Что делать с вирусом который в оперативной памяти

Чистка компьютера от вирусов: приводим в порядок ОЗУ и реестр

В какой-то момент понимаешь, что нужно подвергнуть компьютер полной очистке. Как полностью очистить компьютер? Для начала проверить на вирусы, почистить реестры, почистить оперативную память устройства, корзину…

Делать это время от времени обязательно нужно, чтобы компьютер хорошо и быстро работал, а также как можно дольше оставался в работоспособном состоянии. В противном случае вам понадобится ремонт компьютера, и очень срочно.

Поговорим сегодня о том, как бесплатно почистить компьютер от вирусов. Чтобы бесплатно вылечить компьютер от вирусов, нужно найти в интернете программу AVZ и утилиту Curelt DrWeb. Для начала лечения нам нужно запустить систему в безопасном режиме. Чтобы это сделать, когда компьютер будет включаться, нажмите клавишу F8.

Затем после загрузки в безопасном режиме включите программу AVZ;

Сразу перейдите в меню файл - восстановление системы;

Выбирайте все пункты и нажимайте выполнить.

После этого нужно зайти в меню сервис — диспетчер процессов и убрать все процессы, не подсвеченные зеленым цветом.

На этом очистка компьютера от вирусов не закончена, обслуживание продолжается. Зайдите в меню файл — мастер поиска и устранения проблем и выполните очистку системы. Это позволит нейтрализовать вирусы, но не удалит их.

Лечение компьютера от вирусов продолжается. Как вы помните, мы скачали утилиту Curelt, которая дает возможность очистить компьютер от вирусов бесплатно. Программу нужно запустить и поставить на полную проверку. При обнаружении вирусов, вам будет предложено вылечить их или удалить. Несколько часов проверки дадут возможность убрать вирусы из системы.

загружаете операционную систему;Многие не знают, как очистить компьютер от вирусов, используя еще один компьютер. А вот, как: вам понадобится ничем не зараженный компьютер с установленным антивирусом. Соблюдайте осторожность, чтобы не повредить данные. Для реализации этого способа нужно снять жесткий диск с зараженного компьютера и выполнить его подключение к исправному (компьютеры при этом выключены). После этого:

включаете проверку на вирусы;

через несколько часов проверка закончится.

Лишившись вирусов, можно возвращать жесткий диск на место.

Что делать если чистка компьютера от вирусов не привела к их полному удалению? В этом случае можно посоветовать воспользоваться другой бесплатной (или платной) утилитой или, в крайнем случае, переустановить операционную систему.

Поговорим о том, как очистить оперативную память на компьютере. Если ваша операционная память все время занята, посмотрите, чем именно. Для этого нужно открыть диспетчер задач (одновременным нажатием клавиш ctr+alt+del).

Как очистить ОЗУ на компьютере? Для отмены автоматической загрузки программ в память, уберите программы из списка автоматической загрузки. Для этого в сети можно скачать специальную утилиту Msconfig.

Мы рассмотрели два самых распространенных способа как очистить озу компьютера. Если после этого вы обнаруживаете, что ваша память вновь постоянно забита, обратитесь к специалисту, для которого ремонт компьютеров — дело привычное или в компьютерный сервис, чтобы они нашли причину и провели обслуживание на профессиональном уровне.

Для того, чтобы запомнить, как очистить реестр на компьютере, необходимо проделать несложные манипуляции всего один раз. Итак, приступим.

Чтобы перейти в редактор реестра нужно нажать пуск, выбрать пункт выполнить. Затем нажимаем открыть и в появившемся поле пишем regedit. Затем нажимаем ОК.

Перед вами редактор реестра. Среди представленных пунктов нас интересует Мой компьютер, который нужно развернуть и из выбранного списка нужно развернуть раздел HKEY_CURRENT_USER, потом выберите Software и в появившемся списке будут отображены все программы компьютера.

