Comments 90
При вызове CryptExportKey можно указать каким ключом шифровать экспортируемый, трой так и делает. Экспортируемый шифруется RSA-2048, так что тут без шансов скорее.
цель данной атаки финансовая, но рассчитана она была не на получение прибыли, а на нанесение финансрвых потерь. Аргументы:
- Один кошелек. Если бы я делал, то я бы генерировал на машине кошелет биткоина и отправлял куда надо вместе с ключем шифрования. Много кошельков сложно отследить.
- Почтовый адрес — ну я все понимаю, но с одного почтового адреса даже почту забрать проблематично. При том что его сразу закрыли. Для этих целей есть тор
- Каждый диск шифровался своим ключем. Зачем?
- Не подверглись шифрованию сменные носители, потому что шифрование проводилось уже вне операционной системы и драйверов юсб просто не было
- Шифрование дисков проводилось уже после перезагрузки, следовательно ключ генерировался уже после, когда сети на машине уже не было — ключи никуда не были отправлены.
- Гребаный медок, не знаю его роль в этом вопросе, но то, что это через них эта зараза попала на сервера это 100%
- Это точно не модифицированный вымогальщик petya — просто картинка похожа
1. Согласен. Но если генерировать адреса, то приватные ключи надо отправлять куда то — можно спалиться. Но если бы стояла цель за выкуп давать возможность расшифровывать, то самый оптимальный вариант по запросу откуда то получать номер кошелька. Ключи хранить в памяти до оплаты. Онлайном проверять баланс кошелька (тот же blockchain.info дает такую возможность), если сумма упала на кошелек — расшифровывать. Ни каких проблем.
2. Именно…
3. Потому что для каждого диска, процесс запускал дополнительный поток. Который в свою очередь генерил свой ключ. Почему нельзя было сначала сгенерить ключ, а потом создавать потоки, точно не скажу, но наверное потому, что работать с одним ключом одновременно нескольким потокам нельзя.
4. Нет, шифрование происходло в системе, вызываются библиотечные функции.
5. Думаю, шифрование происходило до перезагрузки, а все остальное для понтов.
6. Их могли использовать в темную.
7. Вообще не пойму откуда название.
2. Именно…
3. Потому что для каждого диска, процесс запускал дополнительный поток. Который в свою очередь генерил свой ключ. Почему нельзя было сначала сгенерить ключ, а потом создавать потоки, точно не скажу, но наверное потому, что работать с одним ключом одновременно нескольким потокам нельзя.
4. Нет, шифрование происходло в системе, вызываются библиотечные функции.
5. Думаю, шифрование происходило до перезагрузки, а все остальное для понтов.
6. Их могли использовать в темную.
7. Вообще не пойму откуда название.
Медок чудаки на букву м — им два года уже рассказывают, что нельзя так обновления выпускать без подписи.
Тут в комментах пишут, что одно из последних было столь кривое, что пользователям поддержка рекомендовала запускать службу из-под доменного админа (впрочем, это сообщение пока одно, подождём ещё подтверждений). Жесть.
Для связи с жертвами можно развернуть сайт в виде hidden service в Торе, и никто его ни отследит ни заблокирует.
еще один аргумент, скорее всего самый важный: управляющего сервера, который хотя бы ключи хранил, тоже нету.
8 — атака достаточно сфокусированная, цель — Украина (и дата удачная — перед праздничным днем — днем конституции, кроме нанесения финансового урона еще и нагнетание паники)
По данным компании ESET (источник: УНИАН ), на Украину пришлось 75,24% заражений от общего количества в мире. На Германию — 9, 06%, на Польшу — 5,81%. Далее идет Сербия (2,87%), Греция (1,39%), Румыния (1,02%). На Россию 0,8%.
остальных походу просто зацепило взрывной волной…
По данным компании ESET (источник: УНИАН ), на Украину пришлось 75,24% заражений от общего количества в мире. На Германию — 9, 06%, на Польшу — 5,81%. Далее идет Сербия (2,87%), Греция (1,39%), Румыния (1,02%). На Россию 0,8%.
остальных походу просто зацепило взрывной волной…
8 — атака достаточно сфокусированная, цель — Украина (и дата удачная — перед праздничным днем — днем конституции, кроме нанесения финансового урона еще и нагнетание паники)
/надеваю фольгированную кипу/
Да, давайте я вам я ещё косвенное доказательство целенаправленной атаки подкину.
