Comments 74
А разве полицейские департаменты в США не используют какой-то свой модифицированный линукс в качестве системы для десктопных машин без рут доступа? В фильмах во всяком случае так все и выглядит, сервак и удаленные терминалы, или как всегда в фильмах лучше чем есть на самом деле?
Винда у них, винда
Портируют этот локер на линукс — делов то.
Ага, и для запуска нужно будет поставить в систему make/gcc, кучу -dev пакетов и потом его собрать и запустить от рута? :)
А если серьезно — там уже есть некоторые проблемки, вроде левых самосборных пакетов для убунты на форумах (лично видел). Ну или PPA. Но их таки тоже нужно явно устанавливать в систему.
А если серьезно — там уже есть некоторые проблемки, вроде левых самосборных пакетов для убунты на форумах (лично видел). Ну или PPA. Но их таки тоже нужно явно устанавливать в систему.
И разве это проблема для злоумышленника?
Если программа и так во время работы, нагружает по максимуму носители информации, переписывая всю информацию на дисках, то таскать с собой несколько сотен мегабайт зависимостей — плевое дело.
p.s. тем более, установка приложений в linux на порядок проще и удобнее чем в windows системах, — одна строчка и все необходимые зависимости разрешены.
Если программа и так во время работы, нагружает по максимуму носители информации, переписывая всю информацию на дисках, то таскать с собой несколько сотен мегабайт зависимостей — плевое дело.
p.s. тем более, установка приложений в linux на порядок проще и удобнее чем в windows системах, — одна строчка и все необходимые зависимости разрешены.
Но для этого нужно либо явно повысить привелегии до рута (т.е. спросить пользователя ввести пароль), либо воспользоваться уязвимостью (а такого рода уязвимости закрывают достаточно быстро). Но можно, конечно, и без установки обойтись…
Зашифровать даже только файлы этого пользователя — тоже может быть не очень приятно.
И что, сцуко, характерно, до файлов с владельцем root мне дела нет. Это системная шелуха. А все ценное принадлежит моему пользователю. Впрочем спасает Owncloud, который на другой машине и не отдаст просто так данные)
Можно подробности?
Owncloud забирает текущую копию файла и сохраяняет ее на сервере с версиями. Зашифровать данные на подключенном сервере не получится, так владлец уже не пользователь, а www-data
Но это как минимум удваивает место?
Так это как минимум и машины разные. Рабочая станция и сервер. Даже в рамках одной машины неплохо, если данные лежат на двух HDD.
А Owncloud умеет делать дельта-синк? Ну и хранит он как, полные копии версий или диффы?
Не интересовался. Синхронизируется через диффы, как dropbox, а версии вроде целиком до переполнения квоты. Подробнее здесь
Слушай, мы с тобой в каждой теме про этим системы синхронизации спорим)) я ж не настаиваю, просто именно этот софт использую и мне удобно.
Слушай, мы с тобой в каждой теме про этим системы синхронизации спорим)) я ж не настаиваю, просто именно этот софт использую и мне удобно.
Мда. Пугает.
Господа, подскажите что почитать на тему компьютерной безопасности?
Я сам программист от админства очень далеко. Но так получилось что отвечаю за локалку нашей семьи(с десяток компов). Как стоит организовать работу локалки, чтобы в случае такой вот фигна на одном компе — не накрылись расшареные сетевые диски? Что почитать на тему?
Господа, подскажите что почитать на тему компьютерной безопасности?
Я сам программист от админства очень далеко. Но так получилось что отвечаю за локалку нашей семьи(с десяток компов). Как стоит организовать работу локалки, чтобы в случае такой вот фигна на одном компе — не накрылись расшареные сетевые диски? Что почитать на тему?
Вариант «не посещать порносайты» не рассматриваете?
У меня есть порносайты в закладках. При этом никаких блокираторов я не ловил никогда.
Речь не о том, чтобы защитить мой компьютер. Я не плохо знаком с парвилами гигиены в интернете и браузер у меня облеплен блокираторами.