Внимательно просмотрите весь список и выберите из него записи об уже удаленных программах. Выбрав запись о программе, которой уже нет, удалите ее. Для этого используйте кнопку Delete или клацните правой кнопкой и выберите удалить. После удаления ненужных записей, закройте редактор и выполните перезагрузку системы.

Удаляем мусор из корзины

Перед тем, как очистить корзину на компьютере, рекомендуем вам посмотреть, нет ли там чего-нибудь полезного. Если нет – смело приступаем к чистке.

Теперь вы знаете, как очистить компьютер полностью. Не забывайте делать такую очистку системы хотя бы раз в полгода, а ремонт компьютеров пускай делают другие!

Обычные вирусы оставляют следы на зараженной машине — какие-нибудь подозрительные исполняемые файлы, файлы библиотек или просто огрызки зловредного кода, которые в состоянии обнаружить антивирус или же правильный админ. Нахождение и выявление таких следов помогают идентифицировать вирус, а значит – удалить его и минимизировать последствия.

Но противостояние меча и щита — штука вечная, и компьютерные зловреды не ограничиваются только теми, что оставляют какие-то следы на накопителях. Ведь если вирус размещается и действует только внутри оперативной памяти, не соприкасаясь с жестким диском или SSD, значит, следов на них он тоже не оставит.

В 2014 году был ряд новостей о так называемых RAM malware, но тогда это относилось к довольно узкой группе поражаемых устройств — к платежным терминалам.

Данные транзакций считаются защищенными, так как хранятся в зашифрованном виде на серверах платежных систем. Но существует очень короткий период времени, в течение которого информация для авторизации платежа хранится в виде plain text. Причем хранится именно в оперативной памяти платежного терминала.

Само собой, хакерам этот кусок показался слишком лакомым, чтобы просто так пройти мимо него, и на свет появились зловреды, собирающие информацию из RAM POS-терминалов — номера карт, адреса, коды безопасности и имена пользователей.

А затем кто-то решил пойти дальше, вспомнив, что у компьютеров тоже есть оперативная память.

RAM-only

зловред прописывает себя непосредственно в оперативную память, минуя жесткие диски
из-за этого при проверке безопасности его не получается обнаружить
для прописывания зловреда в память злоумышленники использовали популярные средства администрирования — PowerShell, Mimikatz, Metasploit
для передачи данных использовались сайты, созданные на национальных доменах таких стран как Габон, Центральноафриканская Республика и Мали. Их домены характерны тем, что они не сохраняют WHOIS-информацию о том, кому принадлежал конкретный домен, после истечения срока его продления. То есть еще минус одна возможность как-то отследить злоумышленника.

Найти такие вирусы трудно, потому что в привычном виде они на самом деле не оставляют следов. Нет каких-то установленных приложений. Нет отдельных файлов, раскиданных в разных папках, включая системные или скрытые.

Но где-то же они оставляют следы?

Само собой, если вирус не оставляет следов на накопителях, на них нет и особого смысла искать. И что тогда? Правильно — реестр, дампы памяти и сетевая активность. Надо же ему как-то прописать себя в память (причем так, чтобы сохранять работоспособность и после перезагрузки машины), а затем как-то передавать данные на сервер злоумышленника.

Специалисты “Лаборатории Касперского” тщательно проанализировали дампы памяти и записи реестра с машин, подвергшихся заражению, и с помощью Mimikatz и Meterpreter смогли реконструировать атаку.

Фрагмент кода, загруженного с помощью Meterpreter с сайта adobeupdates.sytes[.]net

Скрипт, сгенерированный фреймворком Metasploit.
Выделяет необходимое количество памяти, использует WinAPI и загружает утилиту Meterpreter прямо в оперативную память.

Стоит ли опасаться подобного

С одной стороны – безусловно да. Вирус, каким бы он ни был, направлен не на то, чтобы сделать вашу работу за компьютером более комфортной.

С другой стороны, не так сильно (пока не так сильно), как обычных вирусов и тех же шифровальщиков. Хотя бы потому, что на данный момент главная цель подобных атак — финансовые учреждения, а не обычные пользователи.