Petya-Петя-Петро… Ну вы меня поняли…
/снимаю фольгированную кипу/
UFO just landed and posted this here
по сути уже сказали
медоки подцепили трипер и заразили им пол страны
самые жопорукие — легли полностью
самые дебильные, хранящие критичные данные на самба шарах и в базах ms sql — получили критические повреждения в межушный ганглий.
медоки подцепили трипер и заразили им пол страны
самые жопорукие — легли полностью
самые дебильные, хранящие критичные данные на самба шарах и в базах ms sql — получили критические повреждения в межушный ганглий.
В Украине зарплата админа в конторах, которые легли — 300-400 долларов
поэтому те, которые с мозгами и руками — зарабатывают 1500+ в иностранных или аутсорсинговых компаниях.
а в говноконторы или гос структуры идут работать токо рукожопы.
вот и весь секрет
впрочем не весь
есть мысль, что в распрострастранении вируса сильно помог какой-то анонимайзер, которые на Украине резко стали популярны.
А агентов путина среди вирусов искать — верный путь к галопиридолу.
поэтому те, которые с мозгами и руками — зарабатывают 1500+ в иностранных или аутсорсинговых компаниях.
а в говноконторы или гос структуры идут работать токо рукожопы.
вот и весь секрет
впрочем не весь
есть мысль, что в распрострастранении вируса сильно помог какой-то анонимайзер, которые на Украине резко стали популярны.
А агентов путина среди вирусов искать — верный путь к галопиридолу.
Ну я бы так не был категоричен. В Киеве админы не плохо получают для Украины, как и в Москве для России. А дешевых админов и в России достаточно.
Я согласен, что целенаправленно было спланировано.
В сетки вирус проникал через почту, а организовать целенаправленную рассылку не так сложно.
Другое дело, что внутри сети были в черти каком состоянии. И майский вирус ни чему не научил.
Я согласен, что целенаправленно было спланировано.
В сетки вирус проникал через почту, а организовать целенаправленную рассылку не так сложно.
Другое дело, что внутри сети были в черти каком состоянии. И майский вирус ни чему не научил.
Я так категоричен потому, что живу в Киеве, в девопсы пошел из админов и поэтому — знаю рынок.
А так же видел список подохших контор и примерно знаю сколько там народ зарабатывает.
не, многим в Украине эникейские 300-400 баксов за счастье, но профессионалы на такую зп не пойдут.
кстати, в кыбэрполицию набирали тоже на зп до 10к гривен. причем глядя на список скилов в вакансии я чуть не помер от хохота.
поэтому когда прессллужба киберполицаев присоединилась к хору конспирологов — лично мне стало ясно, что туфта на 100%
А так же видел список подохших контор и примерно знаю сколько там народ зарабатывает.
не, многим в Украине эникейские 300-400 баксов за счастье, но профессионалы на такую зп не пойдут.
кстати, в кыбэрполицию набирали тоже на зп до 10к гривен. причем глядя на список скилов в вакансии я чуть не помер от хохота.
поэтому когда прессллужба киберполицаев присоединилась к хору конспирологов — лично мне стало ясно, что туфта на 100%
По твоей логике, можно сказать что и в Майкрософт работают рукожопы, раз допустили использование пароля в открытом виде. Не нужно всё валить на людей, здесь проявился комплекс уязвимостей, многие сделали выводы, и такой софт как МЕдок будут устанавливать изолированно.
не, в мелкософте работают прекрасные и умные парни, которые за 20+ лет развития ОС не смогли сделать нормальный менеджер процессов, не позволяющий несанкционированную эскалацию привилегий.
за 10+ лет развития СЕРВЕРНОЙ оси — сервак с настройками по умолчанию воткнутый голой жопой в интернет — живет пару часов, потом его ломают.
это ж блин вершина программисткого искусства, редхат, обнимая оракл — рыдает.
за 10+ лет развития СЕРВЕРНОЙ оси — сервак с настройками по умолчанию воткнутый голой жопой в интернет — живет пару часов, потом его ломают.
это ж блин вершина программисткого искусства, редхат, обнимая оракл — рыдает.
