Память вся загружена вирусов нет
Привет, GT! Зоопарк всевозможных вирусов растет с каждым годом, благо фантазии их создателям не занимать. Конечно, с рядом самых распространенных зловредов успешно справляются антивирусы, притом даже бесплатные их версии или же встроенные в саму ОС. С популярными шифровальщиками тоже худо-бедно бороться научились (на сайтах известных антивирусных компаний есть раздел с услугами по расшифровке или генерации кода, если вам известен кошелек или email, на который авторы зловреда просят перевести средства).
Обычные вирусы оставляют следы на зараженной машине — какие-нибудь подозрительные исполняемые файлы, файлы библиотек или просто огрызки зловредного кода, которые в состоянии обнаружить антивирус или же правильный админ. Нахождение и выявление таких следов помогают идентифицировать вирус, а значит – удалить его и минимизировать последствия.
Но противостояние меча и щита — штука вечная, и компьютерные зловреды не ограничиваются только теми, что оставляют какие-то следы на накопителях. Ведь если вирус размещается и действует только внутри оперативной памяти, не соприкасаясь с жестким диском или SSD, значит, следов на них он тоже не оставит.
В 2014 году был ряд новостей о так называемых RAM malware, но тогда это относилось к довольно узкой группе поражаемых устройств — к платежным терминалам.
Данные транзакций считаются защищенными, так как хранятся в зашифрованном виде на серверах платежных систем. Но существует очень короткий период времени, в течение которого информация для авторизации платежа хранится в виде plain text. Причем хранится именно в оперативной памяти платежного терминала.
Само собой, хакерам этот кусок показался слишком лакомым, чтобы просто так пройти мимо него, и на свет появились зловреды, собирающие информацию из RAM POS-терминалов — номера карт, адреса, коды безопасности и имена пользователей.
А затем кто-то решил пойти дальше, вспомнив, что у компьютеров тоже есть оперативная память.
RAM-only
Найти такие вирусы трудно, потому что в привычном виде они на самом деле не оставляют следов. Нет каких-то установленных приложений. Нет отдельных файлов, раскиданных в разных папках, включая системные или скрытые.
Но где-то же они оставляют следы?
Само собой, если вирус не оставляет следов на накопителях, на них нет и особого смысла искать. И что тогда? Правильно — реестр, дампы памяти и сетевая активность. Надо же ему как-то прописать себя в память (причем так, чтобы сохранять работоспособность и после перезагрузки машины), а затем как-то передавать данные на сервер злоумышленника.
Специалисты “Лаборатории Касперского” тщательно проанализировали дампы памяти и записи реестра с машин, подвергшихся заражению, и с помощью Mimikatz и Meterpreter смогли реконструировать атаку.
Фрагмент кода, загруженного с помощью Meterpreter с сайта adobeupdates.sytes[.]net
Скрипт, сгенерированный фреймворком Metasploit.
Выделяет необходимое количество памяти, использует WinAPI и загружает утилиту Meterpreter прямо в оперативную память.
Стоит ли опасаться подобного
С одной стороны – безусловно да. Вирус, каким бы он ни был, направлен не на то, чтобы сделать вашу работу за компьютером более комфортной.
С другой стороны, не так сильно (пока не так сильно), как обычных вирусов и тех же шифровальщиков. Хотя бы потому, что на данный момент главная цель подобных атак — финансовые учреждения, а не обычные пользователи.
Но кто знает, как часто таких зловредов будут создавать и использовать уже в ближайшее время.
Напоминаем, что весна — отличный повод обновляться не только листочкам на деревьях, но и системным блокам у вас под столом. Специально для этого у Kingston действуют акции в магазинах-партнерах. Например, в сети DNS до 15 апреля можно со скидкой купить оперативную память Kingston SO-DIMM, подробности — здесь. В Юлмарте до 18 апреля проходит акция и действуют специальные цены на модули памяти Kingston и HyperX для компьютеров и ноутбуков по промокоду KINGMEM. А в магазинах Ситилинк до 7 апреля скидки распространяются сразу на несколько видов оперативки, и там также важно не забывать вводить промокод — DDR3HX. Так что есть смысл поспешить за новой памятью и выгодно обновиться.
