Comments 68
"пока Locky детектится всего 5 антивирусами из 54 протестированных" — исключительно на момент тестирования, https://www.virustotal.com/ru/file/f56655bfbd1be9eab245dc283b7c71991881a845f3caf8fb930f7baabae51059/analysis/ — 23/54 на другом семпле. Надо заметить, что результаты VT без прямой ссылки или хэша файла — плохо.
+1
Значит все уже не так плохо.
0
Нет-нет-нет, результаты VT без прямой ссылки или хэша файла — это очень хорошо, потому что это данные на момент проведения атаки.
А от того, что через два дня образец будет детектироваться 50 антивирусами, никому лучше не становится — все данные к этому моменту уже зашифрованы.
А от того, что через два дня образец будет детектироваться 50 антивирусами, никому лучше не становится — все данные к этому моменту уже зашифрованы.
+3
Ага, только что тестировалось никто не знает кроме авторов скриншота. Подтасовать результаты в пользу того или иного вендора — как два пальца об асфальт. К тому же, если посмотрите на ссылку приведенную мной, там указана и дата и время анализа, а кнопочки "повторить анализ" как раз и нет.
+3
Ну здесь остается только верить авторам скриншота. Можно, конечно, воспользоваться archive.org...
+1
Ну не все, положим. Хотя *.pas файлов будет жалко, но в целом, он мало что шифрует — только мусор всякий.
-6
Потеря .dbf для многих компаний будет равнозначна потере нескольких десятков, если не сотен миллионов рублей. Года до 2005 эти базы данных были чуть ли не самыми популярными в сфере госуслуг и обслуживания промышленности. А вот .h и .java шифровать как раз глупо, так как даже самые отсталые ИТшники используют системы контроля версий, и это будет стрельба по пушкам из воробья.
0
Сам файлик (r34f3345g.exe) детектируется многими антивирусами
0
А откуда уверенность что это тот же файл, что и у автора поста был?
0
ссылка с картинки в посте — черный пояс по гуглу — виртуальная машина с виресшарком и процес монитором — вирустотал, а там я узнал что такой файл уже загружали и почитал комментарии (ссылка сверху что я давал) и там уже статейка.
Из статьи так и не понял как они logstalgia прикрутили и с чего каждый запрос это отдельный случай заражения?
Да сайтик у зловреда изменился.
Из статьи так и не понял как они logstalgia прикрутили и с чего каждый запрос это отдельный случай заражения?
0
Если зараза копируется в %TEMP%, то SRP/Applocker обойти не сможет, да и непрозрачный прокси с аутентификацией создает дополнительный барьер защиты.
Макрос работает в LibreOffice?
Макрос работает в LibreOffice?
0
Мне, кстати, всегда было не очень понятно, почему нельзя запихать прямо в макрос все — и шифрование, и отправку данных на C&C-сервер, и вывод сообщения с инструкцией об оплате.
0
Слишком жирный макрос получится
0
А разве есть технические ограничения на размер макросов?
Потому что писать загрузчик, обходить МЭ, держать управляющий сервер… Все это — такая головная боль должна быть...)
Потому что писать загрузчик, обходить МЭ, держать управляющий сервер… Все это — такая головная боль должна быть...)
0
Тогда гораздо меньше людей будет скачивать такой документ. Неужели у вас не вызовет подозрение счёт размером в несколько мегабайт ?
0
Это вряд ли.
"Если документ отображается некорректно — отключите антивирус и разрешите запуск макросов" — даже такое никаких подозрений не вызывает (пример). Что уж тут о размере файла говорить...))
"Если документ отображается некорректно — отключите антивирус и разрешите запуск макросов" — даже такое никаких подозрений не вызывает (пример). Что уж тут о размере файла говорить...))
0
Чтобы свежая версия тащилась и меньше вариантов детекта было?
0
А он не завершится автоматически с закрытием документа?
