Комментарии 36
Ребята, несколько замечаний к статье.
1. Статью бы неплохо назвать не сенсационно «Как победить вирус Petya», а более честно «Подборка открытой информации о вирусе Petya и рекомендации по предотвращению заражения». Потому как в статье собрано всё, что уже сутки лежит в свободном доступе, ничего нового не добавлено и уж конечно нет дешифратора, который точно помог бы «победить».
2. Вашим «экспертам» неплохо бы почувствовать разницу между «kill switch» и «vaccine». Потому как «kill switch», тоже гуляющий в сети уже сутки, не останавливает активную инфекцию, а просто предотвращает заражение — а потому является вакциной — и эту первоначальную ошибку давным давно тоже исправили.
3. «Экспертам» неплохо было бы также заметить, что обсуждаемая версия Petya (которую ЛК, к примеру, даже считают notPetya по ряду признаков, но то такое, «неэкспертное» :) ) вероятно, больше является вайпером, а не шифровальщиком. А потому «мы не рекомендуем платить злоумышленникам» не только из-за блокировки мэйла, но и просто из чисто технических, «экспертных» точек зрения :)
1. Статью бы неплохо назвать не сенсационно «Как победить вирус Petya», а более честно «Подборка открытой информации о вирусе Petya и рекомендации по предотвращению заражения». Потому как в статье собрано всё, что уже сутки лежит в свободном доступе, ничего нового не добавлено и уж конечно нет дешифратора, который точно помог бы «победить».
2. Вашим «экспертам» неплохо бы почувствовать разницу между «kill switch» и «vaccine». Потому как «kill switch», тоже гуляющий в сети уже сутки, не останавливает активную инфекцию, а просто предотвращает заражение — а потому является вакциной — и эту первоначальную ошибку давным давно тоже исправили.
3. «Экспертам» неплохо было бы также заметить, что обсуждаемая версия Petya (которую ЛК, к примеру, даже считают notPetya по ряду признаков, но то такое, «неэкспертное» :) ) вероятно, больше является вайпером, а не шифровальщиком. А потому «мы не рекомендуем платить злоумышленникам» не только из-за блокировки мэйла, но и просто из чисто технических, «экспертных» точек зрения :)
Не является он вайпером. Файлы он именно шифрует.
Вы можете оспорить источник, который я указал — завтра будет организован вебинар на эту тему, где Вы можете представить свои доводы. Детали о вебинаре — по той же ссылке.
По ссылке написано, что Петя2017 необратимо затирает 16 секторов MBR — там, где всё равно лежит загрузчик ОС и нет ничего ценного пользователю.
Файлы пользователя он именно шифрует, предположительно обратимо.
Но «эксперт» по ссылке, который для округления до килобайтов делит на 0x1024 (вместо 1024==0x400) — такое же посмешище, что и здешний постер.
Файлы пользователя он именно шифрует, предположительно обратимо.
Но «эксперт» по ссылке, который для округления до килобайтов делит на 0x1024 (вместо 1024==0x400) — такое же посмешище, что и здешний постер.
Интересные сведения. То есть, он ничего не шифрует и тупо затирает первые 25 секторов, включая partition table.
В современных системах разделы выровнены по 4кб блокам (в старых версиях выровнены по цилиндрам и начинались после 64 сектора), значит содержимое диска можно прочитать, но надо знать начальные и конечные сектора разделов.
Если бы раздел был один, это было бы очень просто: создать новую mbr и partition table с правильной геометрией и правильным начальным сектором, этого достаточно чтобы раздел прочитался.
Но в windows 7 и более поздних их там два и первым идёт скрытый системный раздел. Надо на такой же системе посмотреть его точный размер, начальный и конечный сектор и начальный сектор второго раздела.
C помощью линуксового dd и fdisk можно слить имидж с диска, поэкспериментировать с записью разных partition table и попытаться подмонтировать раздел. Чем чёрт не шутит, вдруг откроется.
В современных системах разделы выровнены по 4кб блокам (в старых версиях выровнены по цилиндрам и начинались после 64 сектора), значит содержимое диска можно прочитать, но надо знать начальные и конечные сектора разделов.
Если бы раздел был один, это было бы очень просто: создать новую mbr и partition table с правильной геометрией и правильным начальным сектором, этого достаточно чтобы раздел прочитался.
Но в windows 7 и более поздних их там два и первым идёт скрытый системный раздел. Надо на такой же системе посмотреть его точный размер, начальный и конечный сектор и начальный сектор второго раздела.
