Комментарии 122
Серьёзно выглядит, не чета всяким WinLocker-ам.
Да уж. Биткоины просто манна небесная для подобных зловредов. Мне даже страшновато стало
Боюсь люди которые используют BTC не запускают непонятные аттачи…
Не вижу связи. Можно подумать, что чтобы подхватить анлокер нужно обязательно аттачи запускать. Я помнится на работе справку по SQL искал. И при заходе на какой-то sql.ru (сейчас уже точно не помню, но сайт по всем параметрам был приличный) сразу хватал анлокер. А ведь это главный офис Эр-Телекома был, антивирус стоял, а у моей учётки вообще практически никаких прав не было, но пришлось профиль менять.
В статье на реддите был пост людей которым недоступен другой способ оплаты из вируса и они пошли и купили BTC за нал и заплатили. Иронично, но каков способ популяризации BTC…
НЛО прилетело и опубликовало эту надпись здесь
Извините, но ошибочная точка зрения. Если человеку нужно будет расшифровать файлы, то он найдет — как купить биткоины, тем более к трояну прилагается подробная инструкция, хотя эти люди до этого ни разу никакой электронной валютой не пользовались.
Моё утверждение не голословно, знаю реальные примеры.
Моё утверждение не голословно, знаю реальные примеры.
Эти люди вполне могут иметь включенную джаву или флеш в браузере. Много раз уже в них находили уязвимости, приводившие к заражению.
а так же на всех расшареных сетевых папках где имеет доступ к записи (у многих так были зашифрованы сетевые бэкапы)А это уже интересно! Интересно, как от этого защититься — делать бэкапы на (ftp-)сервер с доступом только на запись, но не на чтение? Это если без программирования на самом сервере с бэкапами.
Делать бекапы по SSH (WinSCP как вариант для винды) с удаленного сервера, который имеет доступ к основному, но не наоборот.
Какие сервера, вы о чём?
Троян для виндовс-машин, удаляет бэкапы на доступных для записи виндовс-шарах.
Троян для виндовс-машин, удаляет бэкапы на доступных для записи виндовс-шарах.
Суть не меняется. Поставить рядом бекап-машину, которая будет делать бекапы с основной машины, но так, чтобы основная машина не имела доступа (даже на чтение) к бекап-машине.
А на чтение-то почему нет?
1. Доступ с основной машины на бекап-машину просто не нужен, никакой. (Хорошо бы расположить бекап-машину на другом континенте за NAT, а данные шифровать на стороне основной машины чтобы обезопасить бекап-машину.)
2. Если всё-таки зачем-то дать доступ на чтение, то будет риск, что из-за уязвимостей или неправильной конфигурации (мы же про виндо-шару говорим) можно будет получить и доступ на запись.
3. Если бекапятся данные, которые не должны быть разглашены, то доступ на чтение нежелателен. Можно тогда несколько рабочих машин бекапить на одну бекап-машину. Если при таком раскладе бекап-машина давала бы основным машинам доступ на чтение, то взлом одной из основных машин давал бы возможность стащить секретные данные всех остальных машин, с которых происходит бекап. С другой стороны, можно машине давать доступ на чтение только к данным, которые были зарезервированы с этой основной машины.
2. Если всё-таки зачем-то дать доступ на чтение, то будет риск, что из-за уязвимостей или неправильной конфигурации (мы же про виндо-шару говорим) можно будет получить и доступ на запись.
3. Если бекапятся данные, которые не должны быть разглашены, то доступ на чтение нежелателен. Можно тогда несколько рабочих машин бекапить на одну бекап-машину. Если при таком раскладе бекап-машина давала бы основным машинам доступ на чтение, то взлом одной из основных машин давал бы возможность стащить секретные данные всех остальных машин, с которых происходит бекап. С другой стороны, можно машине давать доступ на чтение только к данным, которые были зарезервированы с этой основной машины.
Пользоваться Маком?
пора бы уже перестать открывать экзешники в аттачах
Буду КО, но большинство пользователей компьютера понятия не имеет об «экзешниках» и т.п. В винде расширения файлов по умолчанию не отображаются, только названия, поэтому определяют по иконке. Сделать иконку для exe как документ doc и почти никто не заметит разницы.
