Комментарии 77
Dis is one half.
Ну как зачем?
Вот из недавнего: в техотдел пришло письмо с каким-то счётом (zip, а внутри .js замаскированный под doc документ), пользователь открыл, ничего не открылось, переслал письмо экономисту — тоже открыли, ничего не открылось. А через некоторое время пропали документы — оказались зашифрованными vault. Вот только тогда побежали к специалистам и всё рассказали. Хорошо, версия зловреда старая была — не удалила теневые копии, из них и восстановили документы. Иначе — только платить хацкерам (и не факт, что дадут ключ для расшифровки)
Вот из недавнего: в техотдел пришло письмо с каким-то счётом (zip, а внутри .js замаскированный под doc документ), пользователь открыл, ничего не открылось, переслал письмо экономисту — тоже открыли, ничего не открылось. А через некоторое время пропали документы — оказались зашифрованными vault. Вот только тогда побежали к специалистам и всё рассказали. Хорошо, версия зловреда старая была — не удалила теневые копии, из них и восстановили документы. Иначе — только платить хацкерам (и не факт, что дадут ключ для расшифровки)
а внутри .js замаскированный под doc документ
Как это работает? Серьезно, не могу представить себе ни одного способа запустить вредоносный js из почтового вложения
Сохраняете файл на рабочий стол, например, и запускаете.
В почтовом вложении — архив zip. Почтовик его спокойно пропускает, антивирусы тоже (ибо используется вполне легальный gpg в итоге), пользователь открывает архив (используется 7zip), в файловом менеджере 7zip показывается файл с именем вида: "Счёт за что-то-там хз что… короче длинное название… от 25 января 2016г.doc [тут куча пробелов — в комментарии они обрезаются почему-то] .js"
Пользователю видно только название файла, и что в конце стоит .doc
Конечно, можно и полное имя просмотреть, но кто ж будет-то разглядывать?
И двойным щелчком файл извлекается и запускается (используется системный cscript или wscript). Далее скрипт (он кстати сильно обфусцирован) собирает другой скрипт, запускает его на выполнение, он уже закачивает нужные файлы из интернета, и запускает шифрование. В некоторых вариантах сам скрипт уже содержит в себе все файлы, закодированные прямо в теле скрипта в base64, и ничего из интернета не тянет, а только отправляет ключ злоумышленнику, после чего тщательно ключ затирается.
Пользователю видно только название файла, и что в конце стоит .doc
Конечно, можно и полное имя просмотреть, но кто ж будет-то разглядывать?
И двойным щелчком файл извлекается и запускается (используется системный cscript или wscript). Далее скрипт (он кстати сильно обфусцирован) собирает другой скрипт, запускает его на выполнение, он уже закачивает нужные файлы из интернета, и запускает шифрование. В некоторых вариантах сам скрипт уже содержит в себе все файлы, закодированные прямо в теле скрипта в base64, и ничего из интернета не тянет, а только отправляет ключ злоумышленнику, после чего тщательно ключ затирается.
используется системный cscript или wscript
Спасибо за это уточнение, не знал про эти вещи
А по иконке файла не видно что он не .doc? Я знаю что екзешникам можно подменять иконку, а другим файлам тоже?
При получении файла с интернета все нормальные браузеры помечают это при помощи отдельного stream'а (тут или на Хабре была как-то статья, почему два файла, побитово одинаковые, запускаются по-разному). При попытке выполнить такой файл Windows делает дополнительный запрос. В данном случае эта цепочка где-то разрывается? Скорее всего, в момент разархивирования? Понятно, что это всего лишь ещё одно предупреждение (которое всё равно никто не читает), но всё равно хоть что-то.
При попытке выполнить такой файл
когда щелкаешь на архив, то выполняется не архив, и не его содержимое, а ранее штатно установленный архиватор (7zip, winrar, winzip, ...), и никакого предупреждения не будет. А вот уже в архиваторе на содержимом архива если дважды щёлкнуть — то распакуется во временную папку, и оттуда запустится ассоциированная с файлом программа, которая, кстати, тоже уже есть в системе. Можно конечно политикой запретить запуск чего-либо из временных папок, но тогда много установщиков в пролёте, и потенциально ещё кучка проблем может появиться.
