Comments 68
"пока Locky детектится всего 5 антивирусами из 54 протестированных" — исключительно на момент тестирования, https://www.virustotal.com/ru/file/f56655bfbd1be9eab245dc283b7c71991881a845f3caf8fb930f7baabae51059/analysis/ — 23/54 на другом семпле. Надо заметить, что результаты VT без прямой ссылки или хэша файла — плохо.
Значит все уже не так плохо.
Нет-нет-нет, результаты VT без прямой ссылки или хэша файла — это очень хорошо, потому что это данные на момент проведения атаки.
А от того, что через два дня образец будет детектироваться 50 антивирусами, никому лучше не становится — все данные к этому моменту уже зашифрованы.
А от того, что через два дня образец будет детектироваться 50 антивирусами, никому лучше не становится — все данные к этому моменту уже зашифрованы.
Ага, только что тестировалось никто не знает кроме авторов скриншота. Подтасовать результаты в пользу того или иного вендора — как два пальца об асфальт. К тому же, если посмотрите на ссылку приведенную мной, там указана и дата и время анализа, а кнопочки "повторить анализ" как раз и нет.
Ну не все, положим. Хотя *.pas файлов будет жалко, но в целом, он мало что шифрует — только мусор всякий.
Потеря .dbf для многих компаний будет равнозначна потере нескольких десятков, если не сотен миллионов рублей. Года до 2005 эти базы данных были чуть ли не самыми популярными в сфере госуслуг и обслуживания промышленности. А вот .h и .java шифровать как раз глупо, так как даже самые отсталые ИТшники используют системы контроля версий, и это будет стрельба по пушкам из воробья.
Сам файлик (r34f3345g.exe) детектируется многими антивирусами
А откуда уверенность что это тот же файл, что и у автора поста был?
ссылка с картинки в посте — черный пояс по гуглу — виртуальная машина с виресшарком и процес монитором — вирустотал, а там я узнал что такой файл уже загружали и почитал комментарии (ссылка сверху что я давал) и там уже статейка.
Из статьи так и не понял как они logstalgia прикрутили и с чего каждый запрос это отдельный случай заражения?
Да сайтик у зловреда изменился.
Из статьи так и не понял как они logstalgia прикрутили и с чего каждый запрос это отдельный случай заражения?
Если зараза копируется в %TEMP%, то SRP/Applocker обойти не сможет, да и непрозрачный прокси с аутентификацией создает дополнительный барьер защиты.
Макрос работает в LibreOffice?
Макрос работает в LibreOffice?
Мне, кстати, всегда было не очень понятно, почему нельзя запихать прямо в макрос все — и шифрование, и отправку данных на C&C-сервер, и вывод сообщения с инструкцией об оплате.
Слишком жирный макрос получится
А разве есть технические ограничения на размер макросов?
Потому что писать загрузчик, обходить МЭ, держать управляющий сервер… Все это — такая головная боль должна быть...)
Потому что писать загрузчик, обходить МЭ, держать управляющий сервер… Все это — такая головная боль должна быть...)
Тогда гораздо меньше людей будет скачивать такой документ. Неужели у вас не вызовет подозрение счёт размером в несколько мегабайт ?
Это вряд ли.
"Если документ отображается некорректно — отключите антивирус и разрешите запуск макросов" — даже такое никаких подозрений не вызывает (пример). Что уж тут о размере файла говорить...))
"Если документ отображается некорректно — отключите антивирус и разрешите запуск макросов" — даже такое никаких подозрений не вызывает (пример). Что уж тут о размере файла говорить...))
Чтобы свежая версия тащилась и меньше вариантов детекта было?
А он не завершится автоматически с закрытием документа?
«Как говорится, лучшая контрацепция — это воздержание, поэтому пока лучшим способом уберечь себя от Locky является удаление или игнорирование писем от неизвестных адресатов и запрет на выполнение макросов в MS Office.»
Вот вы бы написали ещё, как именно он работает, со всеми расширениями, там же не только exe
«Изначально загруженный файл, из которого и производится дальнейшая установка Locky, хранится в папке %Temp%, однако, после старта шифрования пользовательских данных он удаляется. „
И как именно корректнее всего настроить GPO для работы с макросами?)
Вот вы бы написали ещё, как именно он работает, со всеми расширениями, там же не только exe
«Изначально загруженный файл, из которого и производится дальнейшая установка Locky, хранится в папке %Temp%, однако, после старта шифрования пользовательских данных он удаляется. „
И как именно корректнее всего настроить GPO для работы с макросами?)
Жесткие варианты, но спасибо)
Есть еще вариант — запретить выполнение (через gpedit.msc) изо всяких мест вроде temp, за исключением разрешенного софта. Да, это добавит немножко геморроя админам, но позволит определенному юзеру использовать макросы, если они ему действительно необходимы в работе.