по умолчанию не отображаются
Ну значит надо так:
Включите отображения расширений файлов
Не запускайте екзешники
Делайте холодные бекапы
Винда спрашивает подтверждение перед запуском программы, скачанной из инета, но не при открытии уже установленной программой скачанного из инета файла. Казалось бы, все видно, обо всем написано… Вот только читать никто не умеет.
А зачем вообще открывать вложения неизвестно от кого? Если приходит письмо содержания «Привет, вчера тебя в городе увидела, а ты даже не оглянулся. Вот мои фотки с курорта (только не упади со стула)» и аттач. Если я семьянин и знаю, что у меня нет знакомых, которые могут такое прислать, зачем я буду это открывать?
Людей традиционно ловят на их пороках и заставляют за это платить. Всё как всегда, ничего нового. :)
Людей традиционно ловят на их пороках и заставляют за это платить. Всё как всегда, ничего нового. :)
Не очень понятен смысл обманывать таймер в компьютере если ключ самоудаляется на сервере…
Видимо ключ хранится на сервере без ограничения, поскольку люди с реддита, переведя время, смогли вернуть файлы после 72 часов.
Тогда понятно.
Довольно шаткое утверждение, я тоже читал реддит и не видел там тех кто смог вернуть файлы, только тех кто подтверждал что таймер идет по часам биоса.
Плюс исходя из опубликованного анализа доменное имя текущего сервера с ключами сидится системным временем и неправильный таймер может привести к обращению к серверу который будет уже недоступен.
Плюс исходя из опубликованного анализа доменное имя текущего сервера с ключами сидится системным временем и неправильный таймер может привести к обращению к серверу который будет уже недоступен.
Утверждение про то, что ключ хранится больше 72 часов, вполне логично. В момент заражения генерируется приватный ключ, который сразу заливается на сервер. После этого начинается шифрование, которое может продлиться неизвестно долго (например, из-за выключения компьютера), либо остановиться при отключении от сети. Только потом начинается отчёт на 72 часа, при этом у компьютера потенциально отсутствует возможность уведомить управляющий сервер о начале отчёта.
Может кто-то знает, как запретить всем программам кроме доверенных лапать мои драгоценные файлики? В винде. А остальным, скажем, запретить вылезать за пределы диска C.
Можно хранить свои файлы в папках, куда нет доступа ограниченным пользователям, а доверенные программы запускать с правами администратора.
Установить такую ОС, на которой нет диска С.
Такая ОС есть и стоит. Но вопрос был именно про винду.
На днях 2х знакомых перевел на убунту, так как устал постоянно чистить им винду от вирусов…
Где ж эти люди в сети «обитают»?
Я, уже год, с момента перехода на Windows 8, отказался от антивируса (точнее оставил стандартный от Microsoft). До этого исправно оплачивал KIS, кажется, года четыре.
Все это в связи с тем, что ранее получал уведомления только о тех файлах, которые сам и хотел запускать — вроде каких-либо кейгенов или AdWare.
Я, уже год, с момента перехода на Windows 8, отказался от антивируса (точнее оставил стандартный от Microsoft). До этого исправно оплачивал KIS, кажется, года четыре.
Все это в связи с тем, что ранее получал уведомления только о тех файлах, которые сам и хотел запускать — вроде каких-либо кейгенов или AdWare.
Есть еще люди которые наивно верят "инсталяторам мейл.ру", а попасть на сайт с такой гадостью можно случайно кликнув на какойто банер…
А проблема «кроссплатформенная» — запущенный под пользовательским аккаунтом зловред имеет полный доступ к пользовательской папке.
Он под вашими правами ваши файлы и в линуксе зашифрует, так же как в винде и макоси. Ни судо ему ни надо, ни виндового админа. Главное запустить.
Права на запуск в линуксе он сам себе пропишет? Или на официальном сайте приложит документацию в стиле «Я албанский вирус, для запуска нажмите правой кнопкой на скачанный файл, в выпадающем меню выберите ...далее инструкции для всех популярных файловых менеджеров...»