Ясно. Ну как и предполагал. Тут нужна только поддержка во всех архиваторах, чтобы при разархивировании копировать во все новые файлы все потоки из файла-архива (или хотя бы поток Zone.Identifier). Без этого ничего не получится.
Установщики не в пролете, если разделить права администратора и пользователя. Блочить именно пользователя, а от администратора запускать только проверенный софт.
на самом деле при наличие домена и винды все просто. Через групповые политики настраиваешь белый список тех программ которые нужны, остальное нафиг. Нужно всего лишь потратить денек на настройку, зато потом не будет проблем с клиентскими машинами. Но время сисадмина окупается первым же заблокированным шифровальщиком. Разрешать лучше по сертификатам и хешам, что бы даже с повышенными правами ничего сделать не смогли (а то бывают индивиды с локальными админ правами которые посмотрят в какой папке нет ограничений и туда установят что-нибудь).
Поэтому в 90% случаев достаточно:
reg add «HKLM\Software\Microsoft\Windows Script Host\Settings» /v Enabled /t REG_DWORD /d 0
reg add «HKLM\Software\Microsoft\Windows Script Host\Settings» /v Enabled /t REG_DWORD /d 0
У меня тоже давно зрела мысль разрегистрировать все .js, .vbs и прочие .scr. В Windows при этом ничего важного не отваливается?
Отключение Windows Script Host — это вполне штатная процедура, плюс оно выводит сообщение при попытке выполнения, так что в случае необходимости временно включить несложно. В случае с .scr тоже ничего страшного не случалось. Касательно удаления ассоциаций на .js и .vbs сложно сказать, не пробовал, но когда-то под XP-ями у меня пара десятков машин годы прожила вообще без wscript/cscript. Соответственно, и ассоциации никуда не вели, но ничего не развалилось.
Да никак не работает
Пользователям просто интересны все эти очень важные документы.
Пользователям просто интересны все эти очень важные документы.
Вложением является архив, который замечательно распаковывается во временный каталог. Оттуда и запускается JS.
Аналогичная проблема была в прошлом году — один и тот же пользователь попался на одну и ту же удочку дважды в течение двух месяцев. Решил проблему блокировкой на почтовике вообще всех вложений, кроме pdf, кое-каких картинок и документов мсофиса/либрофиса. Проверяются в том числе и архивы, если в архиве среди 100 файлов есть один потенциально небезопасный — до свидания весь архив. Да, жестко, да, иногда это доставляет неудобства, но проблема исчезла совсем.
У знакомых прилетела подобная гадость через mail.ru — пытались связаться и заплатить (уж очень много там было данных) — ответа не дождались.
У знакомых прилетела подобная гадость через mail.ru — пытались связаться и заплатить (уж очень много там было данных) — ответа не дождались.
Какая знакомая ситуация, бухгалтеру прислали, не открылось, переслали еще на 2 компа и там не открылось! Это при том, что этих людей я предупреждал раза 3, мол вот эпидемия. В их оправдание говорит, только то что письмо пришло от контрагента с которым они реально работают.
сиськи.jpg .exe
Ну HR-спецы, как правило, нечасто сталкиваются с чекдиском и вряд ли вчитываются. А зловред ориентирован именно на них
у и, естественно,
— если не ждешь резюме — ну зачем открывать приложение?
В Германии распространенная традиция — инициативное резюме. Многие компании так и пишут "позиций сейчас нет, но вы пришлите инициативное резюме — может и получится".
Тут главное другое — почем не задумываются, что резюме то собственно влезет в любой почтовый ящик?
По второму пункту не согласен. Встречаются в утилитах и капсы и личное послание:
$ fsck /
fsck from util-linux 2.20.1
e2fsck 1.42.9 (4-Feb-2014)
/dev/vda1 is mounted.
WARNING!!! The filesystem is mounted. If you continue you ***WILL***
cause ***SEVERE*** filesystem damage.