C помощью линуксового dd и fdisk можно слить имидж с диска, поэкспериментировать с записью разных partition table и попытаться подмонтировать раздел. Чем чёрт не шутит, вдруг откроется.
>вероятно, больше является вайпером, а не шифровальщиком
Когда вы пишете столь уверенные наезды на экспертов, лучше избегать красивых, но неточных терминов.
Вирус подменяет MBR и затирает следующие за ним 18 секторов, заменяя их на собственный загрузчик.
Предположительно, в этих секторах не должно быть ничего важного для пользователя.
Файлы пользователя шифруются обратимо при условии наличия приватного ключа RSA. Поэтому термин «шифровальщик» вполне корректен.
Когда вы пишете столь уверенные наезды на экспертов, лучше избегать красивых, но неточных терминов.
Вирус подменяет MBR и затирает следующие за ним 18 секторов, заменяя их на собственный загрузчик.
Предположительно, в этих секторах не должно быть ничего важного для пользователя.
Файлы пользователя шифруются обратимо при условии наличия приватного ключа RSA. Поэтому термин «шифровальщик» вполне корректен.
Ребята, несколько замечаний к статье.
1. Статью бы неплохо назвать не сенсационно «Как победить вирус Petya», а более честно «Подборка открытой информации о вирусе Petya и рекомендации по предотвращению заражения». Потому как в статье собрано всё, что уже сутки лежит в свободном доступе, ничего нового не добавлено и уж конечно нет дешифратора, который точно помог бы «победить». Да, и неплохо бы информацию дополнить некоторыми данными — про тот же «M.E.Doc», как наиболее вероятный первичный вектор распространения заразы.
2. Вашим «экспертам» неплохо бы почувствовать разницу между «kill switch» и «vaccine». Потому как «kill switch», тоже гуляющий в сети уже сутки, не останавливает активную инфекцию, а просто предотвращает заражение — а потому является вакциной — и эту первоначальную ошибку давным давно тоже исправили.
3. «Экспертам» неплохо было бы также заметить, что обсуждаемая версия Petya (которую ЛК, к примеру, даже считают notPetya по ряду признаков, но то такое, «неэкспертное» :) ) вероятно, больше является вайпером, а не шифровальщиком. А потому «мы не рекомендуем платить злоумышленникам» не только из-за блокировки мэйла, но и просто из чисто технических, «экспертных» точек зрения :)
1. Статью бы неплохо назвать не сенсационно «Как победить вирус Petya», а более честно «Подборка открытой информации о вирусе Petya и рекомендации по предотвращению заражения». Потому как в статье собрано всё, что уже сутки лежит в свободном доступе, ничего нового не добавлено и уж конечно нет дешифратора, который точно помог бы «победить». Да, и неплохо бы информацию дополнить некоторыми данными — про тот же «M.E.Doc», как наиболее вероятный первичный вектор распространения заразы.
2. Вашим «экспертам» неплохо бы почувствовать разницу между «kill switch» и «vaccine». Потому как «kill switch», тоже гуляющий в сети уже сутки, не останавливает активную инфекцию, а просто предотвращает заражение — а потому является вакциной — и эту первоначальную ошибку давным давно тоже исправили.
3. «Экспертам» неплохо было бы также заметить, что обсуждаемая версия Petya (которую ЛК, к примеру, даже считают notPetya по ряду признаков, но то такое, «неэкспертное» :) ) вероятно, больше является вайпером, а не шифровальщиком. А потому «мы не рекомендуем платить злоумышленникам» не только из-за блокировки мэйла, но и просто из чисто технических, «экспертных» точек зрения :)
В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии
Друзья, ну нельзя так тексты писать, это же какой-то кошмар, попробуйте сами прочесть. Канцелярит чистой воды, зомби-язык.
«либо другого пустого файла с иным названием» — а можно хэш файла и адрес где вы такое нашли? На пустоту файл не проверяется, проверка идет четко по имени заразы без расширения.
если процесс изначально не обладает административными привилегиями, то шифровальщик не сможет выполнить проверку наличия пустого файла в директории C:\Windows\, и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.
Я так понимаю оно всё-равно шифрует если MBR'а нету в принципе?
А что он делает если на диске GPT а не MBR и выполняется UEFI загрузка?
И здесь спрошу. Судя по тому, что я прочитал, вирус работает только с NTFS. И я так и не понял, что будет, если система на FAT32? А если на ReFS?