0
«Как говорится, лучшая контрацепция — это воздержание, поэтому пока лучшим способом уберечь себя от Locky является удаление или игнорирование писем от неизвестных адресатов и запрет на выполнение макросов в MS Office.»
Вот вы бы написали ещё, как именно он работает, со всеми расширениями, там же не только exe
«Изначально загруженный файл, из которого и производится дальнейшая установка Locky, хранится в папке %Temp%, однако, после старта шифрования пользовательских данных он удаляется. „
И как именно корректнее всего настроить GPO для работы с макросами?)
Вот вы бы написали ещё, как именно он работает, со всеми расширениями, там же не только exe
«Изначально загруженный файл, из которого и производится дальнейшая установка Locky, хранится в папке %Temp%, однако, после старта шифрования пользовательских данных он удаляется. „
И как именно корректнее всего настроить GPO для работы с макросами?)
0
Жесткие варианты, но спасибо)
0
Есть еще вариант — запретить выполнение (через gpedit.msc) изо всяких мест вроде temp, за исключением разрешенного софта. Да, это добавит немножко геморроя админам, но позволит определенному юзеру использовать макросы, если они ему действительно необходимы в работе.
0
Вот оказывается как эта шляпа называется… За последние три дня ну просто заколебали присылать свои смешные письма, по 30 штук в день сыпется с просьбой открыть их файлы. Хочется уже просто открыть наконец, только чтобы заткнуть чертов почтовый нотификатор о входящих.
0
UFO just landed and posted this here
Есть один бухгалтер, которому пришло письмо. В письме прямо пишут, что на файл ругается антивирус, но Вы его отключите и запустит exe файл. В нем Счет. Угу. Бухгалтер продвинутый все сделала. Теперь чешут затылок что с этим всем делать.
+1
+1
Про случай что я рассказал — глупость и жадность. Жадность полечили поставили антивирус и купили лицензии про глупость разъяснили. Вот только думаю что придет ей вот такое новое решение и все. Благо каспер сейчас уже реагирует на зловред.
0
UFO just landed and posted this here
на старые версии, которые уже не встретишь в природене соглашусь. Тот же зловред из статьи до сих пор рассылается по почте, но шансов у него уже меньше. Да в начале эпидемии антивирусные системы не спасут, но именно они приводят их (эпидемии) к логическому завершению.
+1
UFO just landed and posted this here
Как пользователь — у меня нет антивирусника и не было. Как специалиста — приходится в начале каждой эпидемии разгребать и беседовать с горе пользователями (кто дома поймал и сглупил, кто в фирме в которой не уделяют должного внимания безопасности) и вот тут как раз надеешься что вот вот сигнатуры попадут в базу и добрая половина будет спать спокойно до следующего аляйса. Да понятно что антивирус не панацея, но утверждать что он не нужен — это тоже неправильно. Он не нужен тем кто понимает что он делает и где он это делает, а так же тем кто способен среагировать в нештатной ситуации. Да и вирусы могут быть запущены не вами, а добрым человеком, что тогда?
+1
Единственным запрещающим знаком является бетонная плита посреди дороги. Все остальные — лишь предупреждающие...
+5
Бюджетники присылают сметы, которые тыква без макросов. Нефтезавод звал участвовать в строительстве, надо было заполнить форму в экселе, где все на макросах, еще таких случаев точно было несколько штук, такое бывает, что реализовано на макросах и вот в этот момент офис ругается точно так же, мол типа аккуратно, файл может быть с вирусом, все дела… другое дело мы ждали этих писем, но прецендент, меня спросили
— Здесь просто разноцветный фон и написано, что надо включить макросы, что делать?
— Ну если доверяете файлу, то включите там то.
В следующий раз, они точно включат сами, ничего не спрашивая.
— Здесь просто разноцветный фон и написано, что надо включить макросы, что делать?
— Ну если доверяете файлу, то включите там то.
В следующий раз, они точно включат сами, ничего не спрашивая.