Ну если вы его хотите запустить, то значит и права пропишете. А если не хотите, то и в винде не запустите, тем более она еще раз спрашивает, что файл скачан, может быть опасным и точно ли ты этого хочешь.
Я не запущу, т. к. оно мне нафиг не надо.
А вот представитель младшесредней школы/мать его/прочие прародители:
— в винде увидит окно с предупреждением, что файл скачан из интернета, скажет «ах, ну да, мне же эту фотку только что по аське прислали, значит надо посмотреть» и без зазрений совести кликнет «запустить». В итоге получает шифров полный хард, с которым ни один «вася» не справится.
— в линуксе увидит окно с выбором программы для открытия файла, далее либо закроет это окно, либо выберет просмотрщик изображений, который сообщит, что файл не является изображением.
А вот представитель младшесредней школы/мать его/прочие прародители:
— в винде увидит окно с предупреждением, что файл скачан из интернета, скажет «ах, ну да, мне же эту фотку только что по аське прислали, значит надо посмотреть» и без зазрений совести кликнет «запустить». В итоге получает шифров полный хард, с которым ни один «вася» не справится.
— в линуксе увидит окно с выбором программы для открытия файла, далее либо закроет это окно, либо выберет просмотрщик изображений, который сообщит, что файл не является изображением.
Винда как бы тоже отличает картинки от программ. Более того, помимо того что файл скачан с инета, для программ будет еще и проверка цифровой подписи издателя и еще одно жирное предупреждение. Так что если чел несмотря на всё это запустил троян, то он точно также и в линуксе или маке запустит.
Вы такой наивный, что до сих пор верите во всемогущество флага «x» на файле? Вот ваш дальнейший вполне себе реалистичный сценарий:
просмотрщик изображений начинает открывать и разбирать полученный файл, сначала детектировать его формат, затем декодировать изображение. На определенном этапе он нарывается на специально заложенный под него эксплойт и дальше начинает выполнять кусок кода, который лежит дальше. Код выполняется в контексте процесса просмотрщика и делает своё дело — шифрует файлы до которых может дотянуться имея права текущего пользователя. Обычно это достаточно много — операционка цела, да вот самые нужные файлы того… Конечно можно кивать на то, что в современное железо, сам Линукс и даже CRT библиотеки накидали дохрена всяких защит уже от наиболее популярных косяков, таких как переполнение буфера — тут и NX бит, и рандомизация места загрузки, но стоит добавить, что: a) подобных защит и в винде сейчас валом, так что у Линукса нет особых козырей и б) на каждую хитрую гайку может найтись свой болт с левой резьбой.
И это мы только вариант технологический рассмотрели, с эксплойтами и хайтеком. Социальный инжиниринг тоньше и зачастую даже проще.
просмотрщик изображений начинает открывать и разбирать полученный файл, сначала детектировать его формат, затем декодировать изображение. На определенном этапе он нарывается на специально заложенный под него эксплойт и дальше начинает выполнять кусок кода, который лежит дальше. Код выполняется в контексте процесса просмотрщика и делает своё дело — шифрует файлы до которых может дотянуться имея права текущего пользователя. Обычно это достаточно много — операционка цела, да вот самые нужные файлы того… Конечно можно кивать на то, что в современное железо, сам Линукс и даже CRT библиотеки накидали дохрена всяких защит уже от наиболее популярных косяков, таких как переполнение буфера — тут и NX бит, и рандомизация места загрузки, но стоит добавить, что: a) подобных защит и в винде сейчас валом, так что у Линукса нет особых козырей и б) на каждую хитрую гайку может найтись свой болт с левой резьбой.
И это мы только вариант технологический рассмотрели, с эксплойтами и хайтеком. Социальный инжиниринг тоньше и зачастую даже проще.
0) Процент линукса довольно мал, и всерьез на него усилия никто не тратит. Грех этим не пользоваться.
