Комментарии 37
Где скачать?
Насколько я понимаю, сейчас пользователи практически не делятся исполняемыми файлами. То есть, подобные локеры угрозы не представляют, и вообще странно, как они выживают. Я не прав?
Пользователи такие файлы качают сами из интернета с сайтов «скачать бесплатно без смс» и любезно (опять же сами) отключают антивирусы перед запуском.
Прекращайте жить в плену иллюзий. Давно уже не нужно ничего запускать. Нужно просто зайти на сайт и все. Целей кроме собственно браузеров хватает с избытком — Active-x, Flash, Adobe reader, Java и т.д. В последнее время очень популярен невообразимо дырявый Ace player. Единственное что действительно может спасти простых оконных чайников, так это политики ограниченного использования программ с полным запретом выполнения файлов из папок с правами за запись.
Я всем знакомым домой ставлю Linux. Он у них живет, в плену иллюзий практически десятилетиями, что можно все и никто мне не морочит мне голову. что можно или нельзя открыть, все кодеки поют и играют фильмы, а максимум пользователь может только удалить свои личные файлы. Пароль помню только я. Они сразу теряют с ним бумажку или его забывают.
А так, создали проблему на ровном месте. Моей программой по составлению расписаний в вузах многие пользуются, исходники потеряны под XP в 2001. Почта их не отправляет, выкладка на сайт не помогает, google и yandex диск не принимает, только через dropbox пока получается.
Резюме. Если не можем решить основную проблему, то давайте искать пуговицу от пиджака и при этом желающих помочь (особенно за деньги) будет великое множество.
А так, создали проблему на ровном месте. Моей программой по составлению расписаний в вузах многие пользуются, исходники потеряны под XP в 2001. Почта их не отправляет, выкладка на сайт не помогает, google и yandex диск не принимает, только через dropbox пока получается.
Резюме. Если не можем решить основную проблему, то давайте искать пуговицу от пиджака и при этом желающих помочь (особенно за деньги) будет великое множество.
Тестируете рандомный генератор комментариев для хабра?
Прежде, чем бред нести, зайдите в мой профиль и почитайте мои комментарии.
Я не ленивый и в Ваш зашел, их у Вас в 7 раз больше и типичный флуд.
Я не ленивый и в Ваш зашел, их у Вас в 7 раз больше и типичный флуд.
Ясно, клиника.
Ваша шутка юмора мне не совсем понятна.
Как, там, в преферансе, молокосос он и в Африке молокосос.
Вдобавок, как в Африке, все время без света!
Как, там, в преферансе, молокосос он и в Африке молокосос.
Вдобавок, как в Африке, все время без света!
Поток вашего сознания ясен лишь вам. К сожалению, или к счастью, другие вас не понимают.
ПС. Без света?
ПС. Без света?
PS. Я рад, что «другие» меня не понимают и я думаю для меня это счастье. Просто, когда человек (homo sapiens) думает он потребляет от 20% до 50% всей энергии тела 2% от массы тела. Если у Вас затылок не потеет, Вам повезло!
PS1. Свет это энергия!
PS2. Я не знаю, что такое «ПС», расшифруйте пожалуйста!
PS1. Свет это энергия!
PS2. Я не знаю, что такое «ПС», расшифруйте пожалуйста!
Можно ли после заражения восстановить зашифрованные файлы, не платя выкуп? Простите, если пропустил.
Интересная статья. Вообще вирусы-щифровальщики фактически стали основателями нового класса вредоносных программ, последствия работы которых не устраняются каким либо тривиальным алгоритмом, и жить от этого, если честно, стало немного страшнее. С момента появления зловреда до момента написания подобной статьи проходит какое то время, и за это время вирус может заразить не одну сотню компьютеров и зашифровать десятки тысяч файлов., расшифровать которые будет невозможно до появления расшифровщика у одной из антивирусных компаний. Однако во первых зачастую вирус имеет несколько сотен модификаций, под каждую из которых требуется свой расшифровщик, во вторых часто для того чтобы его работа привела к какому либо положительному результату в адекватные сроки, требуются большие вычислительные мощности, которые не всегда доступны обычному пользователю.
И? Чем страшнее стало жить? Переходим на Linux (если уже не перешли), там вирусов нет. Но, конечно, если вдруг все перейдут на Linux, он станет популярнее, и вирусы там появятся?
Не беда. Ставим SELinux / AppArmor для защиты. SELinux — разработка NSA, которой мы не доверяем?
