esetnod32 29 янв 2019 в 12:45

Новая атака шифратора Shade нацелена на российских бизнес-пользователей

4 мин

9.2K

Блог компании ESET NOD32Антивирусная защита*Спам и антиспам

+17

Комментарии 35

fmj 29 янв 2019 в 14:37

«Информация.js»

C:\ProgramData\Windows\

Т.е. в организациях тупо нет админов, которые бы настроили srp или AppLocker.
Или же используются какие-то уязвимости(но о них в статье ни слова)?

Alexsandr_SE 29 янв 2019 в 23:53

Во многих нет.

amarao 29 янв 2019 в 16:00

А почему windows исполняет javascript откуда попало?

Вот так вот выглядит попытка выполнить javascript в linux. Страшно, да?

imanushin 29 янв 2019 в 16:12

1. Для Linux будет sh скрипт, а потом что-нибудь из списка.
2. На обеих системах проблем не будет, если в пользовательской папке есть «запрет на запуск».

amarao 29 янв 2019 в 16:35

$ echo 'echo hello' >1.sh
$ ./1.sh
bash: ./1.sh: Permission denied

ProgMiner 30 янв 2019 в 10:07

NTFS умеет в права на исполнение файлов?

fmj 30 янв 2019 в 12:06

Умеет. Можно явно запретить, например, cscript и wscript, которые и являются по дефолту исполнителями .js.

alex-khv 29 янв 2019 в 16:13

Потому что это ru.wikipedia.org/wiki/JScript

amarao 29 янв 2019 в 16:36

А почему оно исполняется без выставления exec-флага?

Xalium 29 янв 2019 в 19:00

откуда в винде exec-флаг?

amarao 29 янв 2019 в 19:07

Из NTFS.

Traverse & execute звучит как обычный chmod +x для линуксоида.

Xalium 29 янв 2019 в 19:21

ну в таком случае скорее всего из-за того, что в винде js считается все-таки не исполняемым файлом, а просто файлом, открываемым другой исполняемой прогой, которая находится в системной папке.
По хорошему, в винде надо бы ввести какой-то ключ реестра, указывающий что файлы с такими-то расширениями являются исполняемыми (как раз для того, чтобы от этого Traverse & execute был толк). Но, насколько помню, пока такого нет.

amarao 29 янв 2019 в 19:36

В линуксах этот вопрос давно решён. Интерпретаторы могут исполнять только файлы, помеченные на исполнение. Можно запустить вручную (bash foo.sh), но ./foo.sh будет исполнен только если есть разрешение на запуск.

А главное: почему у винды ВСЕ файлы всегда исполняемые? Даже иконки и docx-файлы. Что за глупость?

Xalium 29 янв 2019 в 19:47

Интерпретаторы могут исполнять только файлы, помеченные на исполнение.

только для такого исполнения файлов в их начале нужно прописывать путь к интерпретатору.

А главное: почему у винды ВСЕ файлы всегда исполняемые? Даже иконки и docx-файлы. Что за глупость?

ну скорее не исполняемые, а обрабатываемые тем и так, что прописано в реестре и обработчике конкретного файлового менеджера.

amarao 29 янв 2019 в 20:36

1. Прописывать не обязательно, можно зарегистрировать в ядре тип и им обрабатывать (так, например, jar'ники можно делать прям исполняемыми).

2. Исполняемые. У них есть разрешение на запуск (execute) — проверьте сами в свойствах любого файла.

Xalium 29 янв 2019 в 19:53

Можно запустить вручную (bash foo.sh), но ./foo.sh будет исполнен только если есть разрешение на запуск.

а что-нибудь типа «openoffice ./file.odt» сработает? Если да, то в чем отличие от «bash ./foo.sh»? Во 2-м случае сам bash будет определять права на запуск или все-же система каким-то образом?

amarao 29 янв 2019 в 20:37

Сработает. Разница в том, что одно — аргумент командной строки другой программы, а другое — само себе «программа» у которой прописан интерпретатор.

Именно для решения такой глупости (как не-запуск каких попало файлов) оно отлично и подходит.

Xalium 29 янв 2019 в 21:04

а другое — само себе «программа» у которой прописан интерпретатор.