1) Линуксов много и разных, наваять троян, который бы сработал под значимым процентом систем — гением (или редкостным занудой) быть надо. Тех же просмотрщиков — десятки. Плюс наличие репозитория сильно способствует выбору всякого альтернативного софта.
2) в отличие от windows, где обновления затрагивают только систему, в линуксе централизованно обновляется весь стандартно установленный софт, а ставить стороннее как-то не принято, исключая что-то совсем большое типа стима с играми. Плюс практически отсутствует статическая линковка и привычка таскать библиотеки с приложением. Всё это даёт свой выигрыш в плане борьбы с атаками через переполнение буфера и тому подобное.
Ну и плюс сейчас идут подвижки в сторону более жесткой изоляции приложений — к примеру, просмотрщик при запуска может сбросить ненужные для работы привилегии — вплоть до того, что не сможет после этого вообще файлы открывать. Есть ли в Windows аналогичная механика — не знаю. В общем, не зря как-то ни разу и не слышно было о реальных случаях эксплоитов на линуксовых рабочих станциях.
Ну а социальная инженерия — это да, лечится только обучением не «пользоваться» компьютером как микроволновкой, а все же понимать, что происходит, хотя бы поверхностно. Оно и для эффективной работы крайне полезно, но как-то не в моде…
1) Линуксов много и разных, наваять троян, который бы сработал под значимым процентом систем — гением (или редкостным занудой) быть надо. Тех же просмотрщиков — десятки. Плюс наличие репозитория сильно способствует выбору всякого альтернативного софта.
2) в отличие от windows, где обновления затрагивают только систему, в линуксе централизованно обновляется весь стандартно установленный софт, а ставить стороннее как-то не принято, исключая что-то совсем большое типа стима с играми. Плюс практически отсутствует статическая линковка и привычка таскать библиотеки с приложением. Всё это даёт свой выигрыш в плане борьбы с атаками через переполнение буфера и тому подобное.
Ну и плюс сейчас идут подвижки в сторону более жесткой изоляции приложений — к примеру, просмотрщик при запуска может сбросить ненужные для работы привилегии — вплоть до того, что не сможет после этого вообще файлы открывать. Есть ли в Windows аналогичная механика — не знаю. В общем, не зря как-то ни разу и не слышно было о реальных случаях эксплоитов на линуксовых рабочих станциях.
Ну а социальная инженерия — это да, лечится только обучением не «пользоваться» компьютером как микроволновкой, а все же понимать, что происходит, хотя бы поверхностно. Оно и для эффективной работы крайне полезно, но как-то не в моде…
В Agnitum Outpost Firewall Pro есть «Защита файлов и папок»:
Впрочем, использование Outpost и аналогочных продуктов (фаерволл с HIPS) уже само по себе, скорее всего, не допустит выполнения сомнительных действий.
Вы можете заблокировать доступ к вашим персональным данным (документам, файлам, папкам, фотографиям и т.д.) или защитить критичные папки системы. После этого защищенный элемент будет недоступен другим пользователям и приложениям, пока не будет введен пароль, защищающий конфигурацию.
Впрочем, использование Outpost и аналогочных продуктов (фаерволл с HIPS) уже само по себе, скорее всего, не допустит выполнения сомнительных действий.
Не спасет. Нормальная малварь может инжектиться почти в любые процессы. А если это происходит с помощью недокументированных методов, то событие инжекта практически не отловить. Аминь.
Нельзя так просто взять и инжектнуться в процесс, запущенный из-под другого пользователя.
Конечно. А зачем над другой пользователь? Криптеры отлично работают и под текущим. Вот запущен у меня msword (гипотетически, конечно). Где-то подцепил криптор, криптор инжектится в процесс ворда и шифрует файлы. Всё чин-чином, процесс доверенный, образ подписан, только вот в памяти процесс уже с инжектом и фига вы это отловите при «правильном» инжекте. Потому и аминь. Потому пока 2 пути противодействия — принудительный бэкап файлов в недоступное юзерским процессам место и поведенческий анализ.
Рекламировать вендора АВ не буду, кому надо сам найдет =)
Рекламировать вендора АВ не буду, кому надо сам найдет =)
А что у вас на диске С делают все программы, кроме доверенных?