Опять же не беда, ставим Xen, и десяток виртуалок для работы. В одной браузер, который сможет заразить только одну виртуалку. Заразил — сносим, и с нуля. Даже CubesOS в этом направлении развивается.
Пользователь не сможет всего этого понять? Ну так а наши в чем проблемы? Если это направление разовьется, и вымогатели будут появляться раз в день, куда они денутся?
Не беда. Ставим SELinux / AppArmor для защиты. SELinux — разработка NSA, которой мы не доверяем?
Опять же не беда, ставим Xen, и десяток виртуалок для работы. В одной браузер, который сможет заразить только одну виртуалку. Заразил — сносим, и с нуля. Даже CubesOS в этом направлении развивается.
Пользователь не сможет всего этого понять? Ну так а наши в чем проблемы? Если это направление разовьется, и вымогатели будут появляться раз в день, куда они денутся?
Да даже обычная программа под Linux мониторящая критичные файлы — уже на 99% защитит от вирусов.
Хотя может быть все пойдет и по-другому. Юзеры взмолятся в итоге «защити нас святой Касперский-заступник», и явится Доктор Вебер юродивый… и отобьет атаки хакерские, и пересадит всех в облака от Гугля и Майкрософта, где думать ни о чем не надо, а прошивку хромОСа можно сбрасывать хоть раз в день.
Хотя может быть все пойдет и по-другому. Юзеры взмолятся в итоге «защити нас святой Касперский-заступник», и явится Доктор Вебер юродивый… и отобьет атаки хакерские, и пересадит всех в облака от Гугля и Майкрософта, где думать ни о чем не надо, а прошивку хромОСа можно сбрасывать хоть раз в день.
Такие комментарии дискретитируют нормальных пользователей линуксов. Особенно понравилось «обычная программа под Linux мониторящая критичные файлы» (такое, кстати, есть и под Windows, вы не поверите) и «и пересадит всех в облака от Гугля и Майкрософта». Чем вас облака спасут? Попейте воды, почитайте как работает вирус и как работает синхронизация в этих облаках (а заодно и что такое «синхронизация»). Что такое хромос я не знаю — видимо телефон какой-то. Нет, погодите — может быть это операционная система, которая стоит в преобладающем большинстве коммерческих и домашних компьютерах? Нет? Значит все таки телефон…
Как только появится необходимость что-то «скачать с помойки» и «запустить» — появляется почти непреодолимая угроза, основанная на социнженерии, и никакая операционная система здесь уже не панацея.
Почему?
Здесь пользователя спасет только здравый рассудок и осторожность. Можно сделать, скажем, сайт «флеш-плеер для бубунты скачать бесплатно даже денег дадим работает 100% на все браузеры сразу» — и куча неопытного народа, пересевшего на линуксы, скачает и запустит. Эта неопытная масса даст бит выполняемости если нужно, даст рута если софтина попросит. Если даже и не попросит, то рекурсивно может зашифровать файлы по маске в /media и /home.
Это произойдет так же как и в виндах — «хочу чтобы было, но не хочу думать что при этом творю».
Вот как к примеру зараза на устройства с Android обычно попадает? А очень просто — снятая галочка на запрет установки софта не из магазина, а в google play бездумная установка всякой ереси подряд без учета требований доступа. Большое количество людей без задней мысли инсталлируют любой «блокнот» с разрешением на управление приложениями и доступом к контактам и СМС.
Это произойдет так же как и в виндах — «хочу чтобы было, но не хочу думать что при этом творю».
Вот как к примеру зараза на устройства с Android обычно попадает? А очень просто — снятая галочка на запрет установки софта не из магазина, а в google play бездумная установка всякой ереси подряд без учета требований доступа. Большое количество людей без задней мысли инсталлируют любой «блокнот» с разрешением на управление приложениями и доступом к контактам и СМС.
Отступление для blueboar2
Вы имеете хотя бы год опыта поддержки линукса у людей, которых лично Вы взяли «под своё крыло»? Какие выводы можете сделать, если он есть? Как бы то ни было, моя практика показывает, что нельзя просто взять и массово пересадить любого пользователя на Linux. Поначалу я тоже был «сектантом» и с пеной у рта внушал налево и направо, что эта система для домашнего юзера лучше, однако со временем убедился что это имеет практический смысл лишь в трех случаях:
— когда юзер сам желает разобраться в этой системе и просит помощи
— когда юзер наоборот настолько «гениален», что несмотря ни на какие защиты отключает всё вплоть до групповых политик, находя методы в интернетах — и всё-таки запускает винлокер с якобы «песня.mp3.exe». Чаще всего это дети. Тогда никакого рута не давать — и родители за компьютером хотя бы работать могут, не получая иногда сломанный офисный пакет, отвалившиеся ctrl/shift/alt из-за так называемых «читов» переданных через скайп сверстниками ребенка, или зашифрованные/зараженные документы.