Но у моей сестры живущей в соседнем доме и обитающей в нашей же локалке двое племящей, которые только-только осватвают интернет и вполне могут какую нибудь заразу подхватить.
Мой отец также живущий в соседнем доме хоть и админ в прошлом, давно уже отстал от современных тенденций и уже ловил смс-блокираторы, хотя я уверен, что он не на порно сайтах его поймал.
Речь не о том, чтобы защитить мой компьютер. Я не плохо знаком с парвилами гигиены в интернете и браузер у меня облеплен блокираторами.
Но у моей сестры живущей в соседнем доме и обитающей в нашей же локалке двое племящей, которые только-только осватвают интернет и вполне могут какую нибудь заразу подхватить.
Мой отец также живущий в соседнем доме хоть и админ в прошлом, давно уже отстал от современных тенденций и уже ловил смс-блокираторы, хотя я уверен, что он не на порно сайтах его поймал.
У нормальных порносайтов доход идёт с рекламы. Продать своих пользователей один раз им менее выгодно чем потерять лицо.
Да простой логики достаточно: если активный комп шифрует до чего может дотянуться, то надо ему ограничить доступ к бакапу (как минимум). То есть для бакапа данные должен «забирать» сервер с открытой папки клиента.
Плюс учесть транспорт распространения зловреда: червие ли, троян ли, вирус ли.
По каждому транспорту защита может отличаться: брандмауэры, политика, антивирусы.
Если бакап делается с активного компа, то нужна версионность. Если зловред имеет инкубационный период, то глубину бакапа продумать лучше, например, 38 бакапов: суточные, недельные, три месячных, или 90 инкрементальных бакапов или что-то вроде того.
Плюс учесть транспорт распространения зловреда: червие ли, троян ли, вирус ли.
По каждому транспорту защита может отличаться: брандмауэры, политика, антивирусы.
Если бакап делается с активного компа, то нужна версионность. Если зловред имеет инкубационный период, то глубину бакапа продумать лучше, например, 38 бакапов: суточные, недельные, три месячных, или 90 инкрементальных бакапов или что-то вроде того.
Политики ограниченного использования программ посмотри:
habrahabr.ru/post/101971/
habrahabr.ru/post/101971/
Делайте бэкапы на съемный диск регулярно и всё.
В т.ч. и образ системы снимайте. Откатите и все будет как прежде.
В т.ч. и образ системы снимайте. Откатите и все будет как прежде.
Каждый день подключать винчестер, ждать пока пройдет бэкап, а потом отключать… Сомнительное удовольствие.
Если интересна именно защита сетевых дисков, а винда свежая — надо убедиться, что теневые копии тома работают.
Сделайте сетевые диски только на чтение с отдельной папочкой для Incoming. Или вариант дать каждому пользователю доступ на запись только в свою папку.
Вот интересно, если такие случаи уже были и о них много где писалось — неужели так сложно было настроить резервное копирование? У меня в организации тоже схватывали крипто-локер, но это случилось аккурат когда начал внедрять резервное копирование, но потеряли всего лишь часть файлов. Неужели у них нет человека, который бы отвечал за всю инфраструктуру?
> Документы слишком важны, чтобы их потерять.
И при этом у них не было бэкапов, да?
И при этом у них не было бэкапов, да?
А кто сказал что бэкапы не были также зашифрованы?
Как на винде организовать сохранность бэкапов в такой ситуации? Что помешает блокиратору залезть на сетевой диск с бэкапами и там продолжить свое черное дело?
Если что, не воспринимайте мои вопросы как наезд. Я далек от админства и действительно интересуюсь как это победить.
Как на винде организовать сохранность бэкапов в такой ситуации? Что помешает блокиратору залезть на сетевой диск с бэкапами и там продолжить свое черное дело?
Если что, не воспринимайте мои вопросы как наезд. Я далек от админства и действительно интересуюсь как это победить.
