Чем пытались заразить с флэшки?

[Mrak]

Всем привет!

 

Следователь выдал флэшку с протоколом допроса. После того, как я её поставил в свой макбук, то увидел, как с флэшки пропадают некие файлы. Протокол был проверен, флэшка возвращена. А сегодня глянул в КИС для МакОС и увидел такую картину в карантине:

Вопрос: чем он пытался заразить мою машину? Какие были бы последствия, будь у меня ноутбук на windows или не будь у меня КИС для Мак?

Может ли быть такое, что сам следователь не в курсе о наличии такой заразы на его флэшке? 

[regist]

Может ли быть такое, что сам следователь не в курсе о наличии такой заразы на его флэшке?

вполне возможно, точно также дал кому-то другому флешку и ему заразили, а он и не знает.

 

 

чем он пытался заразить мою машину? Какие были бы последствия

То что рансом в название говорит, что это какой-то вымогатель, может и шифровальщик. А NSIS однозначно, что установщик NSIS. Если можешь вынь из карантина, запакуй со стандартным паролем и скинь в ЛС. Попробую скрипт установки выдернуть.

Поискал в интернете по названию детекта, похоже действительно шифровальщик - CTB-Locker.

[Mrak]

 

 

Если можешь вынь из карантина, запакуй со стандартным паролем и скинь в ЛС. Попробую скрипт установки выдернуть.

Это для моей рабочей машины не опасно? А то ну его нафиг, если есть риск, пусть сидит в карантине. 

[regist]

 

 

Это для моей рабочей машины не опасно?

если кликать на него не будешь, то не опасно ))).

Но это я просил до того как нашёл, что это CTB-Locker (посты потом просто склеились). Так что просьба прислать в ЛС уже неактуальна, по этому шифровальщику и так полно статей в инете.

[Mrak]

@regist, выходит у самого злодея в любой момент его данные могут быть зашифрованы? Или пока он не кликнет на эти зараженные файлы (если таковые остались в его компе, ведь с флэшки удалены в карантин), то тоже все безопасно?  

[regist]

1) Тут надо определиться это следователь целенаправленно пытался заразить твой компьютер или он сам жертва.
regist, выходит у самого злодея в любой момент его данные могут быть зашифрованы? Или пока он не кликнет на эти зараженные файлы (если таковые остались в его компе, ведь с флэшки удалены в карантин), то тоже все безопасно?

2) Исходя из пункта №1 тут варианты.

а) Его компьютер уже заражён и вирус расползается через расшаренный папки, флешки и т.д. Странно правда, тогда что он до сих пор (пока?) не заметил, что файлы сменили расширения и не открываются.

б) Ему дали заражённую флешку (опять таки вопрос сознательно или непреднамеренно), в рассчёте что из любопытсва кликнет на файлы secret, private и т.д. и заразиться, а пока его комп чист.

в) Он сам собрал этот вирус. В таком случае у него будет ключ дешифровки и он может восстановить зашифрованные файлы, а также возможно предусмотрена какая-то защита, типа если если в системе такой-то ключ, то этот комп не заражать. Этот вариант на мой взгляд маловероятен.

 

PS. Это я просто перечислил теоретически возможные варианты событий исходя из имеющихся данных.

Изменено 1 февраля, 2018 пользователем regist

[7Glasses]

оборотень в погонах какой-то))) главное, что защита стояла!

[rupitsa]

Тут я начинаю задумываться, а может поставить антивирус на Мак... есть ли смысл? Или я зря пугаюсь?

[7Glasses]

@rupitsa, в наше время всякое может случится)

[Mrak]

 

 

Тут я начинаю задумываться, а может поставить антивирус на Мак... есть ли смысл? Или я зря пугаюсь?

В данном случае скорее всего зря, т.к. вирусы же были в формате ехе. Если я правильно понимаю, они даже теоретически на маке запускаться не должны. 

[Friend]

@rupitsa, ответ можно найти в этой статье.
@Mrak, теоретический -- да, но фактический всякое может случиться....

Изменено 1 февраля, 2018 пользователем Friend