Комментарии 44
В случае с вайперами ситуация сложнее — чего хотят их создатели, знают только они сами.
Толкают общество к осознанию важности информационной безопасности ;)
Причём народ не понимает даже, казалось бы, элементарные азы. Не надо разбираться даже в тонкостях. Одной знакомой с левого адреса пришёл вордовский файл при запуске которого выдался запрос на выполнение какой-то программы «ля-ля-ля.exe». На вопрос нафига надо было смотреть левый файл, да ещё и запускать исполняемый при отключенной антивирусной защите я получил ответ: «Интересно же». Я прямо позавидовал в тот момент — у меня эта пора уже давно прошла и если уж руки и чешутся, то запускается всё в изолированной виртуальной среде.
Вайперы, по сути, дискредитируют шифровальщиков. Но, хотя дело-то правильное, а вот методы…
Почитайте, как он распространяется — «открытие файлов с почты» тут ни причем совершенно. Да и не откроется оно с апплокером.
Вирусня прилетела с обновлением одного из бух ПО «МЕдок», причем само обновление выставлено там вручную, видать создателям плевать на эти галочки.
Далее дамп пароля доменного админа, который зашел на ПК (само ПО, а точнее его серверная часть работает с правами лок.админа, по другому не умеет) и распространие по сети, используя вполне легитимные учетные данные.
Если что, это проверено по логам с полей (вот почти закончили восстанавливаться после атаки).
Да, сами себе буратины, что не используем на каждый сервер своего админа, не имеющего доступа к другим, но судя по масштабам заражения (на Украине), мы не одни такие :(
Вирусня прилетела с обновлением одного из бух ПО «МЕдок», причем само обновление выставлено там вручную, видать создателям плевать на эти галочки.
Далее дамп пароля доменного админа, который зашел на ПК (само ПО, а точнее его серверная часть работает с правами лок.админа, по другому не умеет) и распространие по сети, используя вполне легитимные учетные данные.
Если что, это проверено по логам с полей (вот почти закончили восстанавливаться после атаки).
Да, сами себе буратины, что не используем на каждый сервер своего админа, не имеющего доступа к другим, но судя по масштабам заражения (на Украине), мы не одни такие :(
Я не конкретно про Петю, я про логику людей в целом.
Чтож Вы хотели, поколение «пепси», сменилось поколением «тач», потом «кроссовки за репост» и «кредит под ВСЕГО 0.2% в день»…
Поколение Пепси — это родившиеся в 50х?
Зависит от того о какой стране идёт речь, о той или этой.
С 1980 по 1991 в СССР
Тогда могу расстроить — родившимся в 50х открывать "посмотреть" что попало не мешает даже низкая компьютерная грамотность(что нужно — они открыть не могут), поэтому пассаж "сначала поколение "пепси" " был не очень понятен. Кредиты не читая, кстати, они берут ничуть не менее активно (пусть уже не 50, но 60-70х вполне).
Ну, знаете, человек бывает и с доменными печами/станками не знаком, но ради интереса не сует туда голову/руки…
Почему в случае с интернетом есть уверенность полной безопасности?
Почему в случае с интернетом есть уверенность полной безопасности?
Вполне суёт — потому в школе на уроках "труда" первое что объясняли — технику безопасности, попасть к доменной печи тоже не просто, но что подоступнее — вполне собирает свой урожай.
Почему в случае с интернетом есть уверенность полной безопасности
Потому что он воспринимается как лужайка у дома. Или, как тут сказали, библиотекой, он не воспринимается полным криминала районом-гетто и очень удивляет обывателя этой стороной.
Человек не сталкивался с такими проблемами лично — это да. Но он наслышан — это факт, как минимум от меня) Всем кругом талдычишь одно и то же — купите внешний хар и свои драгоценные фотки и документы копируйте туда ну хотя бы раз в год! Слова бесполезны — пока петух не клюнет…
Понятно, что всё что-то из любопытства делают в целом, но есть же и некоторые границы логики твоих действий. Я когда машину купил и начал водить делал всё так как меня учили и как мне знакомые/друзья советовали. Я ж из любопытства с 1 передачм на 3-4 не переключался и вместо омывайки не лил какой-нить раствор лимонной кислоты «чтобы лучше отмывало» )
Понятно, что всё что-то из любопытства делают в целом, но есть же и некоторые границы логики твоих действий. Я когда машину купил и начал водить делал всё так как меня учили и как мне знакомые/друзья советовали. Я ж из любопытства с 1 передачм на 3-4 не переключался и вместо омывайки не лил какой-нить раствор лимонной кислоты «чтобы лучше отмывало» )
Еще не выяснили как связан МЕДОК и распространение? Откуда в их обновлении взялся петя и т.д.?
Я не удивляюсь этому, после того как полгода работал с бухгалтерией, и с медком, кстати тоже — убожество то ещё. Бухгалтеры которые носили в налоговую отчёты на флешках и приносили каждый раз оттуда, каждый раз, целый букет авторанов с червями. 1Сники которые носили эту заразу с собой и накатывали на компы вместе с обновлениями. Кривой самописный софт работающий с правами админа и никак иначе. В одной госконторе имел место софт для расчёта чего-то, для работы которого необходимо было расшаривать диск С в сеть на всех компах на которых он есть. И да, никаких админов, максимум — программист этого самописного софта которому насрать на всё, ну и сын главбуха который учится на программиста в техникуме. Или, в крайнем случае, когда уже ничего не работает, какой-то чувак из местной фирмочки «ремонт компов».
Откуда он взялся в их обновлении мы врядли узнаем. они старательно отнекиваются.
В их ПО уже был вирус ранее и тоже в обновлениях. С тех пор они не потрудились даже цифровые подписи добавить.
Добавили в одном обновлении, на них налетела пачка ретроградов, которые не смогли справиться с добавлением нового корневого серта на неподдерживаемую XP\2003 и они откатили цифровые подписи.
В их ПО уже был вирус ранее и тоже в обновлениях. С тех пор они не потрудились даже цифровые подписи добавить.
Добавили в одном обновлении, на них налетела пачка ретроградов, которые не смогли справиться с добавлением нового корневого серта на неподдерживаемую XP\2003 и они откатили цифровые подписи.
Вот немного подробностей. Те поломали не саму программу, а воспользовались встроенной системой автоматического обновления.
Почитайте, как он распространяется — «открытие файлов с почты» тут ни причем совершенно. Да и не откроется оно с апплокером.
у друга (в органе местного самоуправления) пришло на почту буху (он медком не пользуется вообще), по «защищенному каналу связи»(тм). а потом — расползлось по локалке через дыры (домена там нет, легитимных учетных данных соответственно тоже).
Ну дыры у нас закрыты, патчимся через неделю после выхода обнов обычно. С правами юзера 99% персонала, запуск левого полочен Апплокером везде. Да и расследование по логам показало, что заражение шло от учетных данных админов, причем даже не одного, а двух.
SRP работает даже на недоменных машинах, можно хоть реестр напрямую патчить, хз как без него сейчас жить, в день по 2-3 таких «мне пришло, я что-то нажала» в логах апплокера ловится (счет-фактура.exe и проч).
SRP работает даже на недоменных машинах, можно хоть реестр напрямую патчить, хз как без него сейчас жить, в день по 2-3 таких «мне пришло, я что-то нажала» в логах апплокера ловится (счет-фактура.exe и проч).
Пойду-ка забэкапюсь что ли.
Вот-вот! Создатели и ставили цель — приучить людей делать бекапы.
Как и дети на стройке, кидающие сверху кирпичи, приучают носить каски.
Как воры, обокравшие квартиру без наклейки «охраняется спецназом ГРУ»…
Как воры, обокравшие квартиру без наклейки «охраняется спецназом ГРУ»…
«Хочешь узнать кто это сделал — ищи того кому это выгодно» — говорил какой то сыщик.
Но вот только увеличение хранимой информации (я про бэкапы) выгодно в конечном счёте производителям жестких дисков.
Как то это малоправдоподобно :).
Есть и другой подход- если кому то плохо — то это сделали его враги. А уж какие каждый придумает сам — И Россия в случае выбора Трампа президентом, и Запад и Америка в случае кибератак на Россию.
А в итоге наверное просто какой нибудь «умный» вундеркинд решил побаловаться в гараже…
С другими комментариями согласен- любой вирусняк в конечном итоге приучит к бэкапам и культуре безопасного нахождения в сети. И в этом хотя бы его маленький плюс.
Но вот только увеличение хранимой информации (я про бэкапы) выгодно в конечном счёте производителям жестких дисков.
Как то это малоправдоподобно :).
Есть и другой подход- если кому то плохо — то это сделали его враги. А уж какие каждый придумает сам — И Россия в случае выбора Трампа президентом, и Запад и Америка в случае кибератак на Россию.
А в итоге наверное просто какой нибудь «умный» вундеркинд решил побаловаться в гараже…
С другими комментариями согласен- любой вирусняк в конечном итоге приучит к бэкапам и культуре безопасного нахождения в сети. И в этом хотя бы его маленький плюс.
на самом деле в тексте упущен один момент, который делает пафос несколько глупым. Шифруя файлы, вирус на лету расшифровывает их, так что расшифровщик там есть.
Другое дело, что после выброса плаката «всё пропало» вирус может всё стирать, действительно. Но это не совпадает с изложением. Второй вариант — нифига он не шифрует, а тупо стирает всё в определённый момент — и это тоже не совпадает с изложенным.
Кстати, zookko, так и поступали, когда появились шифрующие вирусы. Дело было ещё в ДОСе, выходом было — скопировать нужные файлы на дискеты при появлении плакатов. На дискеты писалось нешифрованно.
Другое дело, что после выброса плаката «всё пропало» вирус может всё стирать, действительно. Но это не совпадает с изложением. Второй вариант — нифига он не шифрует, а тупо стирает всё в определённый момент — и это тоже не совпадает с изложенным.