Вот оказывается как эта шляпа называется… За последние три дня ну просто заколебали присылать свои смешные письма, по 30 штук в день сыпется с просьбой открыть их файлы. Хочется уже просто открыть наконец, только чтобы заткнуть чертов почтовый нотификатор о входящих.
UFO just landed and posted this here
Есть один бухгалтер, которому пришло письмо. В письме прямо пишут, что на файл ругается антивирус, но Вы его отключите и запустит exe файл. В нем Счет. Угу. Бухгалтер продвинутый все сделала. Теперь чешут затылок что с этим всем делать.
Про случай что я рассказал — глупость и жадность. Жадность полечили поставили антивирус и купили лицензии про глупость разъяснили. Вот только думаю что придет ей вот такое новое решение и все. Благо каспер сейчас уже реагирует на зловред.
UFO just landed and posted this here
на старые версии, которые уже не встретишь в природене соглашусь. Тот же зловред из статьи до сих пор рассылается по почте, но шансов у него уже меньше. Да в начале эпидемии антивирусные системы не спасут, но именно они приводят их (эпидемии) к логическому завершению.
UFO just landed and posted this here
Как пользователь — у меня нет антивирусника и не было. Как специалиста — приходится в начале каждой эпидемии разгребать и беседовать с горе пользователями (кто дома поймал и сглупил, кто в фирме в которой не уделяют должного внимания безопасности) и вот тут как раз надеешься что вот вот сигнатуры попадут в базу и добрая половина будет спать спокойно до следующего аляйса. Да понятно что антивирус не панацея, но утверждать что он не нужен — это тоже неправильно. Он не нужен тем кто понимает что он делает и где он это делает, а так же тем кто способен среагировать в нештатной ситуации. Да и вирусы могут быть запущены не вами, а добрым человеком, что тогда?
Единственным запрещающим знаком является бетонная плита посреди дороги. Все остальные — лишь предупреждающие...
Бюджетники присылают сметы, которые тыква без макросов. Нефтезавод звал участвовать в строительстве, надо было заполнить форму в экселе, где все на макросах, еще таких случаев точно было несколько штук, такое бывает, что реализовано на макросах и вот в этот момент офис ругается точно так же, мол типа аккуратно, файл может быть с вирусом, все дела… другое дело мы ждали этих писем, но прецендент, меня спросили
— Здесь просто разноцветный фон и написано, что надо включить макросы, что делать?
— Ну если доверяете файлу, то включите там то.
В следующий раз, они точно включат сами, ничего не спрашивая.
— Здесь просто разноцветный фон и написано, что надо включить макросы, что делать?
— Ну если доверяете файлу, то включите там то.
В следующий раз, они точно включат сами, ничего не спрашивая.
Ну и что? Офис любые скачанные файлы открывает в protected view и пишет про вирусы. Первое, что все делают (и я в том числе :( ) — отключают этот голимый режим, ибо работать в нем толком невозможно (даже полосу прокрутки зачем-то убирают по умолчанию).
В общем, очередная история про мальчика, которые кричал "Волки!".
В общем, очередная история про мальчика, которые кричал "Волки!".
Только что проверил касперским файл, который прилетел пару дней назад, и который я уже отправлял им на анализ.
По-прежнему не детектится.
Что-то они мышей не ловят...
По-прежнему не детектится.
Что-то они мышей не ловят...
У девушки на работе все .docx документы были зашифрованы, только вирус не переименовывал файлы, а дописывал в конце расширение .micro
вчера и сегодня получил подобное письмо
Ну почему, почему никто не не хочет сделать всего двухшаговую операцию:
- Запрет (локальными политиками) обычному пользователю писать в папки, откуда что-то запускается (Program Files и т.п.)
- Запрет запуск чего-бы то ни было из папок, куда пользователю можно писать (temp, папка с профилем и.т.п.)
ВСЁ.
- Решается не политиками, а отбиранием у юзера админских прав.
- Запрет на запуск отовсюду, кроме двух-трех папок: %Windir% и %ProgramFiles +(x86)%
Вы явно не работаете с ПО созданным в России для гос. компаний. Там нередко только с полным доступом работает
Любое ПО можно настроить для работы с отграниченными правами. Ознакомьтесь
Вот смотрите есть ПО для гос. торгов (бухгалтерам нужно). Программа ставится только в %UserProfile%, вопросов не задает, так что запуская под админом установщик она установится в юзерпрофиль администратора, установщик запрашивает привелигированные права — так что ставить из под обычного пользователя в его юзерпрофиль не получается и всегда внезапно появляется обновление программы (так что его даже в распорядок обновлений не включить) и обновление выполняет запуск из Temp скачанного файла установщика. Замкнутый круг почти. И что с таким делать?
