSettings обновить настройки

  • StartInteractiveScan интерактивное сканирование с диалогом в случаи необходимости

  • RestartDevice перезагрузка устройства, для завершения обновления

  • ScanInstallWait Комбинированная Загрузка Сканировать Установить

  • ResumeUpdate Возобновить Установку Обновления При Загрузке

Для ранних версий Windows используется

wuauclt /detectnow /updatenow

На данном этапе касперский успокоился и перестал что либо находить. И в реальности хоть касперский и не сработал на 100% но сохранил файлы в сохранности, не дав шифровальщику сделать своё дело, предотвратил запуск криптовалютного майнера, что полностью превратило замедление системы, перегрев и повышенное энергопотребление, не позволил заразить второй компьютер в локальной сети.  За что ему человеческое спасибо.

Напоследок хочу сказать, обновляйте ваши операционные системы, любите и бережно относитесь к своей технике. Соблюдайте элементарные правила безопасность в сети и всё у будет у вас хорошо!