ну так а кто в случае bash будет определять права на запуск?
Т.е. или сам bash или система (т.е. кто из них будет отфутболивать в случае отсутствия прав на запуск).
Но в случае системы где-то должно быть прописано, что bash является интерпретатором и обламывать его запуск.

Xalium 29 янв 2019 в 22:07

и в случае «bash ./foo.sh» — это тоже аргумент командной строки другой программы.

alexanster 29 янв 2019 в 20:41

начинается с получения жертвой письма на русском языке с ZIP-архивом info.zip или inf.zip во вложении.
…
В ZIP-архиве находится JavaScript-файл под названием «Информация.js

Если точнее, то в архиве info.zip находится второй архив — info.zip или inf.zip, а вот уже в нём — Информация.js, и это первый встреченный мною случай, когда атакующие делают двойной архив, потому что уже все (ну разве что за исключением Яндекса), без разбора банят письма, содержащие исполняемые файлы или скрипты в явном виде или в архиве, а вот двойное вложение пока разбирать не научились. Вангую, что со временем все станут и их резать, и тогда появятся вирусы, трижды упакованные в архив.

Alexsandr_SE 30 янв 2019 в 00:04

Есть варианты. За последнее время получили несколько десятков этих писем. В иной день приходит около 20шт. Проверил часть, все проверенные из России. Видать боты.
Но есть вопросы. Откуда взялись адреса нашей небольшой конторы? Возможно чей-то ящик кому мы отправляем почту сломали, но это только вариант.
Есть варианты с вложением и названием архива и вложения. Есть архив, есть архив-архив и архив-архив-архив. Сегодня к примеру тема поменялась. Было "подробности заказа", стало "уточнение заказа" (если правильно вспомнил, ибо все удалил не глядя особо).
Сам js постоянно меняется. С утречка ночные версии почти не детектятся, Eset в т.ч. не видит. Только спустя несколько часов ловит. Знаю уже нескольких пострадавших :(
Можно ли расшифровать данные или они не поддаются расшифровке никем кроме автором вируса? И сколько автор хочет для расшифровки. Последнее просто интересно.

fmj 30 янв 2019 в 08:04

Сам js постоянно меняется. С утречка ночные версии почти не детектятся, Eset в т.ч. не видит.

Не проще ли запретить запуск всего не доверенного?

Alexsandr_SE 30 янв 2019 в 10:27

Бывает не проще. Пора работает запрет по вложениям, пару уровней архива видит.

fmj 30 янв 2019 в 12:04

Бывает не проще.

Много кривого софта?

Alexsandr_SE 30 янв 2019 в 13:02

Очень. кривой тупой и древний как мамонт замороженный.

fmj 30 янв 2019 в 13:13

По хешу можно в белый список добавить. Или своим сертификатом подписать и создать правило по сертификату.

captd 29 янв 2019 в 21:06

Думаю, есть смысл блокировать эту заразу по расширению *.js, на самом почтовом сервере.

Alexsandr_SE 30 янв 2019 в 00:28

Многие антивирусы/фильтры не проверяют дальше первого уровня вложения архивов.

Andronas 31 янв 2019 в 20:46

Наверное потому что вложенный архив может оказаться многократно вложенным и завалит сервер

Alexsandr_SE 31 янв 2019 в 21:54

Не завалит В конце концов могут быть настройки.

Сегодня новая модификация появилась. Вместо вложения идет ссылка на облачное хранилище. Думаю как это лочить :(

fgmatrix 29 янв 2019 в 22:44

Принудительное открытие .js .hta и .vbs блокнотом поможет от этой заразы?

fmj 30 янв 2019 в 08:02

Еще можно отобрать права на исполнение cscript и wcscript у пользователей(или создать свою группу, включив нужные учетки и выставить запрет группе).
Или настроить белый список при помощи SRP или AppLocker.

fmj 30 янв 2019 в 12:10

Дополню про .hta — его по дефолту выполняет mshta.

Megeon 30 янв 2019 в 11:44

А есть ли способ дешифровки этого шифровальщика?

SnowSin 31 янв 2019 в 21:23

Сегодня по другому начали высылать, офис 365 + office 365 threat protection пропускает.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий