1913
К вопросу о вирусах-шифровальщиках
291 Комментарий в Информационная безопасность  
К вопросу о вирусах-шифровальщиках vault, вирус, вирус шифровальщик, длиннопост
+403
 Hellerick отправлено

Начальнику недавно похожая «платежка» пришла. Он ее открыл и понажимал там всё, что можно было понажимать.


Но поскольку подобное поведение для него вообще характерно, он давно уже за$рал систему до такой степени, что несчастный шифровальщик так и не сумел запуститься.

+106
BageOpercula отправлено
Компьютер начальника адаптировался, вирусы не могут начать работать пока внутренние шифровщики стремятся впитать больше оперативной памяти. Как дальше будут развиваться события,сумеет ли троян победить червя с обновлениями,создаст ли конкуренция сверхразумного хакера? Незнаю,но уверен что оборудование не прослужит до такого периода.
+91
 uborschik отправил
Как дальше будут развиваться события,сумеет ли троян победить червя с обновлениями,создаст ли конкуренция сверхразумного хакера?

вы узнаете после рекламы,не переключайтесь

раскрыть ветвь 4
+6
trs12 отправлено

вам бы аннотации к фильмам писать

раскрыть ветвь 1
+6
 xp3rt отправил
+3
anykeyfreeman отправил

Вспомнилось что-то. Не совсем в тему, но да ладно, штука интересная.

Читал когда-то давно мини рассказик. Там на Землю прилетели инопланетяне, приземлились в какой-то глубинке, в деревне.  А так как дело происходит в будущем, то народ уже им не удивляется. Инопланетяне предлагают подарки в виде нано роботов. Потом что-то там немного закрутилось и инопланетяне решили захватить Землю при помощи роботов этих. но, как оказалось, Земля уже шагнула дальше, чем эти олухи. В итоге их нано роботов съели местные роботы еще меньше нано роботов

раскрыть ветвь 3
+164
 Pufan отправил
он давно уже за$рал систему до такой степени, что несчастный шифровальщик так и не сумел запуститься
+40
Bayan отправил

Извиняюсь, что под топовым, но меня интересует вопрос - почему админ не может сделать групповую политику безопасности? Просто сделать белый список из разрешенных программ - остальное не запустится. Уже не раз бухгалтер звонила, и просила открыть файл который ей присылали на почту, аля "платежки.xls.js"

раскрыть ветвь 54
+2
HarbingerOne отправлено

я на госслужбе тружусь в регионе. У нас месяц назад заместитель министра запустил похожую хрень. Все файлы на его компе и на общем сетевом диске пришлось удалять)

+4
serega1ksv отправлено

Это называется иммунитет

+2
 Motuso отправил

Другу установил антивирус MSE, тк вообще  отсутствовала защита на компе. Вирус почти в каждой папке. Через день он звонит и говорит "Все тупит, ничего не запускается". На переустановку ос не соглашается. Удалил антивирус и все заработало. О, божечки, Вирусы Поддерживают Работоспособность Системы. А ладно, так сойдет)))

-2
vector86 отправлено

Было дома пару компов одно время. Один давно купленный, второй поновее на пару лет. На старом компе не было антивируса и игрушка одна летала быстрее чем на новом.

Посталил антивирус, нашел 7к зараженных файлов. Винда естественно под снос.


И после этого всё встало на свои места, с чистой виндой комп стал медленее работать ))


парадокс ))

раскрыть ветвь 1
+145
DedSpike отправлено

Думаю, что они не в курсе.

+24
 wakeonlan отправлено
Но привлечь , пока они не чухнулись)
+109
yanrising отправлено

Владельцев - смысл? Налицо явно взлом ресурса (их ресурса) с последющим размещением вредоноса. Классическая картина для распространения. Кстати может быть еще целевая (точечная атака)

-2
 DeadCry отправил
Однако, не отменяет того факта, что вирус мог быть не занесен путем взлома, а установлен кем-то из тех, кто там работает. Кто-то же отвечает за ИТ, в конце концов. Проверить его не будет излишним. Бывает такое, когда все предусматривают, кроме очевидного.
+11
 Krypt отправлено

Вы недооцениваете человеческое раздолбайство и дырявость систем.

раскрыть ветвь 5
0
 KamuiShiro отправлено

Обычно хостинг проверяет на наличие вредоносного контента. Не знаю как с шифровальщиком, но наш сайт они быстро определили в больные по всякой фигне которая появилась на сайте.

Кроме того в первую очередь за такое на сайте влетит IT сфере как людям отвечающим за данный объект. И поверьте им устроят нехилую взбучку. Так что им первым это будет невыгодно. Ваше предложение дельное если включить параноика.

раскрыть ветвь 3
+44
 Yujiko отправил

Шифровальщики, ненавижу б.. шифровальщики.

ещё комментарии
+23
 Vicosya отправила

У меня коллеги открыли такой файл на моём компе, пока я в отпуске была, и всю инфу пришлось за всё время работы сносить с компа, расшифровать и восстановить не удалось. Отдохнула..

+22
 VoidDragon отправлено

Ставьте пароли на рабочие машины )

+37
yumko отправлено

И бумажку с паролем не забудьте под клавиатуру положить.

раскрыть ветвь 2
+3
 Vicosya отправила

Пароли есть, но была необходимость воспользоваться моим компом, т.к. нужная инфа была только у меня. Вот решили заодно почту проверить и открыть все письма...

+1
 DmitryAR отправил
Премии вас лишить надо бы за такое с выговором: не только не обеспечили сохранность, но и разбазарили доступ.
+2
 Vicosya отправила

Ну да, выполнение распоряжений руководства это у нас разбазариванием доступа называется?

ещё комментарии
-3
 OBHO отправлено

Блядь, даже дома нельзя без пароля и ограничений админправ даже СВОЕЙ учетке, о чем тут речь вообще?

+31
 Krypt отправлено

Имхо, надо сообщить владельцам сайта, что их хакнули

+16
 Krypt отправлено

Собственно, done. По крайней мере я на это надеюсь: я смог найти только адрес прессцентра

+5
rentgencomics отправлено
facehoof.jpg


У хостера есть адрес для абуз, посмотреть можно во whois айпишника сайта.

раскрыть ветвь 5
+11
 kliMaster отправлено

Для ЛЛ, закинь все ссылки комментом)

+10
 pfsenses отправлено
+6
 snaiperk отправил

Кстати, способ там описан откровенно хреноватый. Как в "Мы из будущего", когда ребята сбежали, попрыгали в озеро, чтобы вернуться в своё время, а им - хрена с джва. Так и тут - пойдёшь искать кнопку из того поста, а точки восстановления ещё в далёком прошлом отключены для экономии места.


Вообще - прошлое, бессердечная штука. Ты ему (прошлому) - "где мои файлы?!", а оно тебе "бэкапа нет, иди вскрывайся".

раскрыть ветвь 6
+26
Terbios отправлено

1. Каспер, в том числе и почтовый, данные сообщения уже умеют отлавливать.

2. В том же каспере, на сайте, есть рекомендации как настроить проактивную защиту чтобы даже в случае ловли шифровальщика не зашифровать себе все и вся, то есть свести потери к минимуму.

3. Владельцы сайта скорее всего даже и не в курсе что у них поселился вирус на сайте. Можно найти ответственного и сообщить им. Думаю снесут тело достаточно быстро. А еще лучше чтобы передали разработчикам антивирусов содержимое той папки где сидит вирус.

+21
 Kirpichto отправлено

В прошлом месяце почтовый Каспер пропустил такое письмо и даже не вякнул.

+11
Britanic отправлено

да там вредонос меняется на потоке, причем от версии к версии прогрессирует, у них и шифрование раньше было проще, а терь по ГОСТу. Года три назад насколько помнится, когда они только-только начали появляться массово, у них иногда тупо в коде дешифраторы были, доктор веб даже форум держал по расшифровке. А ща такая херня уже не работает, либо делал бэкапы, либо платишь, либо файлы загибаются

раскрыть ветвь 4
+7
 napasprobkin отправлено

Да, каспер пофиксил удмуртскую экспертизу.

+30
 PhantomRU отправлено

Отгадай, куда будут тру-пользователи нажимать?

раскрыть ветвь 3
-1
TourdeIvanovo отправлено
Объясните кто-нибудь непрограммистам о чём пост?
0
sdchky отправлено
О троянах-шифровальщиках, которые обычно распространяются адресно уже известному человеку по почте через якобы важное письмо из банка или бухгалтерии, а также через взлом пароля и руками с удаленным доступом к ПК жертвы. 90% таких вирусов не удается расшифровать никому, но в антивирусах присутствует сейчас функция резервного копирования важных файлов и поведенческий анализатор, который ловит в процессе шифрования и блокирует за подозрительные действия. Информацию знаю из dr.web, что там у других не в курсе.
-2
cafake отправлено

только бэкапы на ленту спасут данные :)))) базы вредоносных сигнатур у всех  ведущих производителей антивирусного ПО +- одинаковые ~70% еще 10% уникальных сигнатур у каждого своих, ну и 20% это новые вирусы, сигнатур которых нет ни у кого))))

0
 KamuiShiro отправлено

Не всегда бэкапы спасают. Если только делать их на выносной винчестер и после бэкапа отключать его. В практике моих знакомых было что документы пожевал шифровальщик, а два бэкапа навернулись по разным причинам. Вот это был писец для них. Такой подставы они не ожидали.

раскрыть ветвь 2
0
 pfsenses отправлено

Не у всех есть лента. По крайней мере мелким компаниям она не по карману.

раскрыть ветвь 12
+13
Klokki отправлено

Если хочешь помочь другим,то напиши абуз в хостинг,они блокнут до разбирательства,а так я думаю концов тут не найти

+4
crazybusfromhell отправил

Помню, как читал хакер в начале 2000-х. Тоже нихуя непонятно, но сука увлекательно!

+3
cafake отправлено

На одной из конференций по ИБ обсуждали случай про две конкурирующие фирмы, допустим они будут называться "Х" и "У". "У" решила насолить "Х", путём воздействия на внешний ресурс, допустим это был их сайт "хй.ру". Но ресурс был действительно неполохо сконструирован и воздействовать напрямую им не удалось. Тогда компания "У" выяснила, что созданием этого замечательного сайта занималась третья компания "Й" (пазл сложился, да? :) ). Компания "Й", несмотря на то, что имела в штате квалифицированных специалистов, пренебрегала собственной безопасностью, чем и воспользовалась Компания "У". Она взломала "Й", та в свою очередь выпустила очередной релиз для "Х" и как результат на сайте хй.ру образовалась брешь, которой и воспользовалась "У".

+4
 syrop отправлено

суровые удмуртские хакеры атакуют грузоперевозчиков)))

+9
 Krypt отправлено

Да хакерам пофиг кого. Это "ковровая бомбардировка"

+2
 Skupe отправлено

Скажу как человек с опытом во всяких темных делах.
Сайт полюбому стоит на германском хостинге и домен зарегистрирован там же.
Заявление в полиции не берут даже на кидальные магазины, которые облапошили  по несколько сотен человек.
А если и берут то спускают на тормозах да и все.

+7
SharovDI отправил

Да этих ебанутых баб из бухгалтерии, которые открывают все что ни поподя, только святой процессор исправит. Как открыть таблицу в экселе они не могут, а как из письма всякую дрянь запустить, так это мы мигом.  

0) Перекрестится бубном читая мантры

1) Всей бухгалтери выдать калькуляторы и счеты, изъять компы.

2) Начальникам установить Ubuntu головного мозга

3) Вкрутить админам в уши по витой паре за не полные/не делающиеся бэкапы

+4
Svistounoque отправлено
>установить убунту головного мозга
2 за незнание мемологии, родителей в школу
-1
 PalePalp отправил

восстанавливать из бекапа каждые 2 дня сервера... наверное тоже не айс, но в конце концов можно даже подумать над автоматизацией процесса полного восстановления :) А лучше над групповыми политиками...

+4
 igh0st отправил
Комментарий удален. Причина: повторяющийся комментарий или комментарий содержащий информацию рекламного характера.
+2
Interface отправлено

А что тут было? Мне интересно стало. Может оставить ссылку в неявном виде или как-то натолкнуть на то, что гуглить?

+4
 igh0st отправил

Defendset (не сочтите за рекламу)

раскрыть ветвь 3
0
 Locastt отправил
Их слоганы выглядят, как панацея. Действительно хорошая штука?
+2
 igh0st отправил
Да, ну и сам подход интеренсый - простой как сковородка, не анализирует, а правилом доступ процессам ограничивает на создание/запуск. Плюс версионирование - сохраняет копии файлов при записи.
ещё комментарии
+1
ekeke отправлено
+1
Slo00n1k отправлено
Автор, зачем ты ссылку оставил в картинке? Почему нельзя в конце поста?
+1
 teafest отправил
Дружище только вчера бухгалтера такой поймала.Где же ты был раньше.
+1
 znatok.expert отправлено

нет

+1
timur1976 отправлено

ВСЕ такие письма идут сразу в корзину с удалением. Бухгалтерия все равно принимает только оригиналы, им эти сканы, копии, до одного места. Но, правда, находится вдруг связка "админ-пофигист, либо его отсутствие + необученные бухгалтеры + личная почта на разных ресурсах + отсутствие адекватной защиты" и все, таким юзерам наступает жопа.

+4
ooovniz отправлено

Хорошо Вам. А у нас наоборот, в почтовом обмене 8 из 10 писем идут с документами. pdf, doc, xls и всех остальных стандартных офисных сортов. И никак от этого не уйти. Но, благо, коллектив весь надрессирован и, тьфу-тьфу, реагирует на подобные линки в pdf (из последнего что было) правильным образом. Если уж очень интересно, но что-то смущает, задают вопрос.

+1
timur1976 отправлено

Кстати! В экселе и ворде, вроде можно запретить запуск содержимого (макросы, etc) внутри файла, вкладка безопасность, чтоли - посмотрите.

раскрыть ветвь 6
+1
timur1976 отправлено

если есть домен - запретите хотя бы запуск wscript.exe и расширение *.js (хотя можно *.cmd с *.bat, но это уже будет очень жестко - надо смотреть, чтобы нигде такое не запускалось, а то некоторые проги любят делать батники и с них запускаться).

раскрыть ветвь 1
+1
 firefox19 отправлено

Пишите абузу хостеру:

https://www.nic.ru/whois/?query=mseur.ru

показывает timeweb.ru

отличная поддержка у хостинга, есть даже онлайн чат.


п.с.: написал сам

0
 notimer отправил

спасибо!

+1
h1228231 отправлено

обычно они оставляют инструкцию как установить тор браузер и на какой сайт через него зайти, оплату принимают в биткоинах. соотвественно найти их чтобы привлеч к отвественности почти что невозможно. антивирусы такие вещи не найдут, потому как это не вирусы. где то писали (может даже тут) что одна из команд этих шифровальщиков выложила все ключи расшифровки для этго барахла, насколько правда не знаю.

остается надеяться на сознательность пользователей, ну и ещё варианты настройки почтарей.

0
sdchky отправлено

В антивирусе Dr.web есть поведенческий анализатор, на данный момент он пропускает всего пару разновидностей этих троянов. Остальные блокируются после нескольких попыток зашифровать.

+1
rasvik отправил

А у меня вопросик к автору поста. В письме прямо видно, что это вирус-шифровальщик или прям ворд документ? Раньше присылали архив с js скриптом.

+2
timur1976 отправлено

судя по всему, скрипт был через cmd и запускался через картинку в вордовском файле. Эволюционируют, гады...

+2
Bayan отправил

Если бы админ запретил с помощью GPO использовать cmd, regedit и вообще не знакомые файлы по дефолту - ничего бы с пользовательским пк не произошло.

+1
rasvik отправил

Вот тогда это проблема.. На старой работе без проблем такие письма пролистывал, раз в месяц точно присылали. А сейчас то как определить?

0
 volter921 отправил

http://mseur.ru/news/443 - они знали об этом, или читают Пикабу )

0
 troll32 отправил
Сайт тоже взломан, владельцы не при чем, только если за свинское отношение к безопасности привлечь...
0
 raver отправил

именно по этому у нас в компании Linux

0
Exoskeleton отправлено
А чего бы не подвесить этот jpg на любой серв? Выглядит как битый наверное. Ну и оттуда подсос. Хостинг вряд ли причем
0
 lovecube1337 отправлено

тише ребят
http://mseur.ru/news/443

0
DenisPantushev отправлено

Не открывайте эту ссылку, там вирус!

ПС. Шутка, конечно.

0
 notimer отправил
Отличная шутка) проверять ее я конечно не буду.
0
 Alewer отправил

Я надеялся, в посте будет ключ к тому, как решать эту проблему)
Наши пользователи порой страдают от такого, Касперский на всех фронтах молчит.

0
 igorek4649 отправил

Хакерская атака

ФКУ «ГБ МСЭ по Удмуртской Республике» Минтруда России информирует, что 8 ноября 2016 года сайт учреждения подвергся хакерской атаке, в ходе атаки на сайте были размещены файлы, содержащие вредоносный код. Используя данные файлы злоумышленники проводили атаку сторонних серверов, рассылку спама и другие вредоносные действия.

0
BageOpercula отправлено

Скромный сотрудник получил копию накладной от Гемы. Его жизнь круто меняется, когда однажды он обнаруживает тело убитого бухгалтера. Молодой человек готов притвориться, что был свидетелем убийства, только для того, чтобы насолить своему придирчивому начальникуи для собственного удовольствия наконец-то познакомиться с Гемой. Однако настоящие убийцы, желающие избавиться от ненужных свидетелей, тоже неожиданно решают поверить в историю notimer'a…

0
 maydayru отправлено

А вирус именно в жпеге? Или это просто маскировка под жмпег? Киньте ссылки где можно об этом почитать

0
 OBHO отправлено

1) На локальном ПК документов быть не должно

2) На сетевом хранилище должно быть разграничение доступа и теневые копии.


ВСЁ.

0
 OBHO отправлено

А какой вирус тебя заразил, что ты вместо текста использовал тоже скриншот-картинку в посте? А ведь потом этот пост тем же гуглом уже так просто не найдешь, например

0
 NightLancerX отправил
#comment_75542276

открывай-тестируй, если хочешь потом тут отпишись

0
 L0rdwind отправлено

Шифровальщики сейчас только локальные диски гадят или в сетку тоже лезут?

0
smpl отправлено

привлекать их глупо, скорей всего сайт был взломан и туда просто размещен дроппер

и быдаться с бюджетниками себе дороже

0
 NuAx отправлено

Я не понимаю, почему Windows до сих пор не имеет защиты от шифрования?

0
 Artoshka отправил
Потому что Windows это ОС, которая подчиняется пользователю ("на самом деле нет" хаа) и если пользователь User1 запускает какой либо процесс, ОС покорно выполняет его.

Соответственно файлы, к которым имеет доступ User1 с привилегией чтение/запись/выполнение могут использоваться в этой программе.

Если настроена Винда грамотно, то Юзеры не имеют доступ к системным файлам, к файлам других пользователей и запускать что-либо с повышенными правами.

Если все сидят от админских учеток, то действия пользователя - закон. Хотя основные файлы системы, которые нужны для её работы, даже с правами админа сверх геморно удалять, менять, еще что то делать.

0
 pfsenses отправлено
если пользователь User1 запускает какой либо процесс, ОС покорно выполняет его.

Вы точно хотите удалить этот файл?

Этот файл невозможно удалить. Сделать это при следующей перезагрузке?


Уж кто-кто, а Windows всегда по 10 раз переспрашивает.

-2
 NuAx отправлено

Винда не в состоянии определить что шифруются файлы и предупредить пользователя?

Ок, как мне обезопасить свои фото\видео\музыку\ картинки? Пользуюсь ими постоянно, поэтому нужен полный доступ над ними. Хотя я с win8 еще ни одного вируса не поймал, но всё же.

раскрыть ветвь 1
0
 junkyardowner отправлено

Ха, мне тоже такое вчера пришло, но самое удивительное - от одного моего реального контрагента. То есть название правильное, а контакты не те и подписи в письме нет. Ну мы им звякнули - а там говорят что такое же от нас получили.

0
 sonorron отправлено

Нам тоже присылали что-то похожее. Доступ у сотрудницы был только на свои личные файлы, она только их и похерила. Беглый поиск привёл к тому что вирусы рассылались с украины, а что ты им там напишешь.

0
 dimapupkin отправлено

Сайт разбомбить только могут. К ответственности привлечь сложнее.

0
 KamuiShiro отправлено

Главбуху год назад пришло тоже нечто подобное. Она её открыла и оттуда пришел лютый писец. Всю базу 1С, все документы которые хранились у неё на компе всё это было зашифровано. А к админу она подошла с вопросом а что там иконки другие и ничего не открывается и называется теперь как то странно...

0
 Mshiner отправлено
Все документы хранить на сетевой папке (одно это уже спасает) на сервере с папкой ежедневный бэкап на другую машину. Меня такая система спасает. Правда вчера один юзверь подхватил таки шифровальщик, у него одного из 50 сотрудников документы были на рабочем столе, в нарушение инструкций!
-1
 Ferdiperdozniy отправлено

для этого придумали редирект + квота на хранение - админ тупой

0
 vintt отправлено

Не получится никого найти. Был такой случай.

0
 JadrenBaton отправлено
Увы с такой же гадостью столкнулся на работе. Секретарь получил подобное письмо счастья и пришлось все сносить на её компе. Благо подобная дрянь не разошлась по сетке.
А вот интересно - ключ к расшифровке один единый или своего рода как в генераторе ключей с определённым алгоритмом?
0
 NightLancerX отправил
Так я не понял, в какой момент активируется шифровальщик? При открытии письма? Документа ворда? Клике на картинке в ворде?
0
mrc2004 отправил

Да по разному.

0
InqEisenhorn отправил

Порадовало: имя файла stu.jpg. Продолжение, наверняка, было бы stupid :)

0
 alex7212 отправил

student.jpg

0
 KaiBrunenG отправил

Девчуля на работе поймала, пришло письмо открыла, ну все как у всех. Ключ нашел, зашел на их сайт, смотрю написать можно, попереписывался. Так интересно если честно было. Говорю, а че так дорого то просите, может подешевле, нее говорят фиксированная цена. Говорю вы б лучше в другие страны закидывали, нах своих то соотечиственников. Говорит неам не принципиально.  Пидарги...  

ещё комментарии
0
pikultro отправлено

Использую на работе Kaspesky Endpoint, но такие письма счастья еще ни разу не вылавливались, обычно ростелеком и суды. Не могли бы скинуть на почту для изучения?

+2
 notimer отправил
+1
pikultro отправлено

спасибо огромное.

p.s. каспер не видит, сейчас на виртуалке буду тестить.

раскрыть ветвь 3
0
 IIItepSeLb отправил

Можете ещё раз залить его? Пожалуйста. Для изучения тоже.

Или @pikultro, может вы поможете?

Буду благодарен.

раскрыть ветвь 2
0
 AliisaSelezneva отправила

Прошу прощения, а остался еще файлик? по ссылке уже удален..

0
Puerino отправлено

Ворд, что и похуже может :D, а не только ссылки на шифровальщики содержать.

В следующий раз пусть смотрит в строке состояния подозрительные ссылки.

И версия бухгалтерии почему то старая.

-1
VincentBrony отправил

Попытался перейти на этот адрес, там 404. Ну никак не могу получить то, что в посте. Че не так?

-2
 acapella777 отправил

совет! если совсем нет вариантов, а базы нужны - торгуйтесь с ними!


недавно словили, вся база 1С была зашифрована

ничего не оставалось как заплатить, в результате переговоров с ними сошлись на 0,5 биткоине ( 350$ вместо 1400$ отдали)

+4
 Ferdiperdozniy отправлено

совет - не страдать хуйнёй. За 350 баксов организовать бэкапы не проблема. Как без ботинок зимой ходить, а потом искать способы лечения пациента при смерти.

0
 acapella777 отправил

пока проблема себя не проявила, защита данных никому не усралась

после оплаты, настроили все как положено

раскрыть ветвь 3
-2
 Masterpunk отправил

Текст в картинку! Для чего и зачем, КГАМ!! Как ссылку открывать? Ты о людях думаешь?

-3
 Evangelioner отправил
Отвечу как квалифицированный специалист-эксперт: можете даже не париться. Конечно, есть вариант подвести это под вредонос. С другой стороны, не дождетесь. Не думаю, что кто-то станет запариваться и проводить изъятия и экспертизы ради такой мелочи (а без этого никак).
ещё комментарий


Пожалуйста, войдите в аккаунт или зарегистрируйтесь