Comments 90
цель данной атаки финансовая, но рассчитана она была не на получение прибыли, а на нанесение финансрвых потерь. Аргументы:
- Один кошелек. Если бы я делал, то я бы генерировал на машине кошелет биткоина и отправлял куда надо вместе с ключем шифрования. Много кошельков сложно отследить.
- Почтовый адрес — ну я все понимаю, но с одного почтового адреса даже почту забрать проблематично. При том что его сразу закрыли. Для этих целей есть тор
- Каждый диск шифровался своим ключем. Зачем?
- Не подверглись шифрованию сменные носители, потому что шифрование проводилось уже вне операционной системы и драйверов юсб просто не было
- Шифрование дисков проводилось уже после перезагрузки, следовательно ключ генерировался уже после, когда сети на машине уже не было — ключи никуда не были отправлены.
- Гребаный медок, не знаю его роль в этом вопросе, но то, что это через них эта зараза попала на сервера это 100%
- Это точно не модифицированный вымогальщик petya — просто картинка похожа
2. Именно…
3. Потому что для каждого диска, процесс запускал дополнительный поток. Который в свою очередь генерил свой ключ. Почему нельзя было сначала сгенерить ключ, а потом создавать потоки, точно не скажу, но наверное потому, что работать с одним ключом одновременно нескольким потокам нельзя.
4. Нет, шифрование происходло в системе, вызываются библиотечные функции.
5. Думаю, шифрование происходило до перезагрузки, а все остальное для понтов.
6. Их могли использовать в темную.
7. Вообще не пойму откуда название.
Медок чудаки на букву м — им два года уже рассказывают, что нельзя так обновления выпускать без подписи.
По данным компании ESET (источник: УНИАН ), на Украину пришлось 75,24% заражений от общего количества в мире. На Германию — 9, 06%, на Польшу — 5,81%. Далее идет Сербия (2,87%), Греция (1,39%), Румыния (1,02%). На Россию 0,8%.
остальных походу просто зацепило взрывной волной…
8 — атака достаточно сфокусированная, цель — Украина (и дата удачная — перед праздничным днем — днем конституции, кроме нанесения финансового урона еще и нагнетание паники)
/надеваю фольгированную кипу/
Да, давайте я вам я ещё косвенное доказательство целенаправленной атаки подкину.
Petya-Петя-Петро… Ну вы меня поняли…
/снимаю фольгированную кипу/
медоки подцепили трипер и заразили им пол страны
самые жопорукие — легли полностью
самые дебильные, хранящие критичные данные на самба шарах и в базах ms sql — получили критические повреждения в межушный ганглий.
+ гуляет по LAN, юзая кроме ms17-010 еще какой-то 0-day эксплойт (слышал от знакомых о случаях заражения серверов со всеми обновлениями).
+ еще, говорят, где-то находили зараженные флэшки с автораном.
поэтому те, которые с мозгами и руками — зарабатывают 1500+ в иностранных или аутсорсинговых компаниях.
а в говноконторы или гос структуры идут работать токо рукожопы.
вот и весь секрет
впрочем не весь
есть мысль, что в распрострастранении вируса сильно помог какой-то анонимайзер, которые на Украине резко стали популярны.
А агентов путина среди вирусов искать — верный путь к галопиридолу.
Я согласен, что целенаправленно было спланировано.
В сетки вирус проникал через почту, а организовать целенаправленную рассылку не так сложно.
Другое дело, что внутри сети были в черти каком состоянии. И майский вирус ни чему не научил.
А так же видел список подохших контор и примерно знаю сколько там народ зарабатывает.
не, многим в Украине эникейские 300-400 баксов за счастье, но профессионалы на такую зп не пойдут.
кстати, в кыбэрполицию набирали тоже на зп до 10к гривен. причем глядя на список скилов в вакансии я чуть не помер от хохота.
поэтому когда прессллужба киберполицаев присоединилась к хору конспирологов — лично мне стало ясно, что туфта на 100%
за 10+ лет развития СЕРВЕРНОЙ оси — сервак с настройками по умолчанию воткнутый голой жопой в интернет — живет пару часов, потом его ломают.
это ж блин вершина программисткого искусства, редхат, обнимая оракл — рыдает.