Для получения дополнительной информации о продукции Kingston и HyperX обращайтесь на официальный сайт компании.
- Скопировать ссылку
- ВКонтакте
- Telegram
Похожие публикации
- 25 мая 2018 в 13:57
Комментарии 25
популярные средства администрирования — PowerShell, Mimikatz, Metasploit
Я наверное не очень представляю, как устроен терминал, но по моему plain text до основного процессора доходить никак не должен. На клавиатуре, считывателе стоят микроконтролеры с флешовой прошивкой, к которым центральный процессор никак доступа не имеет. Ему они отдают уже шифрованные данные. Сам делал очень давно для игрового автомата прошивку. Общение с юзером на тогда еще атМега было, связь с основным процессором — uart, по нему поток с aes128. Я е спец в безопасности, ногами не пинать пожалуйста, но пихать в ОЗУ центрального процессора нешифрованные данные это какое то безумие
Homomorphic encryption is a form of encryption that allows computation on ciphertexts, generating an encrypted result which, when decrypted, matches the result of the operations as if they had been performed on the plaintext. The purpose of homomorphic encryption is to allow computation on encrypted data.
"Причем хранится именно в оперативной памяти платежного терминала.… RAM POS-терминалов — номера карт, адреса, коды безопасности и имена пользователей."
Чем магнитный считыватель должен шифровать данные с прочитанных полос, если карта может быть от чужого банка, а узнать какой банк (система) сможет обработать данные можно только по номеру карты? Шифрование требуют только при хранении на постоянных носителях и при передаче через интернет.
POS malware was first discovered in October 2008. During a fraud investigation, it was found that attackers had been installing debugging software on POS systems that was capable of extracting full magnetic stripe data from its memory. .
Criminals are exploiting the fact that credit card magnetic stripe data temporarily resides in plain text in the RAM of PoS devices during processing
cybercriminals were attempting to install debugging tools on PoS devices in order to dump entire sets of magnetic stripe data. The Visa report revealed that such debugging tools could effectively parse unencrypted sensitive data not written to disk from volatile memory (i.e., RAM)
PoS RAM scrapers retrieve a list of running processes and load-inspects each process’s memory for card data. They run searches on the process memory space and can retrieve entire sets of Tracks 1 and 2 credit card data.
Data in memory: All of the credit card data is temporarily stored in plain text in the RAM of merchants’ PoS systems during processing. Cybercriminals use PoS RAM scrapers to steal this data.
Data at rest: Merchants’ PoS systems store transaction data for a short period of time (e.g., for batching) as well as a partial set of data for a long period of time for record purposes in log files or a database. The data stored is encrypted. There is no specific encryption algorithm requirement defined in PCI DSS. Instead, PCI DSS mandates the use of strong cryptography (i.e., minimum key length of 112 bits).
Data in transit: The data is internally transferred over LANs or WANs and externally over the Internet. Encryption is mandatory for data transferred over the Internet but not for information transferred over LANs or WANs.
The reality is, EMV credit cards cannot prevent PoS RAM scraper attacks… This chip makes it extremely difficult for cybercriminals to manufacture counterfeit credit cards using stolen data, which helps reduce counterfeiting and lost or stolen card fraud. If the EMV Tracks 1 and 2 data is sent to the PoS system for processing, it will become susceptible to PoS RAM scraper
attacks because the decrypted data resides in the RAM.
U.K. credit card fraud statistics show that even after EMV cards were introduced in the country, losses related to card-not-present fraud dramatically increased in number. [66] This shows that cybercriminals are using stolen credit card data for online purchases instead of manufacturing and using counterfeit cards.