Любое обновление — только через визит (или radmin) администратора. С прогонкой любого полученного update.exe через 2 различных антивируса (на компе юзера и сервера).
На вопросы буха "а чё так сложно то всё? вон Люся из "Рога и копыта" сама всё делает..." — отвечать: $800 готовы платить за расшифровку?
(это всё — если фирма не "однодневка", где требуется долговременная стабильная работа IT)
На вопросы буха "а чё так сложно то всё? вон Люся из "Рога и копыта" сама всё делает..." — отвечать: $800 готовы платить за расшифровку?
(это всё — если фирма не "однодневка", где требуется долговременная стабильная работа IT)
Так и было сделано, но потом первая рабочая задержка, жалоба директору и директор не вникая в суть пишет указание сделать так, чтоб все работало моментально. Суровая реальность гос. контор.
Нифига. Если гос.контора — значит есть какая-никакая служба безопасности, пойти к ним — обрисовать ситуацию, угрозы. Найти нормативку (которой у безопасности более чем много) — на стол директору: "не могём-с, ибо вот..."
Используем оружие так сказать, "противника"...
Используем оружие так сказать, "противника"...
Вот именно, что суровая реальность госконтор позволяет писать бумажки, которые прикрывают тыл. Больше бумаг, чище жопа. Пишите на имя того же директора, так мол и так, сильно вырастает опасность заражения, потому-то потому-то, чтобы повысить безопасность надо то-то и то-то, а если не сделать, то может быть так-то и так-то, что приведет к простоям в любом случае, возможной безвозвратной потере данных и вероятной необходимости выплаты денег мошенникам. Если отказ, то ваш зад прикрыт бумагой, а начальник ССЗБ
Зад, прикрытый бумагой, мне кажется, довольно уязвимым
Заявление в свободной форме. Пишите на гранитных табличках или гравируйте металлические пластины. Боюсь, только, что полная защита зада не поместится на вашем рабочем месте.
Зад бумагой прикрыт, все уже описано, и да, он не чувствует особой защиты в виде бумаги. И безопасников тоже нету. Даже лекцию на эту тему уже проводили. Пользователи не заинтересованы, их позиция простая — даже если все потеряем зарплату все равно будут платить, бюджетники ведь. Впрочем уже год назад понял, что неблагодарное это дело — исправлять там, где всех всё устраивает. Мой планируемый срок подходит к концу.
P.S. все же, несмотря на то, что пришлось бухгалтерам выключить эту политику, продолжает работать компонент монитора активности в антивирусе касперского. Решение интересное по своей логике, блокируя недовереным приложениям сетевую активность должно тем самым воспрепятствовать связи потенциального шифратора со своим сервером и получению ключа шифрования. Этот комментарий больше относится к тем, кто говорит, что антивирусы бесполезны и на момент эпидемии не содержат сигнатур.
P.S. все же, несмотря на то, что пришлось бухгалтерам выключить эту политику, продолжает работать компонент монитора активности в антивирусе касперского. Решение интересное по своей логике, блокируя недовереным приложениям сетевую активность должно тем самым воспрепятствовать связи потенциального шифратора со своим сервером и получению ключа шифрования. Этот комментарий больше относится к тем, кто говорит, что антивирусы бесполезны и на момент эпидемии не содержат сигнатур.
Доступ на запись и запуск ограничивается и для админов тоже. При серьёзном обновлении ПО — временно отключается (автоматизированно, батником)
почему люди вообще не сидят в sandbox-ах? (почему это вообще не встроено в винду по умолчанию?)
Иметь свою голову конечно хорошо но программы в отличии от например опасной бритвы нельзя вот так просто повертеть в руках и оценить их вредоносность.
Нужно просто сделать как в андройд чтобы у каждого приложения был бы набор «прав» на взаимодействия с теми или иными частями системы. Но не так чтобы он единожды спрашивал перед установкой, а так чтобы это задавалось в настройках самого фаила ( как в линукс с правом запуска) причём именно самим пользователем. Но при этом чтобы программа всё равно могла бы запускаться и работать без дополнительных прав — например:
при запуске будет создаваться установленное заранее по размеру окно (только одно и будет зависеть от размеров экрана и личных предпочтений пользователя — не больше и не меньше) и будет по умолчанию разрешено чтение и запись (!) но только в ту же папку где установлено само приложение. В идеале само приложение и должно быть папкой. *(точнее система его так должна отображать) с возможностью запуска.
Способ работы будет примерно такой: например вы скачали программу word с интернета. Она отображается как папка, вы копируете (сам виндовый гуй по умолчанию имеет все права) фаил который хотите редактировать прямо в эту папку. Затем выбираете из контекстового меню запуск этой папки и по умолчанию запускается программа которая в ней (в данном случае word). При попытки выбора в меню word открыть фаил будет стандартное меню windows но в котором будет отображаться ТОЛЬКО содержимое папки word. т.е. word вообще не будет знать о том что папка word не является корнем. Зато в ней он сможет не только читать но и писать, а затем пользователь сможет просто скопировать отредактированный фаил в нужную ему папку.