Про рукожопов это громко. просто реально нет финансирования что бы все было как у людей. Из десятка серверов осталось только два "рабочих" и только один из них может работать сутками без перезагрузок. Накопители не в лучшем состоянии и объем аж 500гиг, много не поместить и так во всех аспектах. Нужно вкладывать в госсектор, а там режим жесткой экономии официально включен, вот и экономят, а железу более 10 лет уже.
сорян, а что мешаетт уйти в энтерпрайз из госсектора, и иметь сотню рабочих серверов, десяток стореджей, файберченал и 40 гигабитный эзер?
ну и зарплату больше раз в 5 (если не в 10?)
или релокейтнутся?
мне в линкедин постоянно приходят предложения.
что заставляет сидеть в госсекторе и нищенствовать?
ну и зарплату больше раз в 5 (если не в 10?)
или релокейтнутся?
мне в линкедин постоянно приходят предложения.
что заставляет сидеть в госсекторе и нищенствовать?
А что изменится? Один человек уйдет, как вы говорите, релокейтнется, переведется в ентерпрайз, а на его место придет другой. И как от этого изменится ситуация? Думаете, от этого зарплату поднимут и бюджет на ИТ увеличат?
всех не перестреляете (С)?
да нет, конечно не изменится, ибо та таких должностях обычно сидят, сростаясь с креслом всякого рода вечные студенты, ранние пенсионеры, «виндовс админы» и прочие товарищи, не умеющие самостоятельно обучаться.
и там, где такие товарищи востребованы, по причине нищенского бюджета — жопа будет всегда, не зависимо от пети или пути.
да нет, конечно не изменится, ибо та таких должностях обычно сидят, сростаясь с креслом всякого рода вечные студенты, ранние пенсионеры, «виндовс админы» и прочие товарищи, не умеющие самостоятельно обучаться.
и там, где такие товарищи востребованы, по причине нищенского бюджета — жопа будет всегда, не зависимо от пети или пути.
Вы не поняли. Что изменится в организации, после того как сменится специалист?
Дело же не в том, что какой-то специалист жалуется на свою судьбу и загубленный талант. А в том, что руководство не видит смысла поддерживать ИТ-инфраструктуру, работает — и ладно. И была бы это частная контора, она сама бы со временем загнулась. Но госсектор не загнется, хоть на счеты его пересади. И страдает от этого не сисадмин, не его руководство, а в широком смысле жители страны.
Дело же не в том, что какой-то специалист жалуется на свою судьбу и загубленный талант. А в том, что руководство не видит смысла поддерживать ИТ-инфраструктуру, работает — и ладно. И была бы это частная контора, она сама бы со временем загнулась. Но госсектор не загнется, хоть на счеты его пересади. И страдает от этого не сисадмин, не его руководство, а в широком смысле жители страны.
а ПОЧЕМУ что-то должно меняться в организации, с бюджетом айти отдела в три копейки в урожайный год?
я лишь сказал что обучаемые люди, с руками из плеч — всегда могут найти НОРМАЛЬНУЮ работу.
а оставшиеся — и устраивают такую бурю в стакане с дурнопахнущей субстанцией, сваливая вину, как теперь модно, на агентов путина.
да, в украине даже вирусы — агенты путина. а мегаспецы — что вы! не виноваты.
кстати — в моей конторе не заражен ни один компьютер.
я лишь сказал что обучаемые люди, с руками из плеч — всегда могут найти НОРМАЛЬНУЮ работу.
а оставшиеся — и устраивают такую бурю в стакане с дурнопахнущей субстанцией, сваливая вину, как теперь модно, на агентов путина.
да, в украине даже вирусы — агенты путина. а мегаспецы — что вы! не виноваты.
кстати — в моей конторе не заражен ни один компьютер.
а ПОЧЕМУ что-то должно меняться в организации, с бюджетом айти отдела в три копейки в урожайный год?
Вы задаете мне мой же вопрос? Оригинально, я думал вы как раз знаете на него ответ. Как мегаспец с бюджетом в «три копейки» может изменить ситуацию?
Рад за вас, что в вашей организации не заражен ни один компьютер. Удачи в изучении английского и всего-всего.