Armed with an NFC-enabled smartphone and an app that can read contactless card data via NFC, hackers can brush against potential victims in crowded public spaces and wirelessly steal their credit card data in an act that has been dubbed “electronic pickpocketing.” The simple solution to prevent electronic pickpocketing is to put contactless cards in shielded sleeves .
In response, many retailers today use network-level encryption even within their internal networks. While that change protected the data as it travelled from one system to another, the credit card numbers are not encrypted in the systems themselves and can still be found in plain text within the memory of the POS system and other computer systems responsible for processing or passing on the data. This weakness has led to the emergence of “RAM-scraping” malware, which allows attackers to extract this data from memory while the data is being processed inside the terminal rather than when the data is travelling through the network.
Ни что так не тормозит систему как нехватка оперативной памяти. Зачастую, если ваша память загружена под завязку система начинает ужасно тормозить, а то и вовсе зависает при выполнении той или иной задачи. Что делать в таком случае?
Давайте по пунктам разберем последовательность действий при загрузке оперативной памяти на 90% и более.
- Обычно большой кусок оперативной памяти съедают программы, в особенности, такие как антивирус, файервол, Автокад, офисные приложения. Если вы не используете в определенное время ту или иною программу, то не держите ее открытой. Также обратите внимание на фон рабочего стола, не стоит ставить картинку разрешением 2000 пикселей, если максимальное разрешение вашего экрана составляет 1280 пикселей по большой стороне.
- Стоит также проверить компьютер на вирусы, так как зачастую висящие в автозапуски вирусы сильно тормозят систему. Обновите вашу антивирусную программу и просканируйте систему на наличие вирусной активности.
- Самым верным и дорогим способом будет увеличение оперативной памяти. Для этого необходимо вскрыть системный блок компьютера и проверить, если ли свободный слот, куда можно поставить еще одну планку оперативной памяти. Если есть, то смело докупаем память и вставляем ее туда. Если нет, то просто заменяем установленную планку, на планку большего размера.
В итоге все действия сводятся к очистки оперативной памяти, а также ее расширению. Если вы располагаете дополнительными средствами, то лишним не будет докупить планку оперативной памяти, вы тем самым повысите производительность системы. Если же денег нет, то стоит просто оптимизировать систему, путем очистки автозагрузки компьютера.
Название стандарта | Тип памяти | Частота памяти | Частота шины | Передача данных в секунду (MT/s) | Пиковая скорость передачи данных |
PC2-3200 | DDR2-400 | 100 МГц | 200 МГц | 400 | 3200 МБ/с |
PC2-4200 | DDR2-533 | 133 МГц | 266 МГц | 533 | 4200 МБ/с |
PC2-5300 | DDR2-667 | 166 МГц | 333 МГц | 667 | 5300 МБ/с |
PC2-5400 | DDR2-675 | 168 МГц | 337 МГц | 675 | 5400 МБ/с |
PC2-5600 | DDR2-700 | 175 МГц | 350 МГц | 700 | 5600 МБ/с |
PC2-5700 | DDR2-711 | 177 МГц | 355 МГц | 711 | 5700 МБ/с |
PC2-6000 | DDR2-750 | 187 МГц | 375 МГц | 750 | 6000 МБ/с |
PC2-6400 | DDR2-800 | 200 МГц | 400 МГц | 800 | 6400 МБ/с |
PC2-7100 | DDR2-888 | 222 МГц | 444 МГц | 888 | 7100 МБ/с |
PC2-7200 | DDR2-900 | 225 МГц | 450 МГц | 900 | 7200 МБ/с |