Установка программ будет как в macbook простым копированием папки программы.
И всё. А если ему понадобятся какие то конкретные права пользователь мог бы назначить их в свойствах фаилов. Только самих прав должно быть гораздо больше начиная от разрешения создавать окна на весь экран и заканчивая возможностью управления за вас мышкой и читать\писать\видеть пользовательские фаилы и как бы супер право видеть\редактировать фаилы самой системы.
Иметь свою голову конечно хорошо но программы в отличии от например опасной бритвы нельзя вот так просто повертеть в руках и оценить их вредоносность.
Нужно просто сделать как в андройд чтобы у каждого приложения был бы набор «прав» на взаимодействия с теми или иными частями системы. Но не так чтобы он единожды спрашивал перед установкой, а так чтобы это задавалось в настройках самого фаила ( как в линукс с правом запуска) причём именно самим пользователем. Но при этом чтобы программа всё равно могла бы запускаться и работать без дополнительных прав — например:
при запуске будет создаваться установленное заранее по размеру окно (только одно и будет зависеть от размеров экрана и личных предпочтений пользователя — не больше и не меньше) и будет по умолчанию разрешено чтение и запись (!) но только в ту же папку где установлено само приложение. В идеале само приложение и должно быть папкой. *(точнее система его так должна отображать) с возможностью запуска.
Способ работы будет примерно такой: например вы скачали программу word с интернета. Она отображается как папка, вы копируете (сам виндовый гуй по умолчанию имеет все права) фаил который хотите редактировать прямо в эту папку. Затем выбираете из контекстового меню запуск этой папки и по умолчанию запускается программа которая в ней (в данном случае word). При попытки выбора в меню word открыть фаил будет стандартное меню windows но в котором будет отображаться ТОЛЬКО содержимое папки word. т.е. word вообще не будет знать о том что папка word не является корнем. Зато в ней он сможет не только читать но и писать, а затем пользователь сможет просто скопировать отредактированный фаил в нужную ему папку.
Установка программ будет как в macbook простым копированием папки программы.
И всё. А если ему понадобятся какие то конкретные права пользователь мог бы назначить их в свойствах фаилов. Только самих прав должно быть гораздо больше начиная от разрешения создавать окна на весь экран и заканчивая возможностью управления за вас мышкой и читать\писать\видеть пользовательские фаилы и как бы супер право видеть\редактировать фаилы самой системы.
Слушайте, ну чтобы запустить макрос в файле, полученном по электронной почте, в Microsoft Office последних версий надо очень, очень расстараться. Он же костьми ложится, чтобы помешать вам выстрелить себе в коленку.
А вот админы, которые политиками не запрещают пользователю запускать файлы откуда либо, кроме %SystemDrive%\Windows и %SystemDrive%\Program Files — сами себе злобные Буратины.
А вот админы, которые политиками не запрещают пользователю запускать файлы откуда либо, кроме %SystemDrive%\Windows и %SystemDrive%\Program Files — сами себе злобные Буратины.
Только с утра прочитал статью, как в этот же день пришлось столкнуться с описанным троянцем. Правда, админ потерпевшей стороны уверял, что заражение произошло без открытия приложения: У пользователя в Outlook исполнение JavaScript в теле письма было разрешено по умолчанию...
«У пользователя в Outlook исполнение JavaScript в теле письма было разрешено по умолчанию...»
Это как так? Т.е. в аутлуке а) включен автоматический предпросмотр доков MS Office и б) в предпросмотре автоматом выполнился скрипт?
Жесть какая.
Это как так? Т.е. в аутлуке а) включен автоматический предпросмотр доков MS Office и б) в предпросмотре автоматом выполнился скрипт?
Жесть какая.
Да-да. Скажу больше, на многих конторах, что активно работают с документацией, это включено, т.к. экономят на оборудовании. Машины хорошо если 2010 года выпуска, а то и ноуты на кастратах i3 2 серии с 2-4 гигами оперативы, а то и на Duo.
Честно говоря, я сам удивился, когда услышал это. Даже подумал, что админ таким образом выгораживает пользователя, который всё-таки открыл приложение. Во всяком случае, мне это показалось более вероятным, чем подобная настройка почтового клиента в корпоративной среде. С другой стороны, медицинские учреждения часто не придают должного значения ИБ.
Так вот на что у меня Кыся ругалась дня три назад, когда я почту чистил. А я всё сидел и думал: давненько мне в спам вирусов не слали XD
Sign up to leave a comment.
Новый криптовымогатель «Locky»