Comments 139
Преступники должны знать, что их почтовые адреса будут заблокированы и денег они всё равно не получат.
Может, я чего не понимаю, но биткойны они таки получат.
Вот отправители денег не получат возможности расшифровки — это да…
Года три назад попадался шифровальщик.
У них даже техподдержка была на разных языках и даже на русском языке по скайпу.
И личный кабинет очень даже пристойный с возможностью тестовые файлы расшифровать.
Правда и суммы там были побольше, 2 биткоина хотели, что в рублях выливалось в 40к.
Я думал тогда, что дальше всё будет круче и круче, потому как тор и биткоин позволяют оставаться довольно анонимными и бизнес должен развиваться. А вот скатились к почте и $300.
Дешифровка не должна быть эксклюзивным товаром, она должна давать максимальную прибыль.
Тогда цены были разные. В личном кабинете прям было написано, что цена зависит от важности и объема данных. Домашним выставляли низкую, знакомая не стала платить за зашифрованные фотки.
Не хочу рассказывать детали, но одна госструктура встала тогда из-за потерянной базы 1С и кучи важных документов. Им пришлось заплатить $1000=2btc.
С тех пор они в курсе что такое бекапы, очень хорошее обучение и по моему не дорогое.
Какая красота. Иммунитет очень порадовал :)
О, теперь я знаю как можно заблокировать чужой почтовый ящик!
Или я ничего не понимаю в психологии преступников, или все потерпевшие наивнее пятилетнего ребенка…
А для повышения профита можно штамповать разновидности вымогателей, дескать — я не тот плохой Пьетя, я честный и порядочный Васья…
1. Не открывать почту от незнакомых/левых отправителей.
2. Смотреть расширение скачиваемого файла и не запускать незнакомые.
3. Не работать под администратором (это больше к настройке прав доступа сисадминами относится).
4. Не использовать простые пароли на почте, RDP, учетке.
И тогда с большой вероятностью все будет хорошо.
1. Ну это же письмо из налоговой было! Они нам штраф выставили. То что письмо из налоговой РФ, а мы в Беларусии — идиоткой не учитывалось. При этом налоговая в РБ работает исключительно по старинке — в бумажном варианте
2. Обычный doc
3. Прав админа небыло.
4. Пароли тоже норм.
Благо хоть гадость оказалась локального действия, без распространения по сети.
Бэкап накатил и все в норме.
Найдется ли кто-то смелый извиниться за мою карму?
Если одна овца — черная никак не значит что в мире не существует белых овец.
Найдется ли кто-то смелый извиниться за мою карму?
Я не могу влиять на карму, но слили вам ее за дело, многие пользователи говорили вам про свой опыт, вы требовали непонятно каких еще доказательств на ссылки не понятно каких сообществ (как будто хабр сам не сообщество) и то что вам лично глава микросфота или гугла должен что-то доказывать с нотариально заверянными подписями.
Если вы во что-то не верите это ваше личное дело, никто на хабре/гиктаймс ничего вам доказывать не должен. Если будите вести себя тут так же дальше, то карма легко уйдет в -100, со всеми ограничениями.
Уйдет моя карма «за грань» — так тому и быть: «Пора валить из
И это делают те самые люди, которые осуждают попытки ограничить свободу слова и информации.
Ваша свобода слова не означает, что я должен слушать ваш бред (с) кто-то из классиков
говорит неугодное остальным
Нет, когда столько минусов, то дело не в том ЧТО говорить, а КАК говорить. Если вы считаете, что свобода слова оправдывает любую грубость и глупость, то вам действительно «Пора валить
Этой картинки тут еще не было? https://xkcd.com/1357/
Ваша свобода слова не означает, что я должен слушать ваш бред (с) кто-то из классиковВы на самом деле не видите разницы между "не слушать" и "заткнуть рот" или "устранить говорящего"?
Мне очень жаль, что подобные вашим идеи о свободе слова занимают главенствующую роль на хабре, гиктаймсе и других местах общения «умных людей».
Да, некоторые файлы были зашифрованы очень плохо — обычный XOR какой-нибудь первой 1000 байтов.
А если вы имеете ввиду «получал ли кто-то свои файлы, заплатив» — то наверняка, кто-то да получал, иначе все бы на каждом углу твердили бы, что никогда файлы не дешифруются. К тому же, я не вижу причин злоумышленникам не оставлять возможности расшифровать файлы, и теоретическая составляющая (шифрование/расшифрование AES) это позволяет делать.
Поэтому ваше утверждение:
> я ничего не понимаю в психологии преступников
скорее всего верно :)