$ fsck /
fsck from util-linux 2.20.1
e2fsck 1.42.9 (4-Feb-2014)
/dev/vda1 is mounted.
WARNING!!! The filesystem is mounted. If you continue you ***WILL***
cause ***SEVERE*** filesystem damage.
"… Оплачивать услуги создателям зловреда в лаборатории категорически не рекомендуется."
Ага, ясно! )) А где их рекомендуется оплачивать, если в лаборатории — нежелательно? И почему там не рекомендуется — это опасно для самой лаборатории? Засветится при инкассации платежного терминала? ))))
Ага, ясно! )) А где их рекомендуется оплачивать, если в лаборатории — нежелательно? И почему там не рекомендуется — это опасно для самой лаборатории? Засветится при инкассации платежного терминала? ))))
Интересно, а если в системе несколько дисков, то шифруются все или только диск с системой?
Интересно, а если у меня Ubuntu, то как он умудрится найти диск C с NTFS?
А в убунту надо права рута, чтобы весь диск зашифровать. Ну и в письме будет что-то вроде: "сохраните файл, и выполните от имени root'a ". Хотя не, проще впарить прямо пакет, в котором уже будет выполняться какой-то скрипт после установки чего угодно. Типа, делается поддельный сайт, вроде g00gle.com, с которого пользователю дадут скачать супер-новый браузер хром бесплатно без смс. Юзер качает, запускает — его просят пароль, он вводит. Далее легко ставится на самом деле хром (или что он там типа качал), и запускается дополнительно любой payload. Всё.
Без прав рута документы пользователя и под линуксом зашифровать тоже легко — достаточно башевский скрипт впарить пользователю, и указать, чтобы он сам сделал его исполняемым, и выполнил. (тут нужна тоже соц инженерия, но несколько иная). Если скрипт обфусцировать, да сделать с виду таким, чтобы с первого взгляда незаметен был подвох — то и системный администратор может проморгать. Меры защиты тоже есть, например, убрать со всех разделов возможность запускать исполняемые файлы, но возможны некоторые проблемы.
Если под wine виндовый вирус- то вирус скорее всего обломится, чтобы весь диск шифровать, а вот документы пользователя — запросто. Так что wine'у не надо "показывать" другие диски, кроме его собственного системного (с).
Без прав рута документы пользователя и под линуксом зашифровать тоже легко — достаточно башевский скрипт впарить пользователю, и указать, чтобы он сам сделал его исполняемым, и выполнил. (тут нужна тоже соц инженерия, но несколько иная). Если скрипт обфусцировать, да сделать с виду таким, чтобы с первого взгляда незаметен был подвох — то и системный администратор может проморгать. Меры защиты тоже есть, например, убрать со всех разделов возможность запускать исполняемые файлы, но возможны некоторые проблемы.
Если под wine виндовый вирус- то вирус скорее всего обломится, чтобы весь диск шифровать, а вот документы пользователя — запросто. Так что wine'у не надо "показывать" другие диски, кроме его собственного системного (с).
Значит вы — не целевая аудитория
Интересно, а запуск такого файла в песочнице SandBoxie поможет защититься? Вообще, штатные средства хоть как-то отрабатывают? Ну типа если учетка пользователя, то админский пароль спросит или нет?
Зачем затирать адреса их адреса в Торе? Опасаетесь, что кто-нибудь испытает неудержимый порыв сходить и заплатить просто так?
Неплохо защищает от таких шифровальщиков запрет запуска скриптов через групповые политики. Уже не раз спасало.
По поводу обхода UAC — я слышал много угроз продемонстрировать мне это чудо, но живьём так и не увидел ни разу. Обычно, по моему опыту, это самый лучший Windows — XP. А пользователь на нём должен быть обязательно админом, потому что иначе у него что-то там не работает, а разобраться с настройкой прав даже поставщик ПО не всегда может.
Ну, или система, в которой UAC есть, но он напрочь выпилен администраторами, потому что до сих пор многим неудобно.
Ну, или система, в которой UAC есть, но он напрочь выпилен администраторами, потому что до сих пор многим неудобно.