Они могут там делать что угодно. Диск С мне не жалко, если сдохнет — переустановлю и все. Документы намного критичнее.
Если документы важные, то лучше хранить их в дропбоксе с локальными копиями на всех машинах. Тогда чтобы потерять их, нужно будет одновременно словить вирус на всех машинах и лишиться аккаунта в дропбоксе. Альтернатива — гугл-документы. И лучше не пользоваться виндой при работе с важными документами. Хранить уж тогда все документы в формате LaTeX в гите под линуксом и делать автоматические бекапы с независимых серверов. (Я понимаю, что последний вариант недоступен, он адресован пользователям линукса в первую очередь.)
>Если документы важные, то лучше хранить их в дропбоксе с локальными копиями на всех машинах
Ну в общем я так и делаю, только вместо дропбокса BTSync. Думал, может человеческая мысль дошла до чего-то еще.
Ну в общем я так и делаю, только вместо дропбокса BTSync. Думал, может человеческая мысль дошла до чего-то еще.
Могу посоветовать свою разработку, если это уместно. Этот python-скрипт разбивает все файлы в папке на небольшие куски, шифрует, применяет стеганографию и загружает на файлообменные серверы вроде меги. На выходе bash-скрипт, который выкачивает данные с файлообменников и воссоздает исходные файлы. Можно повышать надежность, загружая каждый кусочек несколько раз. Видимо, работать будет только под UNIX.
НЛО прилетело и опубликовало эту надпись здесь
Так и изменение файла на одной из нескольких машин — тоже вполне нормальное действие пользователя. Или дропбокс так не считает?
1. Есть история изменений — можно запросить старую версию.
2. Есть кнопочка Показать удаленные файлы/Show deleted files.
2. Есть кнопочка Показать удаленные файлы/Show deleted files.
Дропбокс — это всего лишь папка, её содержимое открыто на чтение/запись и там тоже можно все попортить
GIT — это хорошо, для документов, но не знаю, стоит ли туда мои 500Г+ фоток и семейное видео заливать. Да и хостить то где?
GIT — это хорошо, для документов, но не знаю, стоит ли туда мои 500Г+ фоток и семейное видео заливать. Да и хостить то где?
там можно версии файлов откатывать
ледник амазоновский может помочь, вирусу придется основательно подождать, чтоб и там напортачить.
Фотки и семейное видео лучше всего заливать в зашифрованном виде в платные облака. Но лучше делать это с Linux, чтобы снизить риск, что кто-то взломает компьютер и уведет аккаунт на облаке. Тот же дропбокс подойдет, но есть варианты дешевле. Ещё нужно делать бекапы на внешние жесткие диски, но ограничиваться этим не стоит, особенно если эти диски хранятся в одном помещении с оригиналом.
Если документы важные, то лучше хранить их в дропбоксе
С таким подходом ждите замену мыла/пароля на дропбокс в ближайшей версии криптолокера.
Политикой безопасности Windows 7 Ultimate и 8 Enterprise можно запретить запуск всех ехе без цифровой подписи.
Ну или позволить запуск только тех, которые уже установлены.
Ну или позволить запуск только тех, которые уже установлены.
И чем это поможет? Мало ли китайских нонейм девелоперов с цифровой подписью?
Вы частично правы, но очень редко попадаються вирусы с цифровой подписью, но это и так снизит вероятность запуска зловредов.
Можно создать список доверенных издателей и по цифровой подписи позволять для них запуск.
Надежность любых антивирусов сомнительна, поэтому я предпочитаю вариант заблокировать запуск всех программ что находяться не в папках %programfiles% и %windir%.
Временные программы запускать на виртуальной машине с откатом состояния после закрытия.
А программы необходимые постоянно, сначала вирустоталом проверить, а потом от имени другого пользователя, которому позволен запуск, устанавливать программу.
Можно создать список доверенных издателей и по цифровой подписи позволять для них запуск.