PC2-8000 | DDR2-1000 | 250 МГц | 500 МГц | 1000 | 8000 МБ/с |
PC2-8500 | DDR2-1066 | 266 МГц | 533 МГц | 1066 | 8500 МБ/с |
PC2-9200 | DDR2-1150 | 287 МГц | 575 МГц | 1150 | 9200 МБ/с |
PC2-9600 | DDR2-1200 | 300 МГц | 600 МГц | 1200 | 9600 МБ/с |
Название стандарта | Тип памяти | Частота памяти | Частота шины | Передач данных в секунду(MT/s) | Пиковая скорость передачи данных |
PC3-6400 | DDR3-800 | 100 МГц | 400 МГц | 800 | 6400 МБ/с |
PC3-8500 | DDR3-1066 | 133 МГц | 533 МГц | 1066 | 8533 МБ/с |
PC3-10600 | DDR3-1333 | 166 МГц | 667 МГц | 1333 | 10667 МБ/с |
PC3-12800 | DDR3-1600 | 200 МГц | 800 МГц | 1600 | 12800 МБ/с |
PC3-14400 | DDR3-1800 | 225 МГц | 900 МГц | 1800 | 14400 МБ/с |
PC3-16000 | DDR3-2000 | 250 МГц | 1000 МГц | 2000 | 16000 МБ/с |
PC3-17000 | DDR3-2133 | 266 МГц | 1066 МГц | 2133 | 17066 МБ/с |
PC3-19200 | DDR3-2400 | 300 МГц | 1200 МГц | 2400 | 19200 МБ/с |
В таблицах указываются именно пиковые величины, на практике они могут быть недостижимы.
Для комплексной оценки возможностей RAM используется термин пропускная способность памяти. Он учитывает и частоту, на которой передаются данные и разрядность шины и количество каналов памяти.
Доброго времени суток, недавно обновил компьютер. Поставил себе следующие комплектующие
- проц i5-6600k
- память ddr4 Kingston HyperX FURY [HX421C14FB/16] 16 Гб
- 480 Гб SSD-накопитель Sandisk Extreme Pro
Использую windows 10, недавно установил большое обновление Anniversary. Но проблема, которую я опишу ниже возможно не связана с ним, а началась еще до обновления.
После некоторого времени при работе с компьютером оперативная память забивается на 95%, после выключения всех запущенных приложений занятость озу падает до 85-90%. В диспетчере задач на вкладках Процессы и Подробности никаких процессов, которые бы занимали оперативку нет. Данная проблема возникает не систематически, а через раз. Иногда может пройти 2 часа, а иногда пол дня.
Чаще всего перед этим я использую следующее ПО:
phpStorm последней версии (64bit +java64), git +chrome, photoshop.
virtualbox с установленной на виртуалку ubuntu.
Также играю в различные игры.
После перезагрузки и включения этих программ они занимают от силы 40% моего общего ОЗУ.
Но, когда оперативка заполнена, даже после выключения остается занято 80%.
Попробовал очистить ее с помощью программы Memory Cleaner, не помогло.
Выключал в службах superFetch, вроде бы тоже не помогло.
Какие есть предположения в чем может быть проблема? Хотелось бы услышать комментарий по поводу того, аппаратная ли это проблема или программная и какими средствами(ПО) я могу определить, что занимает оперативную память.
Сведения о вопросе
Ответы (16)
* Попробуйте выбрать меньший номер страницы.
* Введите только числа.
* Попробуйте выбрать меньший номер страницы.
* Введите только числа.
Этот ответ помог 11 польз.
Это помогло устранить вашу проблему?
К сожалению, это не помогло.
Великолепно! Спасибо, что пометили это как ответ.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
Вообщем ситуация сделающая, сегодня был включен стим, utorrent качал, виртуалка, php-storm+xdebux и chrome. Комп начал жутко лагать, я все-все выключил, результат на скринах ниже.
Похоже, что моя оперативка занята nonpaged pool (невыгружаемый пул). В инете много всяких видео, как исправить это с помощью правки реестра. Есть у кого-нибудь 100% способ для windows 10?
Этот ответ помог 1 пользователю
Это помогло устранить вашу проблему?
К сожалению, это не помогло.