0
Ну и что? Офис любые скачанные файлы открывает в protected view и пишет про вирусы. Первое, что все делают (и я в том числе :( ) — отключают этот голимый режим, ибо работать в нем толком невозможно (даже полосу прокрутки зачем-то убирают по умолчанию).
В общем, очередная история про мальчика, которые кричал "Волки!".
В общем, очередная история про мальчика, которые кричал "Волки!".
0
Только что проверил касперским файл, который прилетел пару дней назад, и который я уже отправлял им на анализ.
По-прежнему не детектится.
Что-то они мышей не ловят...
По-прежнему не детектится.
Что-то они мышей не ловят...
0
У девушки на работе все .docx документы были зашифрованы, только вирус не переименовывал файлы, а дописывал в конце расширение .micro
0
вчера и сегодня получил подобное письмо
0
Ну почему, почему никто не не хочет сделать всего двухшаговую операцию:
- Запрет (локальными политиками) обычному пользователю писать в папки, откуда что-то запускается (Program Files и т.п.)
- Запрет запуск чего-бы то ни было из папок, куда пользователю можно писать (temp, папка с профилем и.т.п.)
ВСЁ.
0
- Решается не политиками, а отбиранием у юзера админских прав.
- Запрет на запуск отовсюду, кроме двух-трех папок: %Windir% и %ProgramFiles +(x86)%
0
Вы явно не работаете с ПО созданным в России для гос. компаний. Там нередко только с полным доступом работает
0
Любое ПО можно настроить для работы с отграниченными правами. Ознакомьтесь
0
Вот смотрите есть ПО для гос. торгов (бухгалтерам нужно). Программа ставится только в %UserProfile%, вопросов не задает, так что запуская под админом установщик она установится в юзерпрофиль администратора, установщик запрашивает привелигированные права — так что ставить из под обычного пользователя в его юзерпрофиль не получается и всегда внезапно появляется обновление программы (так что его даже в распорядок обновлений не включить) и обновление выполняет запуск из Temp скачанного файла установщика. Замкнутый круг почти. И что с таким делать?
+1
Любое обновление — только через визит (или radmin) администратора. С прогонкой любого полученного update.exe через 2 различных антивируса (на компе юзера и сервера).
На вопросы буха "а чё так сложно то всё? вон Люся из "Рога и копыта" сама всё делает..." — отвечать: $800 готовы платить за расшифровку?
(это всё — если фирма не "однодневка", где требуется долговременная стабильная работа IT)
На вопросы буха "а чё так сложно то всё? вон Люся из "Рога и копыта" сама всё делает..." — отвечать: $800 готовы платить за расшифровку?
(это всё — если фирма не "однодневка", где требуется долговременная стабильная работа IT)
+1
Так и было сделано, но потом первая рабочая задержка, жалоба директору и директор не вникая в суть пишет указание сделать так, чтоб все работало моментально. Суровая реальность гос. контор.
+1
Нифига. Если гос.контора — значит есть какая-никакая служба безопасности, пойти к ним — обрисовать ситуацию, угрозы. Найти нормативку (которой у безопасности более чем много) — на стол директору: "не могём-с, ибо вот..."
Используем оружие так сказать, "противника"...
Используем оружие так сказать, "противника"...
0
Вот именно, что суровая реальность госконтор позволяет писать бумажки, которые прикрывают тыл. Больше бумаг, чище жопа. Пишите на имя того же директора, так мол и так, сильно вырастает опасность заражения, потому-то потому-то, чтобы повысить безопасность надо то-то и то-то, а если не сделать, то может быть так-то и так-то, что приведет к простоям в любом случае, возможной безвозвратной потере данных и вероятной необходимости выплаты денег мошенникам. Если отказ, то ваш зад прикрыт бумагой, а начальник ССЗБ
+1
Зад, прикрытый бумагой, мне кажется, довольно уязвимым
0
Заявление в свободной форме. Пишите на гранитных табличках или гравируйте металлические пластины. Боюсь, только, что полная защита зада не поместится на вашем рабочем месте.