> А кто сказал что бэкапы не были также зашифрованы?
Бэкапы _важных_ данных должны быть расположены на другой машине (а еще лучше на нескольких географически разделенных), и их должно быть, как минимум больше одной версии. Если последняя заражена — можно поднять предыдущую.
> Как на винде организовать сохранность бэкапов в такой ситуации? Что помешает блокиратору залезть на сетевой диск с бэкапами и там продолжить свое черное дело?
В винде есть как минимум два вида встроенных средств (плюс 100500 более навороченных сторонних решений). Отследить массовое изменение (== шифровку) всех файлов на этом уровне — задача элементарная.
> Что помешает блокиратору залезть на сетевой диск с бэкапами и там продолжить свое черное дело?
Эмм. Ну, как минимум, грамотно настроенные пермишены и версионирование бэкапов?
Ну и я уже не говорю о том, что машины с _важными_ данными вообще были заражены.
Бэкапы _важных_ данных должны быть расположены на другой машине (а еще лучше на нескольких географически разделенных), и их должно быть, как минимум больше одной версии. Если последняя заражена — можно поднять предыдущую.
> Как на винде организовать сохранность бэкапов в такой ситуации? Что помешает блокиратору залезть на сетевой диск с бэкапами и там продолжить свое черное дело?
В винде есть как минимум два вида встроенных средств (плюс 100500 более навороченных сторонних решений). Отследить массовое изменение (== шифровку) всех файлов на этом уровне — задача элементарная.
> Что помешает блокиратору залезть на сетевой диск с бэкапами и там продолжить свое черное дело?
Эмм. Ну, как минимум, грамотно настроенные пермишены и версионирование бэкапов?
Ну и я уже не говорю о том, что машины с _важными_ данными вообще были заражены.
Бэкапы и пермишены это конечно хорошо, но долго.
В дополнении к ним очень приятно использовать автоматически создаваемые снэпшоты ФС. Их хоть каждые пять минут можно создавать.
В дополнении к ним очень приятно использовать автоматически создаваемые снэпшоты ФС. Их хоть каждые пять минут можно создавать.
Если каждые 5 минут делать по снапшоту, то LVM будет в результате жутко тормозить, а всякие там BTRFS могут и вовсе отвалиться. Разве что какой-нибудь NILFS заюзать можно, но там никто не гарантирует, что твои данные (особенно если они занимают большую часть диска) не будут перезаписаны несколько раз так, чтобы кольцевой буфер переполнился и остатки старых данных были затёрты.
Я тоже как-то задался этим вопросом. Полностью готового решения не нашлось, только какой-то самописный скрипт, который пришлось допиливать самому. Подробности читайте тут: habrahabr.ru/post/205204/
На данный момент я этим пользуюсь. Применять по делу, к счастью, пока не приходилось.
Думаю, мое решение спасло бы от данного вируса, т.к. диск большую часть времени лежит не подключенный к компьютеру. Если бы его подключили и начали копирование после зашифровки, то старые копии остались бы не тронутыми. Кроме того, т.к. файлы поменялись, то при копировании был бы перенос новой копии каждого файла, вместо создания хардлинка. Это было бы видно по логам, могло бы насторожить.
На данный момент я этим пользуюсь. Применять по делу, к счастью, пока не приходилось.
Думаю, мое решение спасло бы от данного вируса, т.к. диск большую часть времени лежит не подключенный к компьютеру. Если бы его подключили и начали копирование после зашифровки, то старые копии остались бы не тронутыми. Кроме того, т.к. файлы поменялись, то при копировании был бы перенос новой копии каждого файла, вместо создания хардлинка. Это было бы видно по логам, могло бы насторожить.
В Windows 8 появился аналог TimeMachine из OS X — называется История файлов, находится легко в панели управления, функционал — более чем достойный.