И как это повлияет на госсектор? Без улучшения финансирования вообще никак. водном месте знаю бегают с дисков внешним за свой счет купленным на 500гигов, но жутко не хватает объема. Не говоря уже про беготню руками.
Что касается энтерпрайз, так это еще нужно и в города крупные переезжать, иначе ничего не светит толкового.
ок. был неправ про рукожопов.
руки могут расти из правильного места, но по причине каменного века в технологиях на работе, а так же по причине неумения самообучаться — эти руки толком ничего не умеют, кроме как носить дискетку в 500 гиг между пораженными триппером машинами
меж тем — кибернетис кластер на поиграться очень легко поднять под вагрантом на своей локальной тачке.
про аутсорсинг слышали?
будет ли вообще чел из провинции, имеющий стабильно 20-30 часов на аутсорсинге с рейтом 15 долларов выходить в говноконтору, где он еще как шарик должен пять раз вокруг офиса оббежать, чтоб принести домой жалкие 300 баксов в месяц?
а как и что повлияет на госсектор — лично мне плевать
на него уже повлияли 3 года назад, да так, что сейчас госсектора нет и в ближайшей перспективе на этих руинах не вырастет ничего.
поэтому я снова взялся за совершенствование разговорного английского.
руки могут расти из правильного места, но по причине каменного века в технологиях на работе, а так же по причине неумения самообучаться — эти руки толком ничего не умеют, кроме как носить дискетку в 500 гиг между пораженными триппером машинами
меж тем — кибернетис кластер на поиграться очень легко поднять под вагрантом на своей локальной тачке.
про аутсорсинг слышали?
будет ли вообще чел из провинции, имеющий стабильно 20-30 часов на аутсорсинге с рейтом 15 долларов выходить в говноконтору, где он еще как шарик должен пять раз вокруг офиса оббежать, чтоб принести домой жалкие 300 баксов в месяц?
а как и что повлияет на госсектор — лично мне плевать
на него уже повлияли 3 года назад, да так, что сейчас госсектора нет и в ближайшей перспективе на этих руинах не вырастет ничего.
поэтому я снова взялся за совершенствование разговорного английского.
Блин, я пишу про экономию, а вы мне про потратьте деньги. Денег нет, железо 10-ти и более летней давности за редчайшими исключениями. Иногда народ свои компы приносит из дому, не говоря про мелочевку типа клавиатуры и мышки. Самообучение при таких раскладах весьма ограниченное, просто негде взять железо на опыты и довести это потом до ума. Я знаю места где трудятся машины с объемом памяти 256мб.
Из провинции когда выберется, должен будет еще за жилье заплатить, с женой не расстаться…
Как правило в регионах аутсортинг весьма слабо представлен. причина цены. За час берут порядка 20у.е.
Ну а пока плевать на влияние госсектора последний в состоянии при заражении не мало без совершить при остановке свой работы, также такой работы как есть.
UFO just landed and posted this here
Наверное, тут слово «министерство» не при чем. В минестерства ищут, кстати, людей порой даже и со списком сертификатов, только вопрос в цене, человек с сертификатами не всюду и не за любые деньги пойдет работать.
Ах да, есть еще вопрос про оборудование. Иной раз купить свич — тендерная история на полгода, так что в в приведенном вами случае могу поверить, что построили как умели и на чем было, а потом уже никто не стал трогать.
Есть даже такой подход, что тебе платят 3 копейки, ты сидишь с умным лицом и занимаешься своими делами (в меру умения — фриланс тот же). И тупо затраты времени и энергии на улучшение сети и инфраструктуры тебе не стоят потери денег от несделанного фриланса, причем за вланы тебя не похвалят, а только бы еще и не отругали. Другими словами, условия таковы, что «не гореть» работой выгоднее, чем гореть.
И страна, где такое творится — не при чем. Если нет спрашивающего (кто грамотно оценит усилия) то порой нет резона и на рожон лезть. А если вирус и пожрет, то всегда можно сослаться на вражеских хатцкеров, скажем.
Ах да, есть еще вопрос про оборудование. Иной раз купить свич — тендерная история на полгода, так что в в приведенном вами случае могу поверить, что построили как умели и на чем было, а потом уже никто не стал трогать.
