Это уже какая-то странно длинная ветка. Но все таки продолжу. Потому это будет не как ответ как пост, а пост отдельный.

Итак, мысль поста в заголовке - никогда не пытайтесь договорится и тем более заплатить террористам. Они вас кинут. Кинут просто потому, что они уже получили от вас то, что хотели, а дальше вы им просто не интересны. Но вернемся к реальности.

Чуть раньше я писал пост о активации хакеров, как следствии - взломов сетей предприятий. На данный момент только я знаю о десятке! Сценарии разные, доступ получали разными способами, где-то сеть была поломана вообще в прошлом году, но серьезная атака началась только сейчас. Обычно это шифрование всего, до чего смогли дотянутся взломщики. Способы разные, основные, внезапно - BitLocker и Loki. Если первый это однозначный захват AD серверов, и их шифрование, а дальше уже можно шифровать все остальное, то второй - захват пользователя с достаточным доступом для шифрования массы данных, так что бы пострадавшему лицу было больно.

Но тут интересна одна из попыток расшифровать данные договорившись с террористами. Итак, все просто, вывод я вам напишу прямо сразу, он уже в заголовке - даже если вы отвалите "хацкерам" 3000 баксов вы нихрена не получите. Почему? Да все просто, хацкеры атаковали с сервера AD, шифровали с сервера AD и убили сервер AD, все, что вам нужно это отправить хацкерам ветку реестра сервера AD, куда вы не можете получить доступ в принципе, потому как хацкеры его зашифровали и "немного ошиблись". И здесь прекрасно все. Как наличие дыр, ладно, это мы пока забудем. Так и реальное решение руководства компании оплатить требования вымогателей. Что-то они получили? Нихера. Особенность Loki заключается в том, что для расшифровки файлов до 2 мегабайт нужно 2 ключа. Первый - это файл который валяется по всем зашифрованным дискам. 2 ключ - это файл который шифровальщик отправил на сервер вымогателей. Но есть файлы больше 2 мегабайт и там начинает работать другой алгоритм, это те же два ключа, но первый записан в реестр той машины с которой шифровали, а второй так же на сервере вымогателей. И тут получилось забавно. Сервер с которого шифровали данные не доступен. Вымогатели все еще могут, технически, расшифровать все файлы до 2 мегабайт. Но...

Они уже получили от вас деньги, потому что без получения денег они и разговаривать с вами не станут. А вот дальше они выяснят, что не могут расшифровать все и потеряют к вам интерес. При чем они даже предложили вернуть деньги, только вот одно... Никто их не вернет. Смысла нет возвращать лоху его бабло. Так что даже не 5 а 10 раз подумайте и не платите никогда. Что бы не писали на "профильных ресурсах", что бы не говорили псевдо эксперты. Это не бизнес! Это терроризм! И работает эта хрень только до тех пор пока кто-то им платит. Когда перестанут, такой тип заработка просто умрет. Ну как-то так. А я жду следующую зашифрованную контору где  нет бекапов оторванных от сети.

В последний месяц наблюдается массовая активация шифровальщиков. Но это не вирусы, это в основном сознательный взлом. И вот там наблюдается очень страшная тенденция.

У меня сейчас было для анализа 4 конторы. Все обратились с "зашифрованными нафиг данными". Где-то это варианты типа Loki, где-то тупо BitLocker. Но странно даже не это. В случае с Loki, атака была через опубликованный в сети комп, где существовал администратор с именем user и паролем user. Локальный, но это уже дало ему право получить доступ к RDP, а дальше можно запускать все, пусть еще на пользовательском компе. Во втором случае все намного интересней, был активирован, непонятным способом, интересный аккаунт DefaultAccount, на сервере Exchange, он смог сменить пароль одной из технических учеток с правами доменного администратора (винда русская, "Администратор" они просто набирать не захотели), и дальше уже шифровали BitLocker от его имени. Третий вариант - пробили пользователя .DOTNET, так же как и в предыдущем случае сумев его активировать, дать ему права админа и удаленный рабочий стол.

Выводы пока самые неутешительные. Атаки идут целенаправленно, в основном в выходные. Ломают быстро и качественно. И очень часто используются либо откровенные дыры в безопасности (первый случай), либо технические учетки, и если первое понятно, то второе вызывает вопросы.

Рекомендации? Убирайте публикацию RDP, только после VPN. Отключайте на фиг локальные учетки в случае работы в доменах. Чистите списки администраторов. Отключайте лишних. Закручивайте гайки по максимуму. Пока так.

1.Система меньше распространена. Проще написать вирус под Windows, чем писать некий мультивирус для всех систем или для Linux.

2.Большинство программ устанавливаются из системного репозитария (а в некоторых ОС еще и после дополнительной проверки и теста пользователями), поэтому подсунуть туда вирус уже сложнее. При установке проверяется хеш-сумма (а в некоторых случаях еще и цифровая подпись) пакета. В Windows очень многие программы устанавливаются с "левых" сайтов или с "файлопомоек". К том же, для многих программ пользователи качают еще и "кряки", которые еще больше увеличивают риск заражения.

3.Установочные файлы программ линукс - это не программы. Сами установочные файлы программ - это просто архивы с файлами, установщик же используется отдельный (tazpkg, например). Поэтому, установочные файлы для линукс намного меньше. Кроме того, любой исполняемый файл необходимо сделать принудительно исполняемым, без этого его невозможно выполнить как программу или скрипт.

4.Мощная система разделения прав. Очень часто программы Windows запрашивают для выполнения "права администратора", в линукс программа получить таких прав не может физически. Без этих прав она не может получить доступа к системному разделу. Для выполнения программы от администратора, в линуксе ее нужно запустить от него "руками". Более того, для выполнения программы из домашней папки, необходимо использовать особый формат запуска.

5.В линуксе нет системного реестра. Поэтому вирусу прописаться некуда, не изменяя сами загрузочные системные файлы (куда доступ обычно строго ограничен). В Windows практически все вирусы прописывают себя в первую очередь в системный реестр и системную автозагрузку.

6.Множество различных дистрибутивов, которые используют свои форматы пакетов, к тому же, как уже говорилось раньше, большинство этих пакетов устанавливается из системных репозитариев.

7.Открытый исходный код большинства компонентов, любой желающий может проанализировать любую программу на наличие в ней "нехороших способностей" или уязвимостей (в том числе намеренных). Код большинства Windows-приложений закрыт, поэтому сложен для анализа.

8.Сама система доступна для свободной загрузки и бесплатного скачивания с официальных сайтов. Windows многие ищут и качают опять же с "файлопомоек", с кучей "кряков" и "допилов от хацкеров

Взято отсюда: https://vk.com/slitazlinux.

P.S. Боянметр молчал.