Надежность любых антивирусов сомнительна, поэтому я предпочитаю вариант заблокировать запуск всех программ что находяться не в папках %programfiles% и %windir%.
Временные программы запускать на виртуальной машине с откатом состояния после закрытия.
А программы необходимые постоянно, сначала вирустоталом проверить, а потом от имени другого пользователя, которому позволен запуск, устанавливать программу.
Ну так это немногонамного больше, чем просто галку про запрет выполнения программ без цифровой подписи поставить. Кстати, в вашем варианте с запретом запуска из левых папок, как вы инсталляторы софта запускаете?
А я и не говорил что это просто галка. Но это дефолт настройки политики безопасности AppLocker.
Создаю папку, например D:\Secure
И всем программам, скриптам и инсталляторам которые в этой папке разрешаю доступ на запуск.
Простейший вариант скопировать туда программу и запустить.
Другой, сделать себе ограниченную учетную запись и отключить ограничения запуска для администратора.
В таком случае запуск «от имени..» администратора с вводом пароля будет возможен с любой папки.
Создаю папку, например D:\Secure
И всем программам, скриптам и инсталляторам которые в этой папке разрешаю доступ на запуск.
Простейший вариант скопировать туда программу и запустить.
Другой, сделать себе ограниченную учетную запись и отключить ограничения запуска для администратора.
В таком случае запуск «от имени..» администратора с вводом пароля будет возможен с любой папки.
Этим поидее должен заниматься поведенческий анализатор антивируса. массовая модификация важных файлов должна вызвать подозрения у антивируса, а непрерывное резервное копирование позволит откатить эти изменения когда такое действие будет выявлено.
В Виндовс начиная с NT есть такая редко используемая вещь как «белый список» — позволяет ограничить запуск любых приложений ограниченным перечнем. Вещь довольно строгая и опасная, т.к. им может воспользоваться сам троян(если он получит привилегии путем использования уязвимости) и тогда вы фиг что сделаете — первым в расход пойдет антивирус и диспетчер задач.
В Виндовс начиная с NT есть такая редко используемая вещь как «белый список» — позволяет ограничить запуск любых приложений ограниченным перечнем. Вещь довольно строгая и опасная, т.к. им может воспользоваться сам троян(если он получит привилегии путем использования уязвимости) и тогда вы фиг что сделаете — первым в расход пойдет антивирус и диспетчер задач.
nod 32 версии 5+ и грамотно настроенный HIPS в нем
Подскажите, а если браузер запущен в песочнице, скажем, Аваста, это предотвратит такую проблему?
Эта зараза, насколько мне известно, шифрует файлы последовательно, т.е. создает шифрованную копию файла, а потом удаляет оригинал. Поэтому теоретически есть возможность восстановить с диска спец-софтом типа EasyRecovery…
НЛО прилетело и опубликовало эту надпись здесь
Так там же указали USD ;)
«берёт private ключ с C&C сервера для зашифровки документов» — хотелось бы узнать у тех кто это написал: а не хватит ли им для шифрования публичного ключика? :-D
Есть довольно сильные подозрения, что там не чистое RSA шифрование файлов, точнее вовсе и не RSA, а AES…
Есть довольно сильные подозрения, что там не чистое RSA шифрование файлов, точнее вовсе и не RSA, а AES…
А на какой адрес просят прислать BTC?
Можно отследить сколько и куда ушло через этот сайт например.
Можно отследить сколько и куда ушло через этот сайт например.
Думаю, скорее всего ушло на биржу или сервис отмывания. Если пропустить биткоины через пару бирж или сервисов отмывания, то отследить их новый адрес (не говоря о владельце) уже очень сложно. И это не учитывая, что их могли распределить по немногу на тысячу адресов. В публичной истории эти адреса будут просто какими-то кошельками, на которые через транзакцию с многими входами и многими выходами насыпалось немного денег. Когда-то с них деньги уйдут, опять же непонятно куда и зачем. История вроде публична, но без привязки кто есть кто. Если проводить аналогию с IP, то там всё наоборот: в публичном доступе нет информации об IP-адресах посетителей сайта, зато по IP-адресу можно определить, кому он принадлежит.