А в ваше решение далеко не факт (как и история файлов), что спасло бы от вируса, если есть USB-диск, или сетевое хранилище, и есть доступ для записи — то вирус может и ваши старые копии взять, и повторно зашифровать — и требовать деньги за ключ. Есть вариант системой бекапа менять права доступа после записи файлов, или изначально под другим пользователем их сохранять (пароль от которого знает например только ваша программа для бекапа), а для других доступно только чтение. Можно еще что-нибудь придумать.
А в ваше решение далеко не факт (как и история файлов), что спасло бы от вируса, если есть USB-диск, или сетевое хранилище, и есть доступ для записи — то вирус может и ваши старые копии взять, и повторно зашифровать — и требовать деньги за ключ. Есть вариант системой бекапа менять права доступа после записи файлов, или изначально под другим пользователем их сохранять (пароль от которого знает например только ваша программа для бекапа), а для других доступно только чтение. Можно еще что-нибудь придумать.
Да и до 8 теневые копии прекрасно работают.
Если вы имеете ввиду предыдущие версии файлов, как законченное решение — то они на том же диске хранились, если как службу — то ведь надо самому городить огород было (или покупать софт — вроде Acronis True Image и другие).
Как Oleg_Sh и сказал, полностью готового решения в самой ОС не было (разве что архивация+предыдущие версии, но это было крайне расточительно, у меня архивы очень быстро толстели в объеме). А история файлов — подключил диск (USB или сетевой), пара кликов — и все работает. И появляется возможность не только откатить версию файла, но и быстро просмотреть все изменения, а ещё спокойно пережить поломку основного диска — т.к. ваши файлы есть на другом диске в достаточно актуальном состоянии (стандартно, копируются изменения раз в час). Хотелось бы как и в OS X, где TimeMachine позволяет не только пользовательские данные восстанавливать, но и полностью саму систему и приложения (а в Windows для этого надо использовать резервную копию образа системы — что очень накладно), может когда-нибудь и это появится.
Как Oleg_Sh и сказал, полностью готового решения в самой ОС не было (разве что архивация+предыдущие версии, но это было крайне расточительно, у меня архивы очень быстро толстели в объеме). А история файлов — подключил диск (USB или сетевой), пара кликов — и все работает. И появляется возможность не только откатить версию файла, но и быстро просмотреть все изменения, а ещё спокойно пережить поломку основного диска — т.к. ваши файлы есть на другом диске в достаточно актуальном состоянии (стандартно, копируются изменения раз в час). Хотелось бы как и в OS X, где TimeMachine позволяет не только пользовательские данные восстанавливать, но и полностью саму систему и приложения (а в Windows для этого надо использовать резервную копию образа системы — что очень накладно), может когда-нибудь и это появится.
> но и полностью саму систему и приложения (а в Windows для этого надо использовать резервную копию образа системы — что очень накладно), может когда-нибудь и это появится.
Емнип, при такой схеме бэкапа каждый раз делается не полный снимок диска, а снэпшот, т.е. при восстановлении можно восстановить одну из предыдущих версий.
Емнип, при такой схеме бэкапа каждый раз делается не полный снимок диска, а снэпшот, т.е. при восстановлении можно восстановить одну из предыдущих версий.
ЧСВ хакера взлетело и пробило потолок
Правильно ли я понимаю, что, поскольку при шифровании исходные файлы с диска так или иначе удаляются, то синхронизация с облаком вообще не является бэкапом (ведь клиент удалит исходные файлы и зальет зашифрованные). Кроме, наверное, Дропбокса, где можно восстановить старые версии файлов, и, возможно, Яндекс-диска, где всё удаленное помещается в корзину.
Нормальное облако предоставляет версионированние файлов. Если не предоставляет — значит облако не нормальное и пользоваться им не стоит. А предоставляет его достаточно много облаков.
Есть owncloud. Бесплатен и без проблем разворачивается почти везде. Версионирование есть.
у меня была такая же проблема — по почте пришло письмо якобы из банка с сообщением, что на рс были ошибочно зачислены денежные средства и прикрепленной платежкой.