Но кто знает, как часто таких зловредов будут создавать и использовать уже в ближайшее время.
___________________________________________________________________________

Напоминаем, что весна — отличный повод обновляться не только листочкам на деревьях, но и системным блокам у вас под столом. Специально для этого у Kingston действуют акции в магазинах-партнерах. Например, в сети DNS до 15 апреля можно со скидкой купить оперативную память Kingston SO-DIMM, подробности — акция и действуют специальные цены на модули памяти Kingston и HyperX для компьютеров и ноутбуков по промокоду KINGMEM. А в магазинах Ситилинк до 7 апреля скидки распространяются сразу на несколько видов оперативки, и там также важно не забывать вводить промокод — DDR3HX. Так что есть смысл поспешить за новой памятью и выгодно обновиться.

Для получения дополнительной информации о продукции Kingston и HyperX обращайтесь на официальный сайт компании .

Одно из основных направлений в "битве умов" между авторами компьютерных
вирусов и антивирусных программ связано с размещением тела вируса в оперативной
памяти. На первый взгляд, все банально: задача вируса – спрятаться так, чтобы не
нашли, задача антивируса – найти. В ходе эволюции технологий, используемых как
для написания вредоносных программ, так и для противодействия им, появились
достаточно нетривиальные решения. Поле деятельности уже давно не ограничивается
механизмами управления памятью, входящими в состав операционной системы.
Сегодня, для того, чтобы быть "на уровне", авторам, как вирусов, так и
антивирусов необходимо понимание принципов взаимодействия программ и
оборудования, таких как работа с конфигурационными регистрами чипсета,
Model-Specific регистрами процессора (MSR), использование областей памяти,
имеющих специальный статус с точки зрения контроллера памяти (SMRAM, Shadow и
т.п.).

Автор данной статьи не является вирусологом и тем более "вирусописателем", а
работает в области разработки аппаратного и системного программного обеспечения.
Поэтому предлагаемый материал подготовлен как информация о потенциальной
уязвимости, дающей возможность вирусу "спрятаться" нетривиальным методом. Речь
идет об использовании "теневой" памяти или Shadow RAM и представлении вируса в
статусе части выполняемого блока BIOS.

Как все начиналось

Около двух десятилетий назад, когда у процессоров еще не было Model-Specific
регистров, а вместо чипсета использовались микросхемы "мелкой логики", для
размещения вируса использовалась схема, упоминание о которой сегодня может
вызвать иронию у многих специалистов, в силу ее простоты и наивности. Но для
полноты изложения, вспомним и о ней.

Как известно BIOS материнской платы использует 256-байтный блок переменных в
ОЗУ по адресам 00400h-004FFh. Одна из переменных, а именно 16-битное слово по
адресам 00413h-00414h хранит значение размера "нижней" памяти в килобайтах.
Например, если в системе 640 Кб, то значение этой переменной равно 0280h.
Операционная система, для получения доступного размера нижней памяти вызывает
прерывание INT 12h, процедура обработки которого входит в состав BIOS. Эта
процедура возвращает в регистре AX значение рассматриваемой переменной.

Если вирус получает управление до того, как операционная система запросит
размер памяти у BIOS (например, если тело вируса расположено в загрузочном
секторе диска), он может уменьшить значение этой переменной, например с 280h до
27Fh. Это приведет к тому, что ОС и программы не будут использовать последний
килобайт "нижней" памяти по адресам 9FC00h-9FFFFh и там может расположиться
вирус. Разумеется, авторы антивирусов отреагировали адекватно и научились
находить вирусы, спрятавшиеся таким образом.

Использование Shadow RAM

Этот метод значительно эффективнее, но и значительно сложнее рассмотренного
выше. Здесь требуется работа с регистрами MSR и конфигурационными регистрами
чипсета. Выполняемые действия будут различными, в зависимости от модели
процессора и набора системной логики, поэтому потребуется детектирование
платформы. В результате всех этих усилий вирус становится частью выполняемого
кода BIOS, а как распорядится подобным статусом – дело фантазии
"вирусописателя". Сразу оговоримся, что речь идет не о модификации содержимого
ПЗУ BIOS (Flash ROM), а о модификации области оперативной памяти Shadow RAM,
куда переписывается содержимое ПЗУ BIOS на время рабочего сеанса. Поэтому речь о
выводе из строя материнской платы здесь не идет.

В данной статье, автор сконцентрировал внимание исключительно на вопросах
снятия защиты записи Shadow RAM. Разумеется, это только часть дела. Вирус также
должен уметь находить неиспользуемые области в памяти (по понятным причинам,
протоколы управления памятью операционной системы, здесь не применимы),
использовать механизмы активации, срабатывающие, например, при вызове
определенных функций BIOS и т.п.

Напомним, что диапазон адресов C0000h-EFFFFh (768-960 KB) используется для
размещения в ОЗУ выполняемого блока BIOS периферийных адаптеров, диапазон
F0000h-FFFFFh (960-1024 KB) для выполняемого блока системного BIOS (приведено
распределение адресов, имеющее место в большинстве платформ, иногда бывают
некоторые отклонения).

Перейдем к практике. Если мы попытаемся изменить содержимое какой-либо ячейки
памяти, относящейся к указанному диапазону адресов, выполнив, например
инструкции:

mov ax,0F000h
mov ds,ax
xor bx,bx
mov ax,1234h
mov ds:[bx],ax ; Запись
mov ax,ds:[bx] ; Контрольное считывание

то увидим, что содержимое перезаписываемой ячейки не изменилось в результате
перезаписи. Почему так происходит, ведь по указанному адресу находится
оперативная память (Shadow RAM)? Дело в том, что большинство платформ, для
корректной эмуляции ПЗУ, используют специальные аппаратные средства,
обеспечивающие защиту данной области ОЗУ от записи. Защиту включает BIOS перед
загрузкой ОС, естественно, после того как копирование (или распаковка)
выполняемого блока в ОЗУ завершена. Остановимся подробнее на снятии такой
защиты. Как уже было сказано выше, набор действий, которые надо выполнить,
зависит от модели процессора и чипсета. Рассмотрим два примера. Предлагаемые
процедуры для иллюстрации снятия защиты Shadow RAM записывают 16 байт со
значением 11h в диапазон F0000h-F000Fh.

Платформа Intel. Процессор класса Socket 775 (Celeron-D 2.66 GHz), чипсет
Intel 915, материнская плата Gigabyte GA-8i915PL-G.

; Изменяем статус PAM
cli
mov ax,0B108h ; PCIBIOS Function 8 = Read Byte
xor bx,bx ; Bus=0, Device=0, Function=0
mov di,0090h ; Register=90h (PAM0)
int 1Ah
push cx ; Save PAM0
or cl,00110000b ; Bits[5,4]=11b, RAM mode
mov ax,0B10Bh ; PCIBIOS Function 8 = Write Byte
xor bx,bx ; Bus=0, Device=0, Function=0
int 1Ah
; Заполняем 16 байт константой 11h
mov ax,0F000h
mov es,ax
xor di,di ; ES:DI = Address
mov cx,0010h ; CX = Length
mov al,11h ; AL = Data
cld
rep stosb
; Восстанавливаем статус PAM и когерентность кэш
pop cx ; Restore old value PAM0
mov ax,0B10Bh ; PCIBIOS Function 8 = Write Byte
xor bx,bx ; Bus=0, Device=0, Function=0
mov di,0090h ; Register=90h (PAM0)
int 1Ah
sti
wbinvd ; Write-Back and Invalidate cache

В основе работы программы лежит управление атрибутами диапазона адресов
F0000h-F0FFFh (4 Кбайт) посредством регистров PAM (Programmable Attribute Map),
входящими в состав "северного моста" чипсета. Область Shadow RAM, расположенная
по адресам C0000h-FFFFFh, разбита на диапазоны, за каждым из диапазонов
закреплен свой регистр PAM. Таблица соответствия диапазонов и регистров, а также
другие подробности содержатся в [6].

Программный доступ к регистрам PAM, как и ко всем другим конфигурационным
регистрам, осуществляется через конфигурационное пространство, в соответствии со
спецификацией PCI. Подробности в 16. В программе используются сервисные
функции PCIBIOS (прерывание 01Ah, функция 0B1h) для доступа к конфигурационным
регистрам. Подробности в [15].

Если диапазон адресов, статус которого мы изменили, является кэшируемым, то
мы должны принять меры во избежание расхождения информации в кэш памяти и ОЗУ,
то есть обеспечить когерентность кэш. Для этого используется инструкция WBINVD,
подробности в [3]. Кэшируемость диапазонов зависит от содержимого регистров MTRR
(Memory Type Range Registers), которые инициализирует BIOS при старте.
Подробности в 5.

Интервал времени, в течение которого содержимое регистров PAM находится в
измененном состоянии, отрабатывается с запрещенными прерываниями. Используются
инструкции CLI и STI. Подробности в 2. Так сделано не случайно, при отладке
автор заметил, что при использовании некоторых сервисных функций BIOS, состояние
регистров PAM для сегмента F0000h автоматически восстанавливается, то есть BIOS
периодически возвращает старое значение. Поэтому если мы, например,
перепрограммируем PAM, а затем попытаемся редактировать Shadow RAM в каком-либо
отладчике в режиме дампа, мы можем столкнуться с проблемой – память через
некоторое время перестанет быть перезаписываемой. Для редактирования Shadow RAM
в режиме дампа потребуется написать собственную программу, которая будет
перепрограммировать PAM при записи каждого байта или блока байтов.

В приведенном примере мы работаем с диапазоном адресов Main BIOS Shadow,
который в исходном состоянии инициализирован как Read-Only, согласно атрибутам
PAM циклы чтения направляются на шину памяти, циклы записи – на шину
ввода-вывода, подробности в [6]. Поэтому, после восстановления, диапазон,
содержащий выполненные нами модификации, будет доступен для чтения. Но если мы
изменяем статус не используемого диапазона Shadow RAM (например, в сегменте
D0000h), то следует помнить, что в исходном состоянии он может быть закрыт как
для записи, так и для чтения. Поэтому, чтобы наш вирус остался доступным в
адресном пространстве, следует установить режим Read-Only или Read-Write, а не
восстанавливать исходное состояние PAM.

Отметим, что если вирус расположен в диапазоне со статусом Read-Only, удалить
его из памяти, мягко говоря, затруднительно. Для этого антивирус должен иметь
библиотеку процедур поддержки чипсетов.

Платформа AMD. Процессор класса Socket 754 (Sempron 3000+), чипсет VIA
K8T800, материнская плата Gigabyte GA-K8VT800.

; Изменяем статус MTRR для разрешения записи в Shadow RAM
cli
mov ecx,0C0010010h ; Адрес регистра SYS_CFG MSR
rdmsr
push eax
push edx
bts eax,19 ; RdDRAM, WrDRAM visible = 1
wrmsr
mov ecx,0000026Eh ; Адрес регистра IA32_MTRR_FIX4K_F000 MSR
rdmsr ; Read MSR to EDX:EAX
push eax ; Save old value
push edx
or al,00011000b ; RdDRAM=1, WrDRAM=1
wrmsr
; Заполняем 16 байт константой 11h
mov ax,0F000h
mov es,ax
xor di,di
mov cx,0010h
mov al,11h
cld
rep stosb
; Восстанавливаем статус MTRR и когерентность кэш
pop edx ; Restore old value
pop eax
mov ecx,0000026Eh ; Адрес регистра IA32_MTRR_FIX4K_F000 MSR
wrmsr
pop edx ; Restore old value
pop eax
mov ecx,0C0010010h ; Адрес регистра SYS_CFG MSR
wrmsr
sti
wbinvd ; Write-Back and Invalidate cache

Здесь, как и в примере для платформы Intel, приведенном ранее, работа
выполняется по схеме: разрешаем запись в Shadow RAM, выполняем запись,
восстанавливаем исходное состояние контроллера памяти. Но для платформы AMD, в
отличие от Intel, разрешение записи и направление шинных циклов на шины памяти и
ввода-вывода осуществляется за счет расширенной функциональности регистров MTRR.
Область Shadow RAM, расположенная по адресам C0000h-FFFFFh, разбита на
диапазоны, за каждым из диапазонов закреплено свое битовое поле в блоке
регистров MTRR. Таблица соответствия диапазонов и битовых полей MTRR, а также
другие подробности содержаться в [8] и 12.

Регистры MTRR расположены в пространстве регистров MSR (Model Specific
Registers). Для доступа к ним используются инструкции RDMSR, WRMSR. Подробности
в 9. Замечания по необходимости запрета прерываний на время модификации и
обеспечению когерентности кэш, приведенные в первом примере, актуальны и здесь.

Использование SMRAM

Память System Management RAM и методы проникновения в нее были описаны в
ранее опубликованной статье "SMM
и SMRAM или 128Кб потусторонней памяти. Исследовательская работа № 5 и
6". По сравнению с
использованием Shadow RAM, использование SMRAM и режима SMM дает больше
возможностей, как с точки зрения функциональности вируса, так и его маскировки.
Вместе с тем, использование Shadow RAM можно рассматривать как компромисс – этот
метод значительно проще и здесь значительно меньше причин для несовместимости с
различными платформами.

Модификация BIOS ROM

В ранее опубликованной статье "Программно-аппаратные
угрозы или хрупкий мир глазами "железячника" № 1 и
2" были рассмотрены
вопросы, связанные с разрушением содержимого BIOS ROM вирусами, методы
минимизации такой угрозы, а также восстановление работоспособности материнской
платы в случае, если это уже произошло. Напомним, там речь шла о "затирании"
BIOS, приводящем к отсутствию старта материнской платы.

Вместе с тем, теоретически, существует возможность и для более деликатного
вмешательства, при котором функциональность BIOS сохраняется, но в него
дописывается некоторый фрагмент, выполняющий заданные функции.

В силу того, что содержимое BIOS ROM существенно различается у разных
платформ и здесь не существует единых стандартов, возможность написания такой
программы, совместимой со всеми существующими платформами, автор оценивает
скептически. Вместе с тем, для частного случая (для одной заданной платформы с
заданной версией BIOS), задача вполне решаема.

Прилагаемые файлы

Ассемблерные примеры, рассмотренные в статье содержаться
в прилагаемом каталоге WORK. Как и в ранее опубликованных статьях данного
цикла, в целях монопольного и беспрепятственного взаимодействия программы с
аппаратным обеспечением автор применил "древнюю" технологию отладки под DOS.
Аргументация такого шага и рекомендации по организации рабочего места приведены
в ранее опубликованной статье "64-битный
режим под DOS: исследовательская работа № 1".

Заключение

Разумеется, предлагаемый материал не позиционируется как "справочник
практикующего вредителя". Знания об уязвимостях и их использовании полезны
авторам не только вирусов, но и антивирусных программ, а также другим
специалистам, работающим в области информационной безопасности. К тому же,
многие из предложенных технологий могут быть использованы и в "мирных целях",
например, при отладке системного программного обеспечения. При проектировании
материнских плат и отладке опытных образцов, для программистов, занимающихся
написанием BIOS, возможность внесения изменений в процедуры Runtime блока в
Shadow RAM прямо в сеансе ОС, без "перешивки" Flash и перезагрузки компьютера,
может существенно уменьшить трудоемкость отладки указанных процедур, сократив
сроки и стоимость выполнения проекта.

Источники информации

1) Intel 64 and IA-32 Architectures Software Developer’s Manual. Volume 1:
Basic Architecture. Order Number 253665-023US.
2) Intel 64 and IA-32 Architectures Software Developer’s Manual. Volume 2A:
Instruction Set Reference, A-M. Order Number 253666-023US.
3) Intel 64 and IA-32 Architectures Software Developer’s Manual. Volume 2B:
Instruction Set Reference, N-Z. Order Number 253667-023US.
4) Intel 64 and IA-32 Architectures Software Developer’s Manual. Volume 3A:
System Programming Guide, Part 1. Order Number 253668-023US.
5) Intel 64 and IA-32 Architectures Software Developer’s Manual. Volume 3B:
System Programming Guide, Part 2. Order Number 253669-023US.
6) Intel 915G/915P Express Chipset Datasheet. Document Number 301467-001.

7) AMD64 Architecture Programmer’s Manual. Volume 1: Application Programming.
Publication No. 24592.
8) AMD64 Architecture Programmer’s Manual. Volume 2: System Programming.
Publication No. 24593.
9) AMD64 Architecture Programmer’s Manual. Volume 3: General-Purpose and System
Instructions. Publication No. 24594.
10) AMD64 Architecture Programmer’s Manual. Volume 4: 128-Bit Media Instructions.
Publication No. 26568.
11) AMD64 Architecture Programmer’s Manual. Volume 5: 64-Bit Media and x87
Floating-Point Instructions. Publication No. 26569.
12) BIOS and Kernel Developer’s Guide for AMD Athlon 64 and AMD Opteron
Processors. Publication No. 26094.
13) BIOS and Kernel Developer’s Guide for AMD NPT Family 0Fh Processors.
Publication No. 32559.
14) BIOS and Kernel Developer’s Guide (BKDG) For AMD Family 10h Processors.
Publication No. 31116.

15) PCI BIOS Specification. Revision 2.1.
16) PCI Local Bus Specification. Revision 3.0.
17) PCI-to-PCI Bridge Architecture Specification. Revision 1.1.

Привет, GT! Зоопарк всевозможных вирусов растет с каждым годом, благо фантазии их создателям не занимать. Конечно, с рядом самых распространенных зловредов успешно справляются антивирусы, притом даже бесплатные их версии или же встроенные в саму ОС. С популярными шифровальщиками тоже худо-бедно бороться научились (на сайтах известных антивирусных компаний есть раздел с услугами по расшифровке или генерации кода, если вам известен кошелек или email, на который авторы зловреда просят перевести средства).

А затем кто-то решил пойти дальше, вспомнив, что у компьютеров тоже есть оперативная память.

RAM-only

Но где-то же они оставляют следы?

Фрагмент кода, загруженного с помощью Meterpreter с сайта adobeupdates.sytes[.]net

Стоит ли опасаться подобного

Но кто знает, как часто таких зловредов будут создавать и использовать уже в ближайшее время.

Напоминаем, что весна — отличный повод обновляться не только листочкам на деревьях, но и системным блокам у вас под столом. Специально для этого у Kingston действуют акции в магазинах-партнерах. Например, в сети DNS до 15 апреля можно со скидкой купить оперативную память Kingston SO-DIMM, подробности — здесь. В Юлмарте до 18 апреля проходит акция и действуют специальные цены на модули памяти Kingston и HyperX для компьютеров и ноутбуков по промокоду KINGMEM. А в магазинах Ситилинк до 7 апреля скидки распространяются сразу на несколько видов оперативки, и там также важно не забывать вводить промокод — DDR3HX. Так что есть смысл поспешить за новой памятью и выгодно обновиться.

Для получения дополнительной информации о продукции Kingston и HyperX обращайтесь на официальный сайт компании.

Скопировать ссылку
Facebook
Twitter
ВКонтакте
Telegram
Pocket

Комментарии 25

популярные средства администрирования — PowerShell, Mimikatz, Metasploit

Я наверное не очень представляю, как устроен терминал, но по моему plain text до основного процессора доходить никак не должен. На клавиатуре, считывателе стоят микроконтролеры с флешовой прошивкой, к которым центральный процессор никак доступа не имеет. Ему они отдают уже шифрованные данные. Сам делал очень давно для игрового автомата прошивку. Общение с юзером на тогда еще атМега было, связь с основным процессором — uart, по нему поток с aes128. Я е спец в безопасности, ногами не пинать пожалуйста, но пихать в ОЗУ центрального процессора нешифрованные данные это какое то безумие

Homomorphic encryption is a form of encryption that allows computation on ciphertexts, generating an encrypted result which, when decrypted, matches the result of the operations as if they had been performed on the plaintext. The purpose of homomorphic encryption is to allow computation on encrypted data.