Думаю что правильнее было бы этот файл держать не пустой, а к примеру файл какой-то с уникальной меткой (каким нибудь guidom+ соль).
Не понял. Как защититься-то? Выключить Самбу, не открывать вложений, обновить винду?
Я для своих сотрудников набросал небольшую инструкцию, как распознать шифровальщики и что нужно делать, если всё таки произошло ЧП. После изучения инструкции они сдают контрольный лист с вопросами и ставят свою подпись, подтверждающую прохождение обучения. С этого момента ответственность за заражение их рабочих ПК лежит на них. Очень способствует внимательности )) Количество обращений «А посмотри что тут мне пришло» возросло, конечно, но это того стоит, ИМХО.
Если кому интересно, вот инструкция. Критика приветствуется.
Если кому интересно, вот инструкция. Критика приветствуется.
Идея хорошая но мне кажется плохим решением.
Много букв и ненужной для людей информации, для людей которым сложно работать с этой терминологией и техникой.
Все равно есть дырки, например как не показывать или отключить html с письма и те же вложения html.
У нас сервер проверяет адресатов, складирует.
Заходит gmail забирает, проверяет на вирусы. Gmail это антивирус и дешевое дисковое пространство. Есть ящики свыше 500 гигов занимают, это ужас их держать на SSD или бекапить.
На некоторых ящиках обязанность людей раскидывать письма более детально по другим ящикам.
В день зависает от 5 до 150 писем с вирусами, машин много без антивирусов, с обновлениями, без админских прав, разные ОС от XP до 10 ну и + MAC.
Много букв и ненужной для людей информации, для людей которым сложно работать с этой терминологией и техникой.
Все равно есть дырки, например как не показывать или отключить html с письма и те же вложения html.
У нас сервер проверяет адресатов, складирует.
Заходит gmail забирает, проверяет на вирусы. Gmail это антивирус и дешевое дисковое пространство. Есть ящики свыше 500 гигов занимают, это ужас их держать на SSD или бекапить.
На некоторых ящиках обязанность людей раскидывать письма более детально по другим ящикам.
В день зависает от 5 до 150 писем с вирусами, машин много без антивирусов, с обновлениями, без админских прав, разные ОС от XP до 10 ну и + MAC.
Как показала практика, не так уж и много букв. Даже самые отсталые юзеры вполне прилично восприняли инструкцию. Тем более, что половину времени я принимал экзамен, а вторую половину — разжёвывал и объяснял трудные места)) Да и классических «тётенек из бухгалтерии» у нас нет, коллектив довольно молодой, с компьютерами более-менее свободно обращаются. Обучение проводил ещё в феврале, краткий опрос сотрудников после эпидемии «Пети» показал, что большинство основной принцип (не открывать подозрительные письма) усвоили твёрдо.
Без специальной терминологии довольно трудно обойтись, для того и глоссарий в начале. Я и так уже старался упростить по-максимуму.
Про дырки согласен, про опасность со стороны html в письмах забыл упомянуть. Дополню.
Почтового сервера у нас нет, почта на Яндексе (из-за того, что Битрикс24 используем, его админ говорит, что интеграция только с Яндеском есть) через веб-интерфейс, почтовые программы используют единицы. За почти 3 года использования вирусов не было, личную почту запрещено использовать, объёмы ящиков небольшие, т.к. в основном документы пересылаются.
Спасибо за внимание. Что бы вы ещё могли предложить убрать/дополнить/изменить?
Без специальной терминологии довольно трудно обойтись, для того и глоссарий в начале. Я и так уже старался упростить по-максимуму.
Про дырки согласен, про опасность со стороны html в письмах забыл упомянуть. Дополню.
Почтового сервера у нас нет, почта на Яндексе (из-за того, что Битрикс24 используем, его админ говорит, что интеграция только с Яндеском есть) через веб-интерфейс, почтовые программы используют единицы. За почти 3 года использования вирусов не было, личную почту запрещено использовать, объёмы ящиков небольшие, т.к. в основном документы пересылаются.
Спасибо за внимание. Что бы вы ещё могли предложить убрать/дополнить/изменить?
Объясните такую вещь. Сервер с Windows 2003. Обнаружил, что файлы на сервере зашифровались, но сам сервер запускается и работает нормально. Но вот вопрос — почему ни Eset, ни Dr.Web ничего не находят? Вот буквально час назад сканировал со всеми обновлениями. Как так?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как победить вирус Petya