Так же, на данный момент многие провайдеры уже заблокировали C&C сервера, и поэтому некоторые жертвы не смогут даже выкупить свои файлы.Потому что неправильная схема. Там где есть биткоин, не нужен центральный сервер. Silk Road на этом уже погорел.
Как можно было всё сделать: шифровать всё симметричным ключом, который шифровать при помощи публичного ключа RSA и просить прислать этот шифрат вместе с платежом (blockchain.info позволяет прикреплять сообщения к платежам). Затем жулик, получив симметричный ключ, зашифрованный RSA, вместе с деньгами, расшифровывает симметричный ключ при помощи своего приватного ключа RSA и высылает жертве назад вместе с символическим платежом. Не нужно держать серверов, не нужно даже с тором заморачиваться. И нет риска блокировки. Адрес для пересылки денег можно использовать каждый раз новый, чтобы blockchain не запретил пересылку сообщений на этот адрес, к примеру. Создавать адрес можно на стороне клиента, без участия сервера (эта функциональность есть в Electrum, Master Public Key). Хм, интересно, прочитают ли этот комментарий авторы CryptoLocker.
Надеюсь, его не прочитаю десятки их «коллег». У этого и так все неплохо со схемой.
а смысл? эта схема же очевидна.
Если бы вы знали, какое овно троянопейсатели пишут для шифрования данных, вы бы так не говорили :-) Я потому и не пишу ничего про то как надо — самому же потом это расшифровывать :-(
А, Вы в Dr.Web работаете :-). По-моему, если уж пишут такое, то пусть пишут так, чтобы оплата гарантировала расшифровку, так вреда будет меньше. Кому данные дороже денег — тот заплатит, а остальные переустановят ОС. А если расшифровка держалась на сервере, который заблокировали по просьбе антивирусных компаний, то часть людей, готовых платить, потеряет ценные данные. Пользуясь случаем, спрошу: часто ли авторы таких вирусов присылают пароль для расшифровки, если им платить? Правда ли, что в антивирусных компаниях есть правило ни в коем случае таким не платить?
Ну так гарантия расшифровки — держать все необходимое в самом зашифрованном файле. И такие надежные схемы есть ;-)
По поводу оплаты и расшифровки ничего сказать не могу: до меня доходит едва ли процент из всех заплативших, как я прикидываю. За другие компании не скажу, но мы не платим. Теоретически, возможна ситуация, когда разовая оплата позволит расшифровать данные очень многим, в таком случае вопрос будем рассматривать особо.
По поводу оплаты и расшифровки ничего сказать не могу: до меня доходит едва ли процент из всех заплативших, как я прикидываю. За другие компании не скажу, но мы не платим. Теоретически, возможна ситуация, когда разовая оплата позволит расшифровать данные очень многим, в таком случае вопрос будем рассматривать особо.
Спасибо за ответы!
держать все необходимое в самом зашифрованном файле. И такие надежные схемы есть ;-)Надежные для дешифровки, но убыточные для автора вируса. Напомнило
Один раз удалось закейгенить RSA-1024 только потому что разработчик был так любезен и оставил в коде открытым текстом приватный ключотсюда.
Возможно, мнение моё будет непопулярным, но самый эффективный способ бороться с такими жуликами — никогда не платить им. Это тяжело, когда проблема касается тебя, но, с другой стороны, с чего бы это верить жулику, что он потом файлы расшифрует?..
Естественно, бэкапами лучше заниматься заранее. По опыту, неперезаписываемые DVD, при всей своей архаичности, иногда оказываются самым надёжным средством.
Естественно, бэкапами лучше заниматься заранее. По опыту, неперезаписываемые DVD, при всей своей архаичности, иногда оказываются самым надёжным средством.
Возможно, моё мнение будет ещё более непопулярным. Верить жулику можно, если он расшифровал данные другим. Люди же верят антивирусам, хотя они не всегда справляются. Самый эффективный метод — никогда не пользоваться популярными пропритарными операционными системами и не уповать на антивирусы. Когда я в такую ситуацию попадаю, я понимаю, что это только моя вина, а не жулика. Если человек простудился, виноват он сам (например, ходил на ветру в легкой одежде), а вовсе не микробы, которые воспользовались его слабостью.