Т.е. можно утверждать что включенный UAC это уже достаточно хорошая защита от подобного рода шифровальщиков? Ну, в плане что обойти его они не смогут и запрос на запуск исполняемого файла будет появляться всегда?
Скажем так: включенный UAC сбрасывает права администратора к пользовательским, а для привилегированных действий требует подтверждения. Соответственно, если не используются никакие дыры в безопасности для тихого повышения прав — да, от таких шифровальщиков UAC спасать должен. У себя я его вообще в параноидальный режим выкручиваю на всякий случай. =) Как Вы понимаете, от классических шифровальщиков UAC не спасёт.
Вообще-то по факту клика на ссылку файл должен тупо скачаться, в худшем случае, либо спросить, куда его скачать. Никакие MBR'ы не могут по факту клика сразу же модифицироваться. Что за бред.
Тьфу, за последнее время задолбали спамом с теслакриптом/локи, в день штук 5 писем на ящик прилетает, какое-то весеннее обострение у ксакепов началось.
Блин, как это мило
Вот уж поистине — на западе вежливые люди.
Интересно, какой от такого малваря выхлоп, это же много часов кодинга, тестирования и мотивации нужно чтобы что-нибудь получилось.
Выхлоп, я думаю, нормальный. Потому как цены на расшифровку у них обычно в сотнях долларов (500-700 обычно).
Сотня человек попалась — можно полгода жить припеваючи в любой точке планеты.
Сотня человек попалась — можно полгода жить припеваючи в любой точке планеты.
А что, исходников того же truecrypt'a нет нигде? Там всё это уже реализовано, останется сделать только обёртку, которая автоматом сделает чёрное дело. Тестирование — не так уж много бывает конфигураций ПК, где разные интерфейсы дисков, разные ОС, разные bios/uefi, разные загрузчики — ну с десяток наиболее распространённых вариантов протестировать, и хватит. Мотивации выше крыши — деньги немалые просят за расшифровку.
Похоже, обновление загрузочной записи каждую секунду скоро станет крайне важной задачей…
для параноиков: можно поставить загрузчик на устройство с защитой от записи (например, на sd карту с защёлкой). Правда, если на компе uefi, есть возможность программно выбрать другое устройство загрузки, так что продвинутые вирусы вполне могут обойти. А ещё лучше всю ОС на read-only устройстве держать — пусть хоть какой вирус мучается, после перезагрузки будет всё как и было. Данные… а вот данные бэкапить надо всё равно.
кстати про защёлку, она чисто софтовая.
Неправда Ваша. Она аппаратная. Но обрабатывает её положение картридер. Неоднократно проверено. Я себе даже сделал картридер с переключателем, вместо того, чтобы защелку туда-сюда двигать (она изнашивается, и потом съезжает постоянно). Но не все йогурты картридеры одинаково полезны. Некоторые игнорируют положение этой защёлки (хотя должны учитывать), попадались и такие, что ровно через одно подключение работали правильно (то реагирует на защёлку, то нет), так что нужно проверять.
Скажите, а помогла бы в подобных случаях синхронизация важных файлов с облачными дисками? Где-то выше упоминалось, что некоторые зловреды шифруют файлы и в облаке, но правильные облака же должны при этом сохранить предыдущие (до шифрования) версии.
Может ли зловред добраться до предыдущих версий в облаке через API или как-то иначе?
Может ли зловред добраться до предыдущих версий в облаке через API или как-то иначе?
Кроме групповых политик помогает фильтрация на сервере. Amavis + postfix рубят все архивы с исполняемыми файлыми внутри (включая js). В день 200-300 писем с такой ерундой убивается.
Они надеются, что Petya шифрует все же лишь доступ к файлам, но не сами данные накопителя. Ответа на вопрос: возможно ли восстановление данных диска в случае заражения на данный момент нет.
Шифруется таблица MFT. Восстановление и загрузочной области и записей файловой системы вполне реально, несмотря на используемое шифрование.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Зловред-вымогатель “Petya” шифрует весь жесткий диск и требует денег