Есть даже такой подход, что тебе платят 3 копейки, ты сидишь с умным лицом и занимаешься своими делами (в меру умения — фриланс тот же). И тупо затраты времени и энергии на улучшение сети и инфраструктуры тебе не стоят потери денег от несделанного фриланса, причем за вланы тебя не похвалят, а только бы еще и не отругали. Другими словами, условия таковы, что «не гореть» работой выгоднее, чем гореть.
И страна, где такое творится — не при чем. Если нет спрашивающего (кто грамотно оценит усилия) то порой нет резона и на рожон лезть. А если вирус и пожрет, то всегда можно сослаться на вражеских хатцкеров, скажем.
по Вашему низкий процент заражения в Белоруси, Росии, Казахстане обьясняется более высокими зарплатами админов в тех странах?
открою вам еще секрет — в банках не пользуются анонимайзерами. не знаю как у вас, я про украинские банки, в нескольких из которых работал и работаю.
есть более содержательные обьяснения данным ESET?
а в говноконторы или гос структуры идут работать токо рукожопы.— пострадало около 30-и комерческих банков, сомневаюсь что все они укомплектованы исключительно рукожопами.
открою вам еще секрет — в банках не пользуются анонимайзерами. не знаю как у вас, я про украинские банки, в нескольких из которых работал и работаю.
есть более содержательные обьяснения данным ESET?
украине «повезло» с рукожопами из медока, который, похоже, и стал причиной массового падежа компаний.
в «коммерческих» банках зп давно уже не торт.
и еще — в банках пользуются анонимайзерами, ибо ими на смартфонах пользуются работники.
а 90% вайфаек в подобных конторах живет в той же сети что и рабочие компы (а то и серваки)
в «коммерческих» банках зп давно уже не торт.
и еще — в банках пользуются анонимайзерами, ибо ими на смартфонах пользуются работники.
а 90% вайфаек в подобных конторах живет в той же сети что и рабочие компы (а то и серваки)
Банки, представители контор, оптовые поставщики, коммунальные и обслуживающие предприятия… Спико весьма большой, походу куда больше официально заявленного. Ведь что киперполиция может, еще записать +1 к общему списку и не более того. Вирус уже на месте, думать нужно было до этого, так же как и медоку этому дать наказ про изменение методики обновлений своей программы. У людей иной раз доменного админа требует для работы, изверги.
С другой стороны это новая ветка в распространении вирусов. Апдейты большей части приложений могут распространять вирусы в будущем. Взломали сервер и БД, подправить контрольные сумы или вообще или вообще переподписать сертификатов ихним. Программы сами все сделают, сами установят. Сложно, но масштабы и обход сразу кучи проблем говорят о возможности.
Когда уезжал, с провинциального городка, то там от 100$ были зп, всё что выше считалось очень хорошо.
В Украине столько заражений просто благодаря M.E.Doc
А мне кажется что тут причинно-следственная связь перепутана местами. Это не в Украину метили атаку, а просто получилось взломать сервера медка. А раз уж медком пользуются практически только украинцы — вот они и огребли больше всех. А остальные заражения это уже почта.
Пишут что это Wiper (уничтожает данные), а не Ransomware.
Ссылки
https://geektimes.ru/post/290623/
https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/
https://www.symantec.com/connect/blogs/petya-ransomware-outbreak-here-s-what-you-need-know
https://blog.kaspersky.ru/expetr-for-b2b/17896/
https://www.bloomberg.com/view/articles/2017-06-29/the-russian-trail-in-the-latest-ransomware-attack
https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/
https://www.symantec.com/connect/blogs/petya-ransomware-outbreak-here-s-what-you-need-know
https://blog.kaspersky.ru/expetr-for-b2b/17896/
https://www.bloomberg.com/view/articles/2017-06-29/the-russian-trail-in-the-latest-ransomware-attack
100000 это все же 100кБ а не 1 МБ.
В соседней ветке мне сказали что можно скопировать первый сектор диска С и загрузочную запись windows и при загрузке системы всегда их перезаписывать сохраненной копией и все петя не будет работать
Ерунда. Вирус портит бут уже после загрузки, во время работы оси. За час до (зашедуленной) перезагрузки.
Ну и пусть портит он не сможет загрузиться вместо ОС, можно даже проверку хешсуммы загрузчика приписать, чтоб его не переписывать каждый раз
И как часто проверять будете? Каждую секунду? Или может лучше просто не дать вирусу запуститься?
При загрузке системы, зачем каждую секунду, сегодня петя завтра виталик, переделали под себя бут ушли на перезагрузку, опа все переписалось как было, они снова переписали перезагрузка опа опять как было, как-то так…
Во-первых, бут надо как-то обновлять иногда, например при установке новой версии винды. Значит, где-то должна быть соответствующая процедура. Вирус может встроиться в эту процедуру, и тогда вы при каждой перезагрузке будете ЗАРАЖАТЬ бут вирусом.
Во-вторых, если найдётся какая-нибудь непропатченная возможность уронить винду в BSOD, ничто не помешает вирусу заразить бут и следом же уронить винду, и заражённый бут будет запущен.
Вы пытаетесь повторить подвиг Дона Кихота. Сражаетесь с ветрянными мельницами.
Во-вторых, если найдётся какая-нибудь непропатченная возможность уронить винду в BSOD, ничто не помешает вирусу заразить бут и следом же уронить винду, и заражённый бут будет запущен.
Вы пытаетесь повторить подвиг Дона Кихота. Сражаетесь с ветрянными мельницами.
Я вижу примерно так на диске отдельный раздел например ext4 чтобы windows его не видел на нем например grub со всеми настройками по проверке и восстановлению загрузочных записей, из него загрузка windows. Никаких мельниц. Почитайте «shellcoder handbook». Мне не понятен момент когда происходит шифрование, под windows или после загрузки вируса вместо него?
Вирусу накакать на ваши разделы, ему нет до них никакого дела. Он просто перезапишет бут своим кодом, который запустится ВМЕСТО grub'а.
Вирус NotPetya состоит из двух частей — одна из-под Windows записывает вредоносный код в бут и шифрует файлы по списку расширений, другая часть уже запускается из бута и шифрует MFT, а так же отображает требование выкупа.
Вирус NotPetya состоит из двух частей — одна из-под Windows записывает вредоносный код в бут и шифрует файлы по списку расширений, другая часть уже запускается из бута и шифрует MFT, а так же отображает требование выкупа.
Ну grub можно записать на CD диск, usb-SD, e-mmc — на все что можно сделать механически read-only, в биосе указать загрузку только с этого носителя. А вот шифровка из под windows это думать надо, интересно за сколько повремени cuda и nvidia tesla справятся с подбором ключа перебором…
Если вы будете держать grub на CD диске, то как вы будете обновлять ядро, которое выходит с периодичностью примерно раз в неделю-две? Хрень вы предлагаете, ей-богу. Тем более в старых БИОСах был пункт защиты бута от записи. Помогал ровно никак.
Какое ядро? Зачем обновлять? У меня grub без обновления работает несколько лет и никогда не просился обновиться. Биос не грузит ничего кроме него как не крути! Это реальное решение, а что можете предложить Вы?
Изучите на досуге что такое grub stage 1, stage 1.5, stage 2…
Спасибо но Зачем? у меня старая версия наверно 2010 года, поставил настроил и забыл. У Вас что-то не получается вы и читайте, я в свое время английский выучил, когда мануалы читал.
Все я понял вы прочитали до booting components и там описана загрузка linux: kernel и initrd и вы думаете, что это все нужно для работы самого grub, для выполнения проверки хеша загрузчика и восстановления mbr вам возможно понадобится промежуточно использовать linux для выполнения bash scripta, до передачи загрузки windows, если не сможете написать в самом grub, так что читайте внимательнее…
Stage 1 слишком мал чтобы вместить драйверы файловых систем, поэтому он просто передаёт загрузку на Stage 1.5 (core.img записанный в пустое место сразу после бут сектора), который обновляется каждый раз, когда ставится новое ядро. Без этого grub не сможет загрузить ядро.
Во-первых, вы не можете держать загрузочный сектор на незагрузочном устройстве. Во-вторых вы не можете забить на обновления и не обновлять ядро, а значит и grub.
Во-первых, вы не можете держать загрузочный сектор на незагрузочном устройстве. Во-вторых вы не можете забить на обновления и не обновлять ядро, а значит и grub.
Экий Вы не гибкий! Возьмем к примеру liveCD как он по Вашему обновляется?