Прямо к релизу новой убунты стал появляться? Хмм…
и что пора бы уже перестать открывать экзешники в аттачах,
Не обязательно — сам видел другой механизм распространения. На почту пришло резюме, в аттаче docx с макросом, девушка открыла в ворде — и понеслась. Нам не страшно, бэкапится все, поэтому просто выдернули патч-кордиз ее компьютера, сделали восстановление системы, прогнали проверку и восстановили все из бэкапов.
Я, как линуксоид, ради прикола запустил в openoffice, не выполнился, просто открылся текст макроса. Если файл еще где-то остался, могу выложить текст макроса, для интереса
Давайте :)
после запуска создал каталог
melihov@sup-pm7:~/Desktop$ ls /tmp/
luki1qqm.tmp
я его затарил, выкладываю, только аккуратнее =)
также открылось окно с содержимым
также прикладываю сам файл
не балуйтесь, дешифратора у меня нет!
melihov@sup-pm7:~/Desktop$ ls /tmp/
luki1qqm.tmp
я его затарил, выкладываю, только аккуратнее =)
также открылось окно с содержимым
MZP#########��##�#######@#######################################�####� �!�#L�!��This program must be run under Win32
$7########################################################################################################################################PE##L###Z�Q########�#��#####� ##@###�
#pN###�
##`####@##########################�######Vy
##########@##########################��##�####`##�5###########� #�###################################(P######################################################UPX0#####�
#########################�##�UPX1#####� ##�
##� #################@##�.rsrc####@###`###8###� #############@##�###########################################################################################################################################################################################################################################################################################################################################################################3.09#UPX!
#
l�###��#�##f~ ## ##&##��w��##@###Boolean## *#Fa���lse#True#System##��42##AnsiCh�v�arW�#4�.P6 #/���K#�hf##ShortInt#��#����7mall#�2�97�#,eger#b��]{94�/#By�?#k��/W�d��##P��~�oi�r#[���CaV*��w��#_#�####6+_��4/�#?8#U��ekAy�FX>#���
также прикладываю сам файл
не балуйтесь, дешифратора у меня нет!
Его можно использовать, если вдруг нагрянет налоговая! Были данные и нет данных! Вирус же!
Я родственникам ставлю Online Armor, в этой программе есть режим белых списков — очень помогает неопытным пользователям случайно не запустить бинарный файл.
Также ставлю dropbox со скриптом копирования важных файлов раз в месяц. Тут немного подробностей: av.3dn.ru/news/virusy_vymogateli_shifrovalshhiki_kak_rasshifrovat_fajly/2013-09-21-22
В общем, защититься от таких неприятностей несложно. Даже неопытному юзеру.
Также ставлю dropbox со скриптом копирования важных файлов раз в месяц. Тут немного подробностей: av.3dn.ru/news/virusy_vymogateli_shifrovalshhiki_kak_rasshifrovat_fajly/2013-09-21-22
В общем, защититься от таких неприятностей несложно. Даже неопытному юзеру.
Недавно пытался знакомится с такой штукой.называется «itstimetopay». Не было никаких *.exe. Была PDFка говорят. комп прогнали всеми антивирусами все что можно удалили, просрочили время оплаты потом принесли мне-мол восстанови как нибудь…
Сразу подумал про R studio — но не прокатило. Итог: документация и фоточки превратились в ненужный мусор…
Вот думаю как уберечься от такого. Похоже выход только в резервном копировании — но оно раз в сутки… то есть потери все равно…
Сразу подумал про R studio — но не прокатило. Итог: документация и фоточки превратились в ненужный мусор…
Вот думаю как уберечься от такого. Похоже выход только в резервном копировании — но оно раз в сутки… то есть потери все равно…
Так, пора обновить важные бэкапы на болванках. Как бы не забиыть только? Узелок на палец, крестик нарисовать на руке?..
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новая рансомварь просит биткойны