Про рукожопов это громко. просто реально нет финансирования что бы все было как у людей. Из десятка серверов осталось только два "рабочих" и только один из них может работать сутками без перезагрузок. Накопители не в лучшем состоянии и объем аж 500гиг, много не поместить и так во всех аспектах. Нужно вкладывать в госсектор, а там режим жесткой экономии официально включен, вот и экономят, а железу более 10 лет уже.
ну и зарплату больше раз в 5 (если не в 10?)
или релокейтнутся?
мне в линкедин постоянно приходят предложения.
что заставляет сидеть в госсекторе и нищенствовать?
да нет, конечно не изменится, ибо та таких должностях обычно сидят, сростаясь с креслом всякого рода вечные студенты, ранние пенсионеры, «виндовс админы» и прочие товарищи, не умеющие самостоятельно обучаться.
и там, где такие товарищи востребованы, по причине нищенского бюджета — жопа будет всегда, не зависимо от пети или пути.
Дело же не в том, что какой-то специалист жалуется на свою судьбу и загубленный талант. А в том, что руководство не видит смысла поддерживать ИТ-инфраструктуру, работает — и ладно. И была бы это частная контора, она сама бы со временем загнулась. Но госсектор не загнется, хоть на счеты его пересади. И страдает от этого не сисадмин, не его руководство, а в широком смысле жители страны.
я лишь сказал что обучаемые люди, с руками из плеч — всегда могут найти НОРМАЛЬНУЮ работу.
а оставшиеся — и устраивают такую бурю в стакане с дурнопахнущей субстанцией, сваливая вину, как теперь модно, на агентов путина.
да, в украине даже вирусы — агенты путина. а мегаспецы — что вы! не виноваты.
кстати — в моей конторе не заражен ни один компьютер.
а ПОЧЕМУ что-то должно меняться в организации, с бюджетом айти отдела в три копейки в урожайный год?
Вы задаете мне мой же вопрос? Оригинально, я думал вы как раз знаете на него ответ. Как мегаспец с бюджетом в «три копейки» может изменить ситуацию?
Рад за вас, что в вашей организации не заражен ни один компьютер. Удачи в изучении английского и всего-всего.
И как это повлияет на госсектор? Без улучшения финансирования вообще никак. водном месте знаю бегают с дисков внешним за свой счет купленным на 500гигов, но жутко не хватает объема. Не говоря уже про беготню руками.
Что касается энтерпрайз, так это еще нужно и в города крупные переезжать, иначе ничего не светит толкового.
руки могут расти из правильного места, но по причине каменного века в технологиях на работе, а так же по причине неумения самообучаться — эти руки толком ничего не умеют, кроме как носить дискетку в 500 гиг между пораженными триппером машинами
меж тем — кибернетис кластер на поиграться очень легко поднять под вагрантом на своей локальной тачке.
про аутсорсинг слышали?
будет ли вообще чел из провинции, имеющий стабильно 20-30 часов на аутсорсинге с рейтом 15 долларов выходить в говноконтору, где он еще как шарик должен пять раз вокруг офиса оббежать, чтоб принести домой жалкие 300 баксов в месяц?
а как и что повлияет на госсектор — лично мне плевать
на него уже повлияли 3 года назад, да так, что сейчас госсектора нет и в ближайшей перспективе на этих руинах не вырастет ничего.
поэтому я снова взялся за совершенствование разговорного английского.
Блин, я пишу про экономию, а вы мне про потратьте деньги. Денег нет, железо 10-ти и более летней давности за редчайшими исключениями. Иногда народ свои компы приносит из дому, не говоря про мелочевку типа клавиатуры и мышки. Самообучение при таких раскладах весьма ограниченное, просто негде взять железо на опыты и довести это потом до ума. Я знаю места где трудятся машины с объемом памяти 256мб.
Из провинции когда выберется, должен будет еще за жилье заплатить, с женой не расстаться…
Как правило в регионах аутсортинг весьма слабо представлен. причина цены. За час берут порядка 20у.е.
Ну а пока плевать на влияние госсектора последний в состоянии при заражении не мало без совершить при остановке свой работы, также такой работы как есть.