На LiveCD ядро не обновляется, скрипт обновления там представляет собой заглушку, только лишь выводящую сообщение о невозможности обновления ядра. Чтобы реально обновить LiveCD, его просто полностью пересобирают.
А зачем вообще обновлять liveCD? Если вам так проще понять, тогда возьмите iso образ из него все выкиньте что не нужно, оставьте только grub и нужные для его работы каталоги, все настройте как вам надо например меню загрузки:
--> windows check and recovery hdd disk partition structure
--> load windows
(тут фантазируйте как вам лучше грузить по цепи или отдельными пунктами)
и запишите на диск. Ну как в биосе настроить загрузку только с CD я думаю вы знаете.
--> windows check and recovery hdd disk partition structure
--> load windows
(тут фантазируйте как вам лучше грузить по цепи или отдельными пунктами)
и запишите на диск. Ну как в биосе настроить загрузку только с CD я думаю вы знаете.
На liveCD можно доустанавливать (до перезагрузки, понятное дело) любой софт… кроме более свежего ядра. В любом случае загрузка с liveCD никак не подходит для борьбы с шифровальщиками, в том числе с НеПетей.
Мне мастерства хватает делать свои «liveCD», чтобы ничего не доустанавливать, до перезагрузки. Для борьбы не подходит, а для восстановления разделов и загрузки подходит, для поиска и восстановления измененных и удаления лишних системных файлов при загрузке системы подходит. Пишут, что массовое распространение началось 27.06, а может он спал и его разбудили? Борьба это для антивирусов.
Он не спал, а был загружен через BackDoor.Medoc, см. https://habrahabr.ru/company/drweb/blog/332444/
Монетки капают понемногу. 300 евро — это около 0.13 битков, все транзакции около этой суммы скорей всего от жертв.
А может ли кто нить рассказать как они это всё будут обналичивать? Ведь безличность вроде как только внутри самой сети криптовалюты.
Правда что ключ не получить потому что ящик злоумышленников Petya заблокирован?
И не только по тому. Еще и потому, что его никто не собирался давать.
Почему такая уверенность?
Присоединяюсь к вопросу. Неоднократно слышал такое мнение, но без конкретики.
Шифровальщик не сохраняет и не отсылает случайно сгенерированный ключ шифрования, поэтому расшифровать не получится никому.
Насколько я понял, этот ключ шифруется и скидывается в файл. Шифрование асимметричное, публичный ключ один, зашит в тело. Это значит, что ключ расшифровки ключа один на всех. Не так?
«Персональный номер», отображаемый в вымагательском тексте, генерируется рандомно, отдельно от ключа шифрования, и не может использоваться для расшифровки. Ключ шифрования AES-128 генерируется на компе жертвы, и затем шифруется ключом RSA-2048 злоумышленника, а после выполнения шифрования этот ключ безвозвратно удаляется. Такием образом, знание злоумышленником закрытого ключа RSA-2048 не позволяет расшифровать данные, так как он не знает использованный случайный ключ AES-128.
«Персональный номер», отображаемый в вымагательском тексте, генерируется рандомно, отдельно от ключа шифрования, и не может использоваться для расшифровки.
Это понятно. Это означает, что нет индивидуальных ключей.
Ключ шифрования AES-128 генерируется на компе жертвы, и затем шифруется ключом RSA-2048 злоумышленника, а после выполнения шифрования этот ключ безвозвратно удаляется. Такием образом, знание злоумышленником закрытого ключа RSA-2048 не позволяет расшифровать данные, так как он не знает использованный случайный ключ AES-128.
Извините, я запутался. Ключ шифрования пользовательских данных (AES) остается на компьютере после безвозвратного удаления, но в зашифрованном виде (при помощи RSA). Почему знание этого второго ключа не дает возможности расшифровать ключ AES?
Ещё раз повторяю. Ключ шифрования, использованный для шифрации диска, удаляется (точнее просто нигде не сохраняется). В файл readme.txt, отображаемом после зашифрования, показывается отдельно сгенерированный «персональный ключ», не имеющий отношения к ключу шифрования. Знание приватного ключа, соответствующего открытому, которым был зашифрован сгенерированный ключ, никак не поможет расшифровке.
Ну а вы не думали что могут быть несколько серий вирусов?
Sign up to leave a comment.
Сутки после вируса Petya