Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 37
Красота эволюции в действии. В будущем сотрется различие между вирусами и антивирусным софтом: вирус будет существовать в симбиозе с жертвой, пользуясь чужими ресурсами максимально незаметно для пользователя, при этом защищая его от остальных угроз. Так он не будет провоцировать пользователя на борьбу с ним, что увеличит выживаемость его популяции
нанесут огромный финансовый урон владельцам криптовымогателя
Немного забавно читать такое про мошенников. Хорошо хоть не «недополученная прибыль».
Может показаться что разработчик Mischa — хороший, а Chimera плохие и «так им и надо». На самом деле и те и другие уе… аны и надо их сажать, а не интервью брать.
Никто их и не пытается искать, хотя эти разработчики даже особо не скрываются.
У правоохранительных органов и без того дел по горло — им надо пиратов ловить да биржи биткойн закрывать, тут уж не до всяких безобидных мелочей вроде криптовымогателей.
Был даже случай, когда такой шифровальщик закриптовал все данные на машинах полицейского участка, и полиция предпочла заплатить мошенникам, даже не помышляя о расследовании.
У правоохранительных органов и без того дел по горло — им надо пиратов ловить да биржи биткойн закрывать, тут уж не до всяких безобидных мелочей вроде криптовымогателей.
Был даже случай, когда такой шифровальщик закриптовал все данные на машинах полицейского участка, и полиция предпочла заплатить мошенникам, даже не помышляя о расследовании.
Вор у вора дубинку украл сломал (с)
почему 3500, почему не по ключу на зараженную машину? Школота, даже шифровать не умеют правильно
война за «клиента» она такая… непредсказуемая
Авторы — гнусные корявые извращенцы! Нет бы OpenSSL/CryptoAPI использовать, так нет! Ключи в каком-то непонятном формате у них…
Коллеги, а кто как на уровне защиты предприятия борется с ransomeware? У меня видение, что только специфической обработкой логов на SIEM можно диагностировать угрозу до ее финальной стадии «все зашифровано, дай денег».
А бэкапы не?
Я спрашивал у манагеров лаборатории Касперского средство от этой заразы. Ничего, кроме программ резервного копирования не предложили. Как страшно жить!
Бэкапы. Только бэкапы.
Был случай: безопасник словил шифровальшик на почту. Зашифровал свой ноут и половину сетевого диска. Не спас фильтр на почте (была ссылка, а не exe и с доверенного ящика). Не спас каспер (в базу добавили по нашему обращению). Мозги тоже не спасли (тоже мне безопасник). Бэкапы, да.
Смысла выдумывать отдельную защиту от шифровальщика вообще нет. Но вообще можно попробовать с белыми списками исполняемых файлов (но негатива будет...).
Был случай: безопасник словил шифровальшик на почту. Зашифровал свой ноут и половину сетевого диска. Не спас фильтр на почте (была ссылка, а не exe и с доверенного ящика). Не спас каспер (в базу добавили по нашему обращению). Мозги тоже не спасли (тоже мне безопасник). Бэкапы, да.
Смысла выдумывать отдельную защиту от шифровальщика вообще нет. Но вообще можно попробовать с белыми списками исполняемых файлов (но негатива будет...).
«Сетевой диск» это вообще анахронизм, в первую очередь.
А как быть?
Ну всякие там svn-ы/mycloud-ы и тому подобные не windows хранилища с версионностью.
Только офисному планктону далекому от IT и привыкшему к сетевым дискам все это до лампочки. Так что никак.
Только офисному планктону далекому от IT и привыкшему к сетевым дискам все это до лампочки. Так что никак.
К слову, сетевой диск и сетевая шара — разные вещи, и далеко не все (точнее — мало кто) умеют шифровать по UNC-путям.
Ну в данном случае это была smb ресурс с dfs, подключенный именно как диск. С тем же успехом это мог оказаться WebDAV или NFS ресурс, приаттаченый как диск.
По UNC и некоторые полезные программы работать не умеют.
По UNC и некоторые полезные программы работать не умеют.
А запрет на запуск скриптов не спасает? Или невозможно такое организовать?
Ведь вирусы по почте — это банальные js-скрипты, запускающие всю цепочку получения самого шифровальщика.
У нас, например, был случай, когда юрист получил письмо и пытался открыть «вордовский» файл — js с иконкой ворда. Но поскольку ни у кого нет привычки извлекать файлы из архивов, то скрипт не смог запуститься, потому что автоматически при открытии он распаковался во временную папку.
Ведь вирусы по почте — это банальные js-скрипты, запускающие всю цепочку получения самого шифровальщика.
У нас, например, был случай, когда юрист получил письмо и пытался открыть «вордовский» файл — js с иконкой ворда. Но поскольку ни у кого нет привычки извлекать файлы из архивов, то скрипт не смог запуститься, потому что автоматически при открытии он распаковался во временную папку.
Это был безопасник. :) Админские права, левые групповые политики и прочий беспредел. Бухи несколько раз до этого жаловались как раз на то, что «файлик не открывается», а у него открылся.
И на самом деле, какая разница? Не словил бы на корпоративной, словил бы на мэйле (с него как раз и рассылали, с хакнутых адресов), не на рабочем, так на домашнем с выходом через vpn или на флешке притащил бы. Все пути взлома все равно не перекроешь (хотя пытаться надо), а вот резервная копия спасет всегда.
И на самом деле, какая разница? Не словил бы на корпоративной, словил бы на мэйле (с него как раз и рассылали, с хакнутых адресов), не на рабочем, так на домашнем с выходом через vpn или на флешке притащил бы. Все пути взлома все равно не перекроешь (хотя пытаться надо), а вот резервная копия спасет всегда.
Да, достаточно запретить через групповую политику выполнение скриптов и исполнительных файлов во временной папке на всех машинах домена. Для пущей уверенности я еще указывал конкретно форматы, куда вошли js, vb, vbs и на подстраховку bat и exe.
Специальный демон или модуль ядра, который сканирует память процессов и вытаскивает все AES-ключи из оперативки. Криптолокеры для шифрования, как правило, используют только AES, так что это довольно надежное решение.
Меня, конечно, сейчас заминусуют, но использовать какую-нибудь операционную систему, которая не винда, вообще не вариант, да?
Теперь Mischa может просить оплату со скидкой за расшифровку зашифрованного Chimera.
я вот всё жду, когда же появятся «вирусы» которые будут платить тебе денежку за то что ты не будешь их удалять и позволять использовать твой компьютер в создании зловредной сети?
Меня умиляет титульный лист. Chimera®! Может, они в самом деле зарегистрировали эту торговую марку для группы товаров и услуг «шифрование файлов»?
Скажите пожалуйста несведущему в этом. Если открыть ссылку с этой гадостью на виртуальной машине. Она всё равно расползётся на основной диск? Спасибо.
А потом Chimera отомстит за публикацию своих ключей и сольет ключи Mischa.
Итог: оба вируса ликвидированы. Всегда бы так.
Итог: оба вируса ликвидированы. Всегда бы так.
Зачем вообще вирусу использовать конкретные ключи с возможностью расшифровки? Нужно вымогать деньги и форматировать всё до чего можно достать в бесконечном цикле, это мне кажется больше подходит идеологии вирусов.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Конкуренты криптовымогателя Chimera «слили» в сеть его ключи шифрования