При открытии платежки ничего не произошло (видимого), а в фоне началось архивирование все документов doc. xls, dwg, jpg и возможно других. в итоге я получил в каждой папке по оригинальному документы (сломанному) и архиву с таким же названием .rar и с паролем
В каждой папке создался txt файл с текстом, что для разархивации нужно заплатить эквивалент 10000 рублей в биткоинах на указанный email. обещались после оплаты отправить мне пароль на архивы
гуглинг проблемы дал только один ответ — для получения назад файлов нужно заплатить
в общем, после оплаты на указанный кошелек мне прислали программу, которая все файлы действительно расшифровала, а также письмо с текстом типа «простите за такой способ заработка»
При открытии платежки ничего не произошло (видимого), а в фоне началось архивирование все документов doc. xls, dwg, jpg и возможно других. в итоге я получил в каждой папке по оригинальному документы (сломанному) и архиву с таким же названием .rar и с паролем
В каждой папке создался txt файл с текстом, что для разархивации нужно заплатить эквивалент 10000 рублей в биткоинах на указанный email. обещались после оплаты отправить мне пароль на архивы
гуглинг проблемы дал только один ответ — для получения назад файлов нужно заплатить
в общем, после оплаты на указанный кошелек мне прислали программу, которая все файлы действительно расшифровала, а также письмо с текстом типа «простите за такой способ заработка»
Ну разве это не шикарный пример ускоренного курса по повышению компьютерной грамотности в области собственной информационной безопасности?
Всего 10 тысяч рублей. Гарантированный долговременный эффект.
А если серьезно — искренне сочувствую. Бывший коллега ждал уведомления по его делу из суда. И оно пришло! И его нисколько не смутило, что оно не персонализировано, что пришлось скачать архив, что имя сайта рассказывает о счастливых днях, а в архиве исполняемый файл. И ценник там был 16 тысяч.
Эта гадысть так часто меняется, что антивирусные решения за ними не поспевают. А некоторые производители зарубежных антивирусов до сих пор не выпустили сигнатуры на то, что давно устарело.
Всего 10 тысяч рублей. Гарантированный долговременный эффект.
А если серьезно — искренне сочувствую. Бывший коллега ждал уведомления по его делу из суда. И оно пришло! И его нисколько не смутило, что оно не персонализировано, что пришлось скачать архив, что имя сайта рассказывает о счастливых днях, а в архиве исполняемый файл. И ценник там был 16 тысяч.
Эта гадысть так часто меняется, что антивирусные решения за ними не поспевают. А некоторые производители зарубежных антивирусов до сих пор не выпустили сигнатуры на то, что давно устарело.
А какого вида эта «платёжка» была?
Просто интересно, это была уязвимость программного или всё же социального характера :)
Просто интересно, это была уязвимость программного или всё же социального характера :)
Я подозреваю, что что-то типа «имя_файла.doc.exe». К нам тоже приходило, но не платежка, а какой-то файл от фейкового МВД.
честно говоря, я немного слукавил, говоря «у меня», на самом деле все это произошло на компе отца, но общение с вредителями, оплаты и разархивирование делал я, поэтому не могу сказать, что конкретно было в письме
Меня в этой истории больше всего удивляет что файлы, по видимому, в самом деле расшифровываются после отправки выкупа.
ничего удивительного — не будут расшифровываться файлы — не будут платить
А я переписывался с этими чуваками. Они мне так и ответили на вопрос какие гарантии, что пришлете раз архиватор — нам, говорят, невыгодно кидать, что б на формах об этом не писали, а то платить не будут. Пришлось поверить
В теории такая методика рассчитана на долговечное существование.
Вас заразили, и вы уже знаете, что надо заплатить, если нет копий данных.
Зимой 2014-2015 в Англии тоже у некой силовой структуры, зашифровали сервер, требовали 1000$ на Bitcoin.
Знакомый говорил, такой кипишь подняли. Чтобы не опозориться.
Вас заразили, и вы уже знаете, что надо заплатить, если нет копий данных.
Зимой 2014-2015 в Англии тоже у некой силовой структуры, зашифровали сервер, требовали 1000$ на Bitcoin.
Знакомый говорил, такой кипишь подняли. Чтобы не опозориться.
Во вторник на прошлой неделе, пошел покушать. Прихожу – касперский сообщает о подозрительном действии приложения (crypto.exe). Смотрю, этот файл создан в день его обнаружения. Обезвредили его, все отлично.
Через три дня обнаружил еще два «вирусочка». Опять же в произвольно созданных файлах.
Софт юзаю только свой, иногда качаю с проверенных источников. За последнюю неделю до обнаружения заходил разве что на хабру, фриланс и еще пару сайтов (постоянных по работе). Ни чужих флешек, ни чего лишнего НИ-НИ.
Сидел долго думая, из «какого КОСМОСА» мне на комп попала эта дрянь?
Через три дня обнаружил еще два «вирусочка». Опять же в произвольно созданных файлах.
Софт юзаю только свой, иногда качаю с проверенных источников. За последнюю неделю до обнаружения заходил разве что на хабру, фриланс и еще пару сайтов (постоянных по работе). Ни чужих флешек, ни чего лишнего НИ-НИ.
Сидел долго думая, из «какого КОСМОСА» мне на комп попала эта дрянь?
Потому что надо блочить комп, когда уходишь пожрать. И ещё обновляться регулярно.
Флэш, жаба, всякие сильверлайты и прочая утиль, которой сейчас на компах просто мегатонны.
По сути массово PC не ломают только потому что лениво.
По сути массово PC не ломают только потому что лениво.
Может в скринсейвере сидит вирус который собирает периодически этот crypto.exe заново.
Нисколько не оправдываю такие методы, но с другой стороны они дают пользы в понимании собственной безопасности гораздо больше, чем творения наших законотворцев о запрете распространения информации о криптовалютах.
было разок просит супруга посмотреть какое-то непонятное окошко на её ноуте. подхожу и обнаруживаю что-то типа такого. причём очень настойчивое — закрываешь, оно снова открывается, перегрузки не помогают. сразу пришла на ум шутка про албанский вирус.
уж не знаю, где нагуляла эту штуку, но symantec его не определял, а на вирустотал посмотреть я поленился. разлогинил её акк, снёс профиль, всё стало чисто. отсюда мораль — не выдавайте юзерам выдавать админские привилегии в системе и ваши волосы будут мягкие и шелковистые.
уж не знаю, где нагуляла эту штуку, но symantec его не определял, а на вирустотал посмотреть я поленился. разлогинил её акк, снёс профиль, всё стало чисто. отсюда мораль — не выдавайте юзерам выдавать админские привилегии в системе и ваши волосы будут мягкие и шелковистые.
Windows Sysinternals: AutoRuns, позволяет очень просто и удобно посмотреть что запускается на автозапуске и какие библиотеки зарегистрированы на различные автодействия, тут же проверит цифровую подпись (только x64 платформы) и позволит удалить лишние или ошибочные записи.
Я вообще не понимаю, почему майкрософт не устанавливает пакет утилит от давным давно 'купленной' ими команды разработчиков Sysinternals по умолчанию в операционную систему.
Я вообще не понимаю, почему майкрософт не устанавливает пакет утилит от давным давно 'купленной' ими команды разработчиков Sysinternals по умолчанию в операционную систему.
Самое простое для домашнего компа против шифровальщиков, создать нового юзера backuper, создать папку на харде, права записи на папку только для этого юзера.
Копировать по расписанию свои документы в эту папку из под прав backuper.
Под данной учеткой в интернете и для работы не сидеть, использовать только для бакапа.
Копировать по расписанию свои документы в эту папку из под прав backuper.
Под данной учеткой в интернете и для работы не сидеть, использовать только для бакапа.
Sign up to leave a comment.
Полиция Массачусетса заплатила выкуп в биткоинах, чтобы вернуть свои файлы