— когда юзер сидит в контролируемом тобой офисе и все задачи, не касающиеся «понажимать кнопочки», лежат на тебе
Остальным пользователям Linux противопоказан, или крайне не рекомендован. Может есть еще какие-то категории, но стоит ли упоминать массовую миграцию в linux на Хабре в посте про Windows-угрозу?
— когда юзер сам желает разобраться в этой системе и просит помощи
— когда юзер наоборот настолько «гениален», что несмотря ни на какие защиты отключает всё вплоть до групповых политик, находя методы в интернетах — и всё-таки запускает винлокер с якобы «песня.mp3.exe». Чаще всего это дети. Тогда никакого рута не давать — и родители за компьютером хотя бы работать могут, не получая иногда сломанный офисный пакет, отвалившиеся ctrl/shift/alt из-за так называемых «читов» переданных через скайп сверстниками ребенка, или зашифрованные/зараженные документы.
— когда юзер сидит в контролируемом тобой офисе и все задачи, не касающиеся «понажимать кнопочки», лежат на тебе
Остальным пользователям Linux противопоказан, или крайне не рекомендован. Может есть еще какие-то категории, но стоит ли упоминать массовую миграцию в linux на Хабре в посте про Windows-угрозу?
Ну а вы какой вариант предлагаете? Вот выходят такие вирусы массово, заражают компьютеры, Дядя Вася, админ, который раньше все за 5 минут разблокировал, говорит «Увы, все зашифровано, помочь не могу». И что делать? Вы же сами говорите, они сами отключат всю защиту, а потом будут жаловаться.
Я говорю про то, что миграция на Linux никак не спасет ситуацию, только и всего. Утверждение, что «на Linux вирусов нет» означает ровно то, что основная масса пользователей не ставит вареза, имеет опыт и самосознание при взаимодействии с системой, и отсюда попытки распространения заразы сходят на нет.
Но шифровальщик можно отнести к вирусу, хоть и не самораспространяющемуся. Тот факт, что все массово пересядут на Linux, будет означать, что распространение вирусов среди Linux-пользователей станет возможно. Хотя эта беда и не испортит жизнь опытным пользователям (как она не особо докучает и под Windows) — рядовой юзер страдать будет не меньше.
Вариантов новых не могу предложить, кроме того, чтобы отучать юзеров качать варез любыми средствами, т. к. это основной источник заразы. Это не спасет при RCE, да и в принципе невозможно — но это единственное видимое мной решение. И оно неосуществимо.
Но шифровальщик можно отнести к вирусу, хоть и не самораспространяющемуся. Тот факт, что все массово пересядут на Linux, будет означать, что распространение вирусов среди Linux-пользователей станет возможно. Хотя эта беда и не испортит жизнь опытным пользователям (как она не особо докучает и под Windows) — рядовой юзер страдать будет не меньше.
Вариантов новых не могу предложить, кроме того, чтобы отучать юзеров качать варез любыми средствами, т. к. это основной источник заразы. Это не спасет при RCE, да и в принципе невозможно — но это единственное видимое мной решение. И оно неосуществимо.
Помимо дядя Васи, есть дядя Коля, который знает что такое групповые политики и как там зарубить запуск приложений из %userprofile%. И не надо делать из линукса священную корову — кто знает сколько линуксовых хостов работает на благо ботнетов? Всякого рода локеры не появляются на линуксах не потому что он защищен, а только потому что машин под ним гораздо меньше. Вон, пролетал недавно пост с открытыми vnc. Сколько там было линукс машин?
А от возможности выхода из строя накопителя вам жить не страшно было?
Бэкапы ж решают эти проблемы.
А статья чем поможет? В ней нет никакого лекарства.
Бэкапы ж решают эти проблемы.
до момента написания подобной статьи проходит
А статья чем поможет? В ней нет никакого лекарства.
Тема не раскрыта — что в результате, все эти титанические усилия ради полиморфизма что-то дали в плане усложнения надёжного детекта этой гадости антивирусом или просто развлекли ваших аналитиков?
