Не договаривайтесь с террористами
Это уже какая-то странно длинная ветка. Но все таки продолжу. Потому это будет не как ответ как пост, а пост отдельный.
Итак, мысль поста в заголовке - никогда не пытайтесь договорится и тем более заплатить террористам. Они вас кинут. Кинут просто потому, что они уже получили от вас то, что хотели, а дальше вы им просто не интересны. Но вернемся к реальности.
Чуть раньше я писал пост о активации хакеров, как следствии - взломов сетей предприятий. На данный момент только я знаю о десятке! Сценарии разные, доступ получали разными способами, где-то сеть была поломана вообще в прошлом году, но серьезная атака началась только сейчас. Обычно это шифрование всего, до чего смогли дотянутся взломщики. Способы разные, основные, внезапно - BitLocker и Loki. Если первый это однозначный захват AD серверов, и их шифрование, а дальше уже можно шифровать все остальное, то второй - захват пользователя с достаточным доступом для шифрования массы данных, так что бы пострадавшему лицу было больно.
Но тут интересна одна из попыток расшифровать данные договорившись с террористами. Итак, все просто, вывод я вам напишу прямо сразу, он уже в заголовке - даже если вы отвалите "хацкерам" 3000 баксов вы нихрена не получите. Почему? Да все просто, хацкеры атаковали с сервера AD, шифровали с сервера AD и убили сервер AD, все, что вам нужно это отправить хацкерам ветку реестра сервера AD, куда вы не можете получить доступ в принципе, потому как хацкеры его зашифровали и "немного ошиблись". И здесь прекрасно все. Как наличие дыр, ладно, это мы пока забудем. Так и реальное решение руководства компании оплатить требования вымогателей. Что-то они получили? Нихера. Особенность Loki заключается в том, что для расшифровки файлов до 2 мегабайт нужно 2 ключа. Первый - это файл который валяется по всем зашифрованным дискам. 2 ключ - это файл который шифровальщик отправил на сервер вымогателей. Но есть файлы больше 2 мегабайт и там начинает работать другой алгоритм, это те же два ключа, но первый записан в реестр той машины с которой шифровали, а второй так же на сервере вымогателей. И тут получилось забавно. Сервер с которого шифровали данные не доступен. Вымогатели все еще могут, технически, расшифровать все файлы до 2 мегабайт. Но...
Они уже получили от вас деньги, потому что без получения денег они и разговаривать с вами не станут. А вот дальше они выяснят, что не могут расшифровать все и потеряют к вам интерес. При чем они даже предложили вернуть деньги, только вот одно... Никто их не вернет. Смысла нет возвращать лоху его бабло. Так что даже не 5 а 10 раз подумайте и не платите никогда. Что бы не писали на "профильных ресурсах", что бы не говорили псевдо эксперты. Это не бизнес! Это терроризм! И работает эта хрень только до тех пор пока кто-то им платит. Когда перестанут, такой тип заработка просто умрет. Ну как-то так. А я жду следующую зашифрованную контору где нет бекапов оторванных от сети.
Продолжение поста «Небольшое обращение для администраторов сайта»
В последний месяц наблюдается массовая активация шифровальщиков. Но это не вирусы, это в основном сознательный взлом. И вот там наблюдается очень страшная тенденция.
У меня сейчас было для анализа 4 конторы. Все обратились с "зашифрованными нафиг данными". Где-то это варианты типа Loki, где-то тупо BitLocker. Но странно даже не это. В случае с Loki, атака была через опубликованный в сети комп, где существовал администратор с именем user и паролем user. Локальный, но это уже дало ему право получить доступ к RDP, а дальше можно запускать все, пусть еще на пользовательском компе. Во втором случае все намного интересней, был активирован, непонятным способом, интересный аккаунт DefaultAccount, на сервере Exchange, он смог сменить пароль одной из технических учеток с правами доменного администратора (винда русская, "Администратор" они просто набирать не захотели), и дальше уже шифровали BitLocker от его имени. Третий вариант - пробили пользователя .DOTNET, так же как и в предыдущем случае сумев его активировать, дать ему права админа и удаленный рабочий стол.
Выводы пока самые неутешительные. Атаки идут целенаправленно, в основном в выходные. Ломают быстро и качественно. И очень часто используются либо откровенные дыры в безопасности (первый случай), либо технические учетки, и если первое понятно, то второе вызывает вопросы.
Рекомендации? Убирайте публикацию RDP, только после VPN. Отключайте на фиг локальные учетки в случае работы в доменах. Чистите списки администраторов. Отключайте лишних. Закручивайте гайки по максимуму. Пока так.
Задайте вопрос экспертам
На Пикабу можно найти эксперта практически по любой теме. Юриста, технаря, автомеханика, электрика, велосипедиста, менеджера, который каждый день работает с Excel-таблицами, и аллергика со стажем.
Если:
• у вас есть вопрос, на который не получается найти ответ;
• вам нужна консультация эксперта по узкой теме;
• важно получить совет от человека с похожим опытом.
Задайте свой вопрос в специальной ленте и получите ответ (или сразу несколько!) от знатоков своего дела.
Почему линукс менее чувствителен к вирусам?
1.Система меньше распространена. Проще написать вирус под Windows, чем писать некий мультивирус для всех систем или для Linux.
2.Большинство программ устанавливаются из системного репозитария (а в некоторых ОС еще и после дополнительной проверки и теста пользователями), поэтому подсунуть туда вирус уже сложнее. При установке проверяется хеш-сумма (а в некоторых случаях еще и цифровая подпись) пакета. В Windows очень многие программы устанавливаются с "левых" сайтов или с "файлопомоек". К том же, для многих программ пользователи качают еще и "кряки", которые еще больше увеличивают риск заражения.
3.Установочные файлы программ линукс - это не программы. Сами установочные файлы программ - это просто архивы с файлами, установщик же используется отдельный (tazpkg, например). Поэтому, установочные файлы для линукс намного меньше. Кроме того, любой исполняемый файл необходимо сделать принудительно исполняемым, без этого его невозможно выполнить как программу или скрипт.
4.Мощная система разделения прав. Очень часто программы Windows запрашивают для выполнения "права администратора", в линукс программа получить таких прав не может физически. Без этих прав она не может получить доступа к системному разделу. Для выполнения программы от администратора, в линуксе ее нужно запустить от него "руками". Более того, для выполнения программы из домашней папки, необходимо использовать особый формат запуска.
5.В линуксе нет системного реестра. Поэтому вирусу прописаться некуда, не изменяя сами загрузочные системные файлы (куда доступ обычно строго ограничен). В Windows практически все вирусы прописывают себя в первую очередь в системный реестр и системную автозагрузку.
6.Множество различных дистрибутивов, которые используют свои форматы пакетов, к тому же, как уже говорилось раньше, большинство этих пакетов устанавливается из системных репозитариев.
7.Открытый исходный код большинства компонентов, любой желающий может проанализировать любую программу на наличие в ней "нехороших способностей" или уязвимостей (в том числе намеренных). Код большинства Windows-приложений закрыт, поэтому сложен для анализа.
8.Сама система доступна для свободной загрузки и бесплатного скачивания с официальных сайтов. Windows многие ищут и качают опять же с "файлопомоек", с кучей "кряков" и "допилов от хацкеров
Взято отсюда: https://vk.com/slitazlinux.
P.S. Боянметр молчал.
Отключайте Bluetooth, или же уязвимость "BlueBorne"
Всем привет. Наверняка, в вашем телефоне/компьютере/планшете и т.д. есть Bluetooth. Оказывается, если вы его не отключаете в публичных местах это может повлечь за собой серьезные последствия. Например, над вашим телефоном будет полностью перехвачен контроль, а вы и не заметите.
Сначала, злоумышленник смотрит, какие есть устройства со включенным Bluetooth поблизости. Допустим, он нашел ваш телефон. Определяет MAC-адрес и операционную систему, которую вы используете. Далее, он уже может делать все что угодно, лучше всего показывает эту уязвимость данный ролик: https://www.youtube.com/watch?v=Az-l90RCns8 (Пикабу запрещает мне публиковать видео прямо в посте :( )
Из этого всего можно сделать вывод, то что даже если вы используете антивирус, не подключаетесь к публичным Wi-Fi сетям, но забыли выключить Bluetooth, то любой предприимчивый хакер может перехватить контроль над вашим банковским приложением через Bluetooth.
Отключайте Bluetooth, товарищи пикабушники.
PETYA. криптовымогатель. Украина
долбо*бы, хватить юзать шиндовс, вы же, бл*ядь, не только себе проблемы создаете, но и окружающим. полдня, с*ка, бегал пытаясь заплатить или снять с карточки деньги, чтобы пожрать купить.
что на экране: (запускал через virtualbox - наскриншотил коряво, прошу помиловать, в мыши кнопка западает) появляется вот такая псевдо CHKDSK, будто что-то проверяет, а потом...
мечта эпилептика кислотный быстро-мигающий череп и то сообщение об оплате 300 биткойнов, что в заголовке поста
Вирус Petya.A - это модифицированная версия вируса-шифровальщика Petya, который впервые был обнаружен в марте 2016 года.
Основным источником заражения вирусом Petya были ссылки, распространявшиеся по электронной почте и в мессенджерах. Заражение вирусом начинается после скачивания на компьютер специального файла. В ряд компаний Petya.A попал через отделы кадров под видом писем с резюме.
Вредоносный спам содержал ссылку на сервис Dropbox, при активации которой происходила загрузка инсталлятора программы-вымогателя.
После запуска Petya подменял MBR зловредным загрузчиком, который провоцирует перезапуск Windows и отображал на экране имитацию проверки диска (программа CHKDSK). Требование выкупа отображалось жертве до загрузки Windows; пользователю сообщали, что жесткий диск зашифрован, и поясняли, как зайти на некий сайт через анонимную сеть Tor и произвести оплату.
Вирус бесполезен, если на компьютере пользователя установлена Mac OS X или разновидности Linux.
Кого атаковал вирус Petya.A: список компаний и учреждений
Банки:
НБУ;
Ощадбанк; (у меня там карточка, но дибилоиды до сих пор юзают в отделениях Windows XP, я давно ждал этого дня)
Приватбанк;
Южный;
ОТП;
ПУМБ;
ТАСКомерцбанк;
Укргазбанк;
Расчетный центр;
Мега банк, Кристалл банк;
Укрсоцбанк;
Радабанк;
Кредо банк;
Idea банк;
Юнисон;
Первый инвестиционный банк;
Кредит Оптима;
Траст капитал;
Проминвестбанк;
Реконструкции и развития;
Вернум;
Глобус.
Предприятия энергетики, коммунальные:
ДТЭК;
Укрэнерго;
Киевэнерго;
Запорожьеоблэнерго;
Днепровская электроэнергетическая система;
Киевводоканал;
Харьковгаз и другие.
Предприятия инфраструктуры:
Аэропорт "Борисполь";
"Укрзализныця";
Киевский метрополитен и другие.
Сети заправок:
ОККО;
ТНК;
WOG;
KLO;
Shell.
Мобильные операторы:
Киевстар;
Vodafone;
Lifecell.
Медицина:
Компания "Фармак";
Клиника "Борис";
Больница "Феофания" (по неподтвержденным данным).
Будни пользователей linux
Как подготовить машину к долгой поездке
Взять с собой побольше вкусняшек, запасное колесо и знак аварийной остановки. А что сделать еще — посмотрите в нашем чек-листе. Бонусом — маршруты для отдыха, которые можно проехать даже в плохую погоду.
Как не бороться с вирусами
Первый способ, хардкорный.
Второй, чуть-чуть дружелюбнее.
В свете последних событий с РЖД и британскими больницами. Если вашим единственным окном в компьютере является Пикабу в Хроме (яндексе, мозилле, опере)... А вторым -- вконтакте (одноклассники?)... Да если вы ещё и с техническим образованием или складом ума (характера)... Тогда практически любой Линукс позволит забыть о вирусах.
P.S. Появятся другие сложности :) Зато халява, и употреблять пиратское не надо.