0
Зад бумагой прикрыт, все уже описано, и да, он не чувствует особой защиты в виде бумаги. И безопасников тоже нету. Даже лекцию на эту тему уже проводили. Пользователи не заинтересованы, их позиция простая — даже если все потеряем зарплату все равно будут платить, бюджетники ведь. Впрочем уже год назад понял, что неблагодарное это дело — исправлять там, где всех всё устраивает. Мой планируемый срок подходит к концу.
P.S. все же, несмотря на то, что пришлось бухгалтерам выключить эту политику, продолжает работать компонент монитора активности в антивирусе касперского. Решение интересное по своей логике, блокируя недовереным приложениям сетевую активность должно тем самым воспрепятствовать связи потенциального шифратора со своим сервером и получению ключа шифрования. Этот комментарий больше относится к тем, кто говорит, что антивирусы бесполезны и на момент эпидемии не содержат сигнатур.
P.S. все же, несмотря на то, что пришлось бухгалтерам выключить эту политику, продолжает работать компонент монитора активности в антивирусе касперского. Решение интересное по своей логике, блокируя недовереным приложениям сетевую активность должно тем самым воспрепятствовать связи потенциального шифратора со своим сервером и получению ключа шифрования. Этот комментарий больше относится к тем, кто говорит, что антивирусы бесполезны и на момент эпидемии не содержат сигнатур.
0
Доступ на запись и запуск ограничивается и для админов тоже. При серьёзном обновлении ПО — временно отключается (автоматизированно, батником)
0
почему люди вообще не сидят в sandbox-ах? (почему это вообще не встроено в винду по умолчанию?)
Иметь свою голову конечно хорошо но программы в отличии от например опасной бритвы нельзя вот так просто повертеть в руках и оценить их вредоносность.
Нужно просто сделать как в андройд чтобы у каждого приложения был бы набор «прав» на взаимодействия с теми или иными частями системы. Но не так чтобы он единожды спрашивал перед установкой, а так чтобы это задавалось в настройках самого фаила ( как в линукс с правом запуска) причём именно самим пользователем. Но при этом чтобы программа всё равно могла бы запускаться и работать без дополнительных прав — например:
при запуске будет создаваться установленное заранее по размеру окно (только одно и будет зависеть от размеров экрана и личных предпочтений пользователя — не больше и не меньше) и будет по умолчанию разрешено чтение и запись (!) но только в ту же папку где установлено само приложение. В идеале само приложение и должно быть папкой. *(точнее система его так должна отображать) с возможностью запуска.
Способ работы будет примерно такой: например вы скачали программу word с интернета. Она отображается как папка, вы копируете (сам виндовый гуй по умолчанию имеет все права) фаил который хотите редактировать прямо в эту папку. Затем выбираете из контекстового меню запуск этой папки и по умолчанию запускается программа которая в ней (в данном случае word). При попытки выбора в меню word открыть фаил будет стандартное меню windows но в котором будет отображаться ТОЛЬКО содержимое папки word. т.е. word вообще не будет знать о том что папка word не является корнем. Зато в ней он сможет не только читать но и писать, а затем пользователь сможет просто скопировать отредактированный фаил в нужную ему папку.
Установка программ будет как в macbook простым копированием папки программы.
И всё. А если ему понадобятся какие то конкретные права пользователь мог бы назначить их в свойствах фаилов. Только самих прав должно быть гораздо больше начиная от разрешения создавать окна на весь экран и заканчивая возможностью управления за вас мышкой и читать\писать\видеть пользовательские фаилы и как бы супер право видеть\редактировать фаилы самой системы.
Иметь свою голову конечно хорошо но программы в отличии от например опасной бритвы нельзя вот так просто повертеть в руках и оценить их вредоносность.
Нужно просто сделать как в андройд чтобы у каждого приложения был бы набор «прав» на взаимодействия с теми или иными частями системы. Но не так чтобы он единожды спрашивал перед установкой, а так чтобы это задавалось в настройках самого фаила ( как в линукс с правом запуска) причём именно самим пользователем. Но при этом чтобы программа всё равно могла бы запускаться и работать без дополнительных прав — например:
при запуске будет создаваться установленное заранее по размеру окно (только одно и будет зависеть от размеров экрана и личных предпочтений пользователя — не больше и не меньше) и будет по умолчанию разрешено чтение и запись (!) но только в ту же папку где установлено само приложение. В идеале само приложение и должно быть папкой. *(точнее система его так должна отображать) с возможностью запуска.
Способ работы будет примерно такой: например вы скачали программу word с интернета. Она отображается как папка, вы копируете (сам виндовый гуй по умолчанию имеет все права) фаил который хотите редактировать прямо в эту папку. Затем выбираете из контекстового меню запуск этой папки и по умолчанию запускается программа которая в ней (в данном случае word). При попытки выбора в меню word открыть фаил будет стандартное меню windows но в котором будет отображаться ТОЛЬКО содержимое папки word. т.е. word вообще не будет знать о том что папка word не является корнем. Зато в ней он сможет не только читать но и писать, а затем пользователь сможет просто скопировать отредактированный фаил в нужную ему папку.
Установка программ будет как в macbook простым копированием папки программы.
И всё. А если ему понадобятся какие то конкретные права пользователь мог бы назначить их в свойствах фаилов. Только самих прав должно быть гораздо больше начиная от разрешения создавать окна на весь экран и заканчивая возможностью управления за вас мышкой и читать\писать\видеть пользовательские фаилы и как бы супер право видеть\редактировать фаилы самой системы.
+1
Слушайте, ну чтобы запустить макрос в файле, полученном по электронной почте, в Microsoft Office последних версий надо очень, очень расстараться. Он же костьми ложится, чтобы помешать вам выстрелить себе в коленку.
А вот админы, которые политиками не запрещают пользователю запускать файлы откуда либо, кроме %SystemDrive%\Windows и %SystemDrive%\Program Files — сами себе злобные Буратины.
А вот админы, которые политиками не запрещают пользователю запускать файлы откуда либо, кроме %SystemDrive%\Windows и %SystemDrive%\Program Files — сами себе злобные Буратины.
+1
Только с утра прочитал статью, как в этот же день пришлось столкнуться с описанным троянцем. Правда, админ потерпевшей стороны уверял, что заражение произошло без открытия приложения: У пользователя в Outlook исполнение JavaScript в теле письма было разрешено по умолчанию...
+1
«У пользователя в Outlook исполнение JavaScript в теле письма было разрешено по умолчанию...»
Это как так? Т.е. в аутлуке а) включен автоматический предпросмотр доков MS Office и б) в предпросмотре автоматом выполнился скрипт?
Жесть какая.
Это как так? Т.е. в аутлуке а) включен автоматический предпросмотр доков MS Office и б) в предпросмотре автоматом выполнился скрипт?
Жесть какая.
0
Да-да. Скажу больше, на многих конторах, что активно работают с документацией, это включено, т.к. экономят на оборудовании. Машины хорошо если 2010 года выпуска, а то и ноуты на кастратах i3 2 серии с 2-4 гигами оперативы, а то и на Duo.
0
Честно говоря, я сам удивился, когда услышал это. Даже подумал, что админ таким образом выгораживает пользователя, который всё-таки открыл приложение. Во всяком случае, мне это показалось более вероятным, чем подобная настройка почтового клиента в корпоративной среде. С другой стороны, медицинские учреждения часто не придают должного значения ИБ.
0
Так вот на что у меня Кыся ругалась дня три назад, когда я почту чистил. А я всё сидел и думал: давненько мне в спам вирусов не слали XD
0
Sign up to leave a comment.
Новый криптовымогатель «Locky»