А может это такой способ популяризации BitCoin среди населения? (шутка!)
Эх помню, был эникейщиком (6 лет работал, 1 год назад «зявязал»), так эти WinLock`еры за двадцать минут снимал. Деньги зарабатывали не хакеры, которые их писали, а Я. Правда с шифровальщиками не сталкивался, наверное «блымал» бы глазами перед клиентом в случае такой проблемы. Если что-то не получалось, то ОС переустанавливалась с предварительным сохранением через LiveCD (LiveUSB) всех пользовательских данных.
А вообще, сам антивирусами не пользуюсь уже лет пять. Просто надо думать что запускаешь, откуда скачиваешь, в случае сомнений весьма помогал VirusTotal. Всегда удивляло, где люди берут эти вирусы.
Эх помню, был эникейщиком (6 лет работал, 1 год назад «зявязал»), так эти WinLock`еры за двадцать минут снимал. Деньги зарабатывали не хакеры, которые их писали, а Я. Правда с шифровальщиками не сталкивался, наверное «блымал» бы глазами перед клиентом в случае такой проблемы. Если что-то не получалось, то ОС переустанавливалась с предварительным сохранением через LiveCD (LiveUSB) всех пользовательских данных.
А вообще, сам антивирусами не пользуюсь уже лет пять. Просто надо думать что запускаешь, откуда скачиваешь, в случае сомнений весьма помогал VirusTotal. Всегда удивляло, где люди берут эти вирусы.
Было дело, что ловил WinLocker просто зайдя на сайт (браузер Opera 12, Win 7, антивируска была включена (ESS, кстати), базы актуальные). Не знаю через какую дырку он пролез, но никакие файлы естественно не скачивались, и тем более не запускались, просто открыл страничку. Правда убрать WinLocker (BootLocker) очень легко, а вот вирусы с шифрованием файлов уже доставят много неприятностей.
Думаю здесь есть много людей, кто своими глазами наблюдал эксплуатацию уязвимостей типа RCE.
Запущенный таким образом софт не обязательно винлокер, помнится товарищ на личном ноутбуке с XP словил вебальту прямо на моих глазах, открыв один из сайтов ycoz-а в попытках найти какую-то мелочь (автозагрузка .exe и сразу же запуск с установкой без вопросов, тоже Opera 12).
Запущенный таким образом софт не обязательно винлокер, помнится товарищ на личном ноутбуке с XP словил вебальту прямо на моих глазах, открыв один из сайтов ycoz-а в попытках найти какую-то мелочь (автозагрузка .exe и сразу же запуск с установкой без вопросов, тоже Opera 12).
А самое забавное, что имея белый IP адрес на машине, подобным образом заразу можно подцепить вообще никуда не заходя. И даже Linux в данном случае не поможет. Один раз наблюдал, как не обновлённый демон FTP сервера стал причиной превращения довольно большого количества серверов в ботнет. Нападавшие оказались жителями Румынии, с ними даже удалось немного пообщаться по скайпу.
И да, когда на планете закончились свободные IPv4 адреса, провайдер домашнего интернета, услугами которого я пользуюсь, раздаёт каждому клиентскому устройству по белом IPv4 адресу, без каких либо ограничений на их количество для одного клиента. И стоит только появиться адресу в онлайне, как тут же на него обрушивается сразу несколько сканирований портов, а на открытые порты потом приходит большое количество всяких непонятных байт.
И да, когда на планете закончились свободные IPv4 адреса, провайдер домашнего интернета, услугами которого я пользуюсь, раздаёт каждому клиентскому устройству по белом IPv4 адресу, без каких либо ограничений на их количество для одного клиента. И стоит только появиться адресу в онлайне, как тут же на него обрушивается сразу несколько сканирований портов, а на открытые порты потом приходит большое количество всяких непонятных байт.
Вы же не вставляете кабель провайдера напрямую в компьютер или ноутбук, получая тем самым открытый (внешний) IP? Если бы это было так, то опасность бы присутствовала, но большинство «домашних» пользователей подключены через роутер, в котором файервол, настроенный по-умолчанию, дропает все внешние незапрошенные подключения.
Неимоверную глупость наблюдал, когда на машины, находящиеся в локальной дружественной сети, ставят фаерволы или антивирусы с такой дополнительной функцией.
Неимоверную глупость наблюдал, когда на машины, находящиеся в локальной дружественной сети, ставят фаерволы или антивирусы с такой дополнительной функцией.
Кабель провайдер вставлен напрямую в wifi роутер, который просто напрямую раздаёт его домашним устройствам. На роутере не настроено ни какого фаервола. Каждое устройство, будь то компьютер, ноутбук, телефон или какая-нибудь малина, получают белый IP адрес и прямой доступ к ним из интернета. Так веселее жить.
Давайте рассмотрим такой сценарий.
Есть ноут. Дома он подключается по LAN или по WiFi к домашнему маршрутизатору. На маршрутизаторе уже есть фаервол. Нужен ли он на ноуте? Согласно вашему комментарию — это неимоверная глупость.
Но этот же ноут может оказаться в кафе, где неизвестно кто и как настроено. Кроме того, в этой же сети (в том же кафе) может находиться не очень дружественный нам человек. Но иметь фаервол это же глупость. У нас его нет и мы оказывается полностью открытыми для не очень дружественных нам людей.
Т.е. мы не можем заранее знать в какой сети окажемся. В дружественной нам или нет. Поэтому фаерволы нужны не только на маршрутизаторах, но и на компах.
Есть ноут. Дома он подключается по LAN или по WiFi к домашнему маршрутизатору. На маршрутизаторе уже есть фаервол. Нужен ли он на ноуте? Согласно вашему комментарию — это неимоверная глупость.
Но этот же ноут может оказаться в кафе, где неизвестно кто и как настроено. Кроме того, в этой же сети (в том же кафе) может находиться не очень дружественный нам человек. Но иметь фаервол это же глупость. У нас его нет и мы оказывается полностью открытыми для не очень дружественных нам людей.
Т.е. мы не можем заранее знать в какой сети окажемся. В дружественной нам или нет. Поэтому фаерволы нужны не только на маршрутизаторах, но и на компах.
Даже если рассмотреть вариантов стационарно установленных машин в одной локальной сети, например сервера одной организации, то многие действительно ограничиваются одним внешним фаерволом. Но какая-нибудь незначительная уязвимость позволяет злоумышленнику поникнуть внутрь локальной сети, откуда он уже получает практически неограниченный доступ к серверам компании, а всё лишь потому, что ответственный за локальную сеть человек считал её доверенной зоной, и не считал нужным использовать шифрование трафика между серверами, применение авторизации на внутренних ресурсах, изменение стандартных паролей для доступа к панелям управления различными сетевыми железками, ИБП, и т.д.
В одной компании довелось увидеть более-менее правильное решение проблемы, в котором полный доступ к серверам имела строго ограниченная подсеть административных адресов, которые даже на рабочих местах поднимали VPN туннель. А трафик между серверами по умолчанию запрещался, разрешён был доступ только до определённых портов и зачастую только с конкретных IP адресов. Но учитывая то, что отсутствовала какая-либо централизованная система учёта\мониторинга правила фаерволов, которые были настроены на каждом конкретном сервере ответственным за данную группу серверов лицом, то чьё-нибудь другое лицо могло всё испортить, и не вдаваясь в подробности открыть доступ ко всем портам на своих серверах, и так до следующего инцидента.
В одной компании довелось увидеть более-менее правильное решение проблемы, в котором полный доступ к серверам имела строго ограниченная подсеть административных адресов, которые даже на рабочих местах поднимали VPN туннель. А трафик между серверами по умолчанию запрещался, разрешён был доступ только до определённых портов и зачастую только с конкретных IP адресов. Но учитывая то, что отсутствовала какая-либо централизованная система учёта\мониторинга правила фаерволов, которые были настроены на каждом конкретном сервере ответственным за данную группу серверов лицом, то чьё-нибудь другое лицо могло всё испортить, и не вдаваясь в подробности открыть доступ ко всем портам на своих серверах, и так до следующего инцидента.
… а на полученные от вымогательства деньги он тратит на покупку VPS инстансов в Digital Ocean, для размещения себя в интернете.
При заражении (шифровании) файла, который не является исполняемым, Virlock создает для него новый исполняемый Win32 PE-файл, в который записывается код вируса и зашифрованное содержимое документа. Оригинальный файл удаляется, а на его месте появляется новый с тем же именем и добавленным расширением .exe к имени. При запуске такого файла на исполнение, он расшифровывает оригинальный файл, записывает его в текущую директорию и открывает.
Зачем он записывает оригинальный файл в текущую директорию? Что происходит дальше с этим файлом?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Win32/Virlock – первый саморазмножающийся вымогатель