"Причем хранится именно в оперативной памяти платежного терминала.… RAM POS-терминалов — номера карт, адреса, коды безопасности и имена пользователей."

Чем магнитный считыватель должен шифровать данные с прочитанных полос, если карта может быть от чужого банка, а узнать какой банк (система) сможет обработать данные можно только по номеру карты? Шифрование требуют только при хранении на постоянных носителях и при передаче через интернет.

POS malware was first discovered in October 2008. During a fraud investigation, it was found that attackers had been installing debugging software on POS systems that was capable of extracting full magnetic stripe data from its memory. .

Criminals are exploiting the fact that credit card magnetic stripe data temporarily resides in plain text in the RAM of PoS devices during processing
cybercriminals were attempting to install debugging tools on PoS devices in order to dump entire sets of magnetic stripe data. The Visa report revealed that such debugging tools could effectively parse unencrypted sensitive data not written to disk from volatile memory (i.e., RAM)
PoS RAM scrapers retrieve a list of running processes and load-inspects each process’s memory for card data. They run searches on the process memory space and can retrieve entire sets of Tracks 1 and 2 credit card data.

Data in memory: All of the credit card data is temporarily stored in plain text in the RAM of merchants’ PoS systems during processing. Cybercriminals use PoS RAM scrapers to steal this data.
Data at rest: Merchants’ PoS systems store transaction data for a short period of time (e.g., for batching) as well as a partial set of data for a long period of time for record purposes in log files or a database. The data stored is encrypted. There is no specific encryption algorithm requirement defined in PCI DSS. Instead, PCI DSS mandates the use of strong cryptography (i.e., minimum key length of 112 bits).
Data in transit: The data is internally transferred over LANs or WANs and externally over the Internet. Encryption is mandatory for data transferred over the Internet but not for information transferred over LANs or WANs.

The reality is, EMV credit cards cannot prevent PoS RAM scraper attacks… This chip makes it extremely difficult for cybercriminals to manufacture counterfeit credit cards using stolen data, which helps reduce counterfeiting and lost or stolen card fraud. If the EMV Tracks 1 and 2 data is sent to the PoS system for processing, it will become susceptible to PoS RAM scraper
attacks because the decrypted data resides in the RAM.

U.K. credit card fraud statistics show that even after EMV cards were introduced in the country, losses related to card-not-present fraud dramatically increased in number. [66] This shows that cybercriminals are using stolen credit card data for online purchases instead of manufacturing and using counterfeit cards.

Armed with an NFC-enabled smartphone and an app that can read contactless card data via NFC, hackers can brush against potential victims in crowded public spaces and wirelessly steal their credit card data in an act that has been dubbed “electronic pickpocketing.” The simple solution to prevent electronic pickpocketing is to put contactless cards in shielded sleeves .

In response, many retailers today use network-level encryption even within their internal networks. While that change protected the data as it travelled from one system to another, the credit card numbers are not encrypted in the systems themselves and can still be found in plain text within the memory of the POS system and other computer systems responsible for processing or passing on the data. This weakness has led to the emergence of “RAM-scraping” malware, which allows attackers to extract this data from memory while the data is being processed inside the terminal rather than when the data is travelling through the network.

Читайте также:

Что делать с вирусом который в оперативной памяти

RAM-only

Но где-то же они оставляют следы?

Стоит ли опасаться подобного

Как все начиналось

Использование Shadow RAM

Использование SMRAM

Модификация BIOS ROM

Прилагаемые файлы

Заключение

Источники информации

RAM-only

Но где-то же они оставляют следы?

Стоит ли опасаться подобного

Похожие публикации

Комментарии 25