Ах да, есть еще вопрос про оборудование. Иной раз купить свич — тендерная история на полгода, так что в в приведенном вами случае могу поверить, что построили как умели и на чем было, а потом уже никто не стал трогать.
Есть даже такой подход, что тебе платят 3 копейки, ты сидишь с умным лицом и занимаешься своими делами (в меру умения — фриланс тот же). И тупо затраты времени и энергии на улучшение сети и инфраструктуры тебе не стоят потери денег от несделанного фриланса, причем за вланы тебя не похвалят, а только бы еще и не отругали. Другими словами, условия таковы, что «не гореть» работой выгоднее, чем гореть.
И страна, где такое творится — не при чем. Если нет спрашивающего (кто грамотно оценит усилия) то порой нет резона и на рожон лезть. А если вирус и пожрет, то всегда можно сослаться на вражеских хатцкеров, скажем.
а в говноконторы или гос структуры идут работать токо рукожопы.— пострадало около 30-и комерческих банков, сомневаюсь что все они укомплектованы исключительно рукожопами.
открою вам еще секрет — в банках не пользуются анонимайзерами. не знаю как у вас, я про украинские банки, в нескольких из которых работал и работаю.
есть более содержательные обьяснения данным ESET?
в «коммерческих» банках зп давно уже не торт.
и еще — в банках пользуются анонимайзерами, ибо ими на смартфонах пользуются работники.
а 90% вайфаек в подобных конторах живет в той же сети что и рабочие компы (а то и серваки)
Банки, представители контор, оптовые поставщики, коммунальные и обслуживающие предприятия… Спико весьма большой, походу куда больше официально заявленного. Ведь что киперполиция может, еще записать +1 к общему списку и не более того. Вирус уже на месте, думать нужно было до этого, так же как и медоку этому дать наказ про изменение методики обновлений своей программы. У людей иной раз доменного админа требует для работы, изверги.
С другой стороны это новая ветка в распространении вирусов. Апдейты большей части приложений могут распространять вирусы в будущем. Взломали сервер и БД, подправить контрольные сумы или вообще или вообще переподписать сертификатов ихним. Программы сами все сделают, сами установят. Сложно, но масштабы и обход сразу кучи проблем говорят о возможности.
https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/
https://www.symantec.com/connect/blogs/petya-ransomware-outbreak-here-s-what-you-need-know
https://blog.kaspersky.ru/expetr-for-b2b/17896/
https://www.bloomberg.com/view/articles/2017-06-29/the-russian-trail-in-the-latest-ransomware-attack
Во-вторых, если найдётся какая-нибудь непропатченная возможность уронить винду в BSOD, ничто не помешает вирусу заразить бут и следом же уронить винду, и заражённый бут будет запущен.
Вы пытаетесь повторить подвиг Дона Кихота. Сражаетесь с ветрянными мельницами.
Вирус NotPetya состоит из двух частей — одна из-под Windows записывает вредоносный код в бут и шифрует файлы по списку расширений, другая часть уже запускается из бута и шифрует MFT, а так же отображает требование выкупа.
Во-первых, вы не можете держать загрузочный сектор на незагрузочном устройстве. Во-вторых вы не можете забить на обновления и не обновлять ядро, а значит и grub.
--> windows check and recovery hdd disk partition structure
--> load windows
(тут фантазируйте как вам лучше грузить по цепи или отдельными пунктами)
и запишите на диск. Ну как в биосе настроить загрузку только с CD я думаю вы знаете.
«Персональный номер», отображаемый в вымагательском тексте, генерируется рандомно, отдельно от ключа шифрования, и не может использоваться для расшифровки.
Это понятно. Это означает, что нет индивидуальных ключей.
Ключ шифрования AES-128 генерируется на компе жертвы, и затем шифруется ключом RSA-2048 злоумышленника, а после выполнения шифрования этот ключ безвозвратно удаляется. Такием образом, знание злоумышленником закрытого ключа RSA-2048 не позволяет расшифровать данные, так как он не знает использованный случайный ключ AES-128.
Извините, я запутался. Ключ шифрования пользовательских данных (AES) остается на компьютере после безвозвратного удаления, но в зашифрованном виде (при помощи RSA). Почему знание этого второго ключа не дает возможности расшифровать ключ AES?
Сутки после вируса Petya