Кстати, zookko, так и поступали, когда появились шифрующие вирусы. Дело было ещё в ДОСе, выходом было — скопировать нужные файлы на дискеты при появлении плакатов. На дискеты писалось нешифрованно.
Расшифровщик может и есть, но ID генерится случайным образом, следовательно получить ключ именно к своему экземпляру — нет возможности, поскольку его невозможно опознать.
Почему вы решили, что они их на лету расшифровывает?
потому, что иначе сразу при начале работы вируса файлы будут просто портиться. Зашифровка без расшифровки эквивалентна простому затиранию случайными комбинациями.
Суть же шифрующих вирусов — прожить подольше, пока все или значительная часть файлов не будут зашифрованы, а уже потом сделать ба-бах. Этого без расшифровки на лету не реализуешь, всё должно продолжать работать как всегда — до поры до времени.
Суть же шифрующих вирусов — прожить подольше, пока все или значительная часть файлов не будут зашифрованы, а уже потом сделать ба-бах. Этого без расшифровки на лету не реализуешь, всё должно продолжать работать как всегда — до поры до времени.
Дык а зачем всё таки что-то расшифровывать? Просто записать куда-то в потайное место огромное количество макетов зашифрованных файлов, а потом, когда критическая масса будет набрана, просто выполнить тысячи переименовываний и удалений. Возможно я вас просто не понял.
Вирус шифрует только документы и картинки, и вы просто не поймете, что они шифруются в данный момент на лету — вы же не открываете все тысячи своих документов одновременно.
Плюс шифрование у многих происходит после перезагрузки — когда уже пользователь не может открывать файлы.
Да и работа шифровальщика описана подробно.
И вообще тогда непонятно — смысл шифровать и расшифровать файл то в чем?
Плюс шифрование у многих происходит после перезагрузки — когда уже пользователь не может открывать файлы.
Да и работа шифровальщика описана подробно.
И вообще тогда непонятно — смысл шифровать и расшифровать файл то в чем?
Я разгадал цель — это майнеры!
Для того чтобы заплатить выкуп пострадавшие покупают криптовалюты, тем самым формируя спрос и повышая их курс!
Для того чтобы заплатить выкуп пострадавшие покупают криптовалюты, тем самым формируя спрос и повышая их курс!
Подскажите. Может я не прав, но если после шифрования просканировать диск на удаленные файлы, они же найдутся? Или вирус затирает кластеры?
При шифровке используется функция CreateFileMappingW — отображение файла в память. И после сохраняется, вероятнее всего, на то же место.
Т.е. не создается новый, а потом затирается старый. В этом случае можно было бы найти попытаться.
Т.е. не создается новый, а потом затирается старый. В этом случае можно было бы найти попытаться.
Происходит перезапись. Поверх то есть. А не просто создание зашифрованного файла и удаление оригинала.
$10200разделить на
50 жертв Petya= 204 и !=
около $300Предполагаю, ошибка в подсчете заплативших? Возможно, не нужно считать тех, кто просто пытался связаться через блокчейн посылая 0,00..001 Вт?
Не вводите людей в заблуждение. Случайно генерится ключ, с помощью которого шифруется информация. А уже этот ключ экспортируется в шифрованном виде. И теоретически, если создатели вируса отдадут приватный ключ, файлы можно расшифровать.
Не читал топик и комменты, ибо достало. В чем профит? Вернулось чсв из 90-х, потому что могу. Привет Чернобыль, что происходит.
>>> генерирует ключ рандомно — нельзя расшифровать
вполне возможно что цепочка должна быть такой:
генерирует ключ -> шифрует этим ключом -> злоумышленник по данному ключу генерирует ключ расшифровки.
так что метод генерации ключа еще не показатель.
>>> в коде присутствует код для стирания данных — нельзя расшифровать
1) многие вирусы угрожают уничтожить данные если оплата не поступит в течении некоторого времени
2) для скрытия своего присутствия некоторые вирусы могут шифровать данные оставляя оригиналы не тронутыми пока не будет принято решение требовать выкуп, как только решение вымогать принято, нужно стереть все оригиналы и оставить только шифрованные копии
3)…
Как видим может быть много причин для того чтобы в коде присутствовал код уничтожения данных,
при этом оставляя возможность их восстановления.
вполне возможно что цепочка должна быть такой:
генерирует ключ -> шифрует этим ключом -> злоумышленник по данному ключу генерирует ключ расшифровки.
так что метод генерации ключа еще не показатель.
>>> в коде присутствует код для стирания данных — нельзя расшифровать
1) многие вирусы угрожают уничтожить данные если оплата не поступит в течении некоторого времени
2) для скрытия своего присутствия некоторые вирусы могут шифровать данные оставляя оригиналы не тронутыми пока не будет принято решение требовать выкуп, как только решение вымогать принято, нужно стереть все оригиналы и оставить только шифрованные копии
3)…
Как видим может быть много причин для того чтобы в коде присутствовал код уничтожения данных,
при этом оставляя возможность их восстановления.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Криптовымогатель Petya на самом деле уничтожает данные пользователя, слать деньги бессмысленно