Великолепно! Спасибо, что пометили это как ответ.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
Добрый день, Александр.
Сожалею о данной проблеме.
Этот вопрос неоднократно обсуждался.
Попробуйте применить решения из подобных тем.
Пожалуйста, сообщите мне о результатах.
Желаю удачи и хорошего дня!
Если вы считаете эту информацию полезной, прошу отметить ее как ответ
Это помогло устранить вашу проблему?
К сожалению, это не помогло.
Великолепно! Спасибо, что пометили это как ответ.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
У меня та же ситуация. Это связано с одним из последних обновлений виндовс. Ранее такой ситуации не наблюдалось. Все верно описано, память занята, процесса нет занимающего ее, у меня так же 16 гб и при штатном использовании все 100% занять очень сложно. Кроме фотошопа у меня ничто другое не способно занять всю память.
Лично я знаю много людей у которых наблюдаеться то же самое.
Я так понимаю что в майкрософт забили на это и ничего исправлять не собираються. Придется переходить на другую ОС, хотя бы для рабочих нужд, на виндовс становиться невозможно стабильно работать.
Этот ответ помог 24 польз.
Это помогло устранить вашу проблему?
К сожалению, это не помогло.
Великолепно! Спасибо, что пометили это как ответ.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
Я так понимаю что в майкрософт забили на это и ничего исправлять не собираються.
Правильно поняли. Ошибки в драйверах, написанных другими компаниями, "Майкрософт" исправлять не будет. Заниматься выяснением, правильные ли драйверы поставил пользователь - тоже не будет.
Этот ответ помог 7 польз.
Это помогло устранить вашу проблему?
К сожалению, это не помогло.
Великолепно! Спасибо, что пометили это как ответ.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
Я так понимаю что в майкрософт забили на это и ничего исправлять не собираються.
Правильно поняли. Ошибки в драйверах, написанных другими компаниями, "Майкрософт" исправлять не будет. Заниматься выяснением, правильные ли драйверы поставил пользователь - тоже не будет.
Вы сейчас о драйверах для оперативной памяти? Ведь проблема именно в ней, а конкретнее в ее использовании. Так вот, я никогда о таковых не слышал. И второе, я никаких драйверов не переустанавливал уже достаточно давно, а проблема появилась после обновления системы, и не у меня одного как я понимаю. Если у вас есть конкретный ответ на проблему, либо вы можете как либо обосновать что именно система не причем и вина в поставщике драйверов мы все (на данный момент 74 человека) будем вам крайне признательны.
И еще как вариант, может майкрософт будет так любезен в диспетчере все же показывать кем из "поставщиков"/процессов используется память.
П.С. Убунту я уже поставил, там таких проблем не наблюдается.
Этот ответ помог 8 польз.
Это помогло устранить вашу проблему?
К сожалению, это не помогло.
Великолепно! Спасибо, что пометили это как ответ.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
Вы сейчас о драйверах для оперативной памяти?
Нет, конечно. О драйверах устройств, утечки памяти в которых и вызывают разрастание невыгружаемого пула.
То что проблема появилась после обновления системы, означает, что какой-то драйвер с новой версией работает некорректно.
Назвать драйвер телепатически я Вам, как Вы возможно понимаете и сами, не смогу, увы.
Этот ответ помог 3 польз.
Это помогло устранить вашу проблему?
К сожалению, это не помогло.
Великолепно! Спасибо, что пометили это как ответ.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
Майкрософт ну вообще ни в чем не виновата. Ну прям святая.
Обновляет автоматически драйвера, а там трава не расти, ведь это производитель виноват. Проще всего перевести стрелки.
Но, когда сталкивались с проблемой работы Intel HD 4000 и установки драйверов на Windows 10 обращались в Intel. И Intel сообщил что драйвер рабочий, просто не сертифицирован Майкрософт.
Драйверы Windows 10 для процессоров Intel® Core™ третьего поколения с графическими решениями Intel® HD Graphics 4000 и процессоров Intel® Core™ третьего поколения с графическими решениями Intel® HD Graphics 2500 (раньше под кодовым названием Ivy Bridge) будут включать поддержу модели драйверов Windows Vista Display Driver Model (WDDM) 1.3 . Для ссылки функции WDDM 1.2 доступны на веб-сайте Microsoft. Этот драйвер Windows 10 не будет снабжен цифровой подписью , что означает, что это не было протестировано Windows Hardware Quality Labs (WHQL).
Так что же Майкрософт не протестирует драйвер ? А все потому, что наплевать!
Зачем же существует эта лаборатория WHQ ? Чтобы блокировать рабочие, по заявлению Intel, но не сертифицированные и не рекомендуемые по самомнению Майкрософт?
У сотен пользователей проблемы с драйверами, не только на старых устройствах обновленных по псевдоакции до Windows 10, но даже и на новых устройствах.
Зачем всё это?
Недавно были замечены проблемы на Nvidia GeForce 388.43 и конечно снова виноват производитель, но ведь Майкрософт WHQL как то тестирует драйверы и собирает сведения о них, перед обеспечиванием Цифровой подписью, но скорее всего нет.
Виноваты и Майкрософт и производители.
Но проще переводить стрелки друг на друга. Мучайтесь пользователи.
Программы зависают, тормозит компьютер, приложения не отвечают. С подобными проблемами сталкивался практически каждый пользователь ПК и сталкивается до сих пор. Причин для этого есть огромное множество, но сегодня речь пойдет о файле svchost.exe, который пожирает большую часть ресурсов компьютера.
Мы расскажем, что за процессы связаны с этим файлом, почему он так сильно нагружает систему и как правильно с этим бороться.
Описание svchost.exe
Подобная проблема появилась довольно таки давно, однако до сих пор в интернете нет ресурса, где были бы описаны все нюансы и способы борьбы. Данная статья будет посвящена решению на Windows 7.
Стоит начать с того, что svchost.exe является системным процессом. Он должен находится по адресу: C:\Windows\System32\
Проверить местонахождение приложения с названием svchost.exe совсем несложно, достаточно лишь зайти в диспетчер задач (Ctrl+Alt+Delete – Диспетчер задач), найти процесс с этим названием, который потребляет много оперативной памяти, щелкнуть правой кнопкой мыши и выбрать пункт «Открыть место хранения файла. Процесс будет отображаться в диспетчере только, если у Вас стоит галочка «Отображать процессы всех пользователей. В окне проводника вы увидите файл и папку, в которой он находится.
- Система
- LOCAL SERVICE
- NETWORK SERVICE
Кстати, не стоит пугаться того, что в диспетчере задач отображается так много копий svchost.exe. Эта программа предназначена для работы различных приложений, использующих dll библиотеки, соответственно, порой множеству программ весьма затруднительно пользоваться одним svchost.exe и запускаются его копии, но с разными идентификационными номерами.
Отключение обновления Windows 7
Так что же делать, если после проверки svchost.exe не был заподозрен как вредоносный файл или вирус?
Решение оказалось очень простым. По умолчанию у каждого пользователя Windows 7 стоит автоматический поиск обновлений и их установка. Несмотря на выбор периода поиска и установки, ОС все равно постоянно их ищет, что в некоторых случаях приводит к подобной проблеме. На моем личном компьютере при наличии 4 ГБ оперативной памяти свободными были лишь 300 МБ, svchost.exe пожирал 2,5 ГБ.
Для отключения обновлений необходимо проделать следующие шаги:
Отключение скрытой функции обновления Windows
Казалось бы, на этом история должная закончится, но несмотря на важность и необходимость этих действий svchost.exe по прежнему будет пожирать оперативную память, поскольку этого недостаточно для полного отключения обновлений. Для окончательного решения проблемы необходимо произвести еще несколько действий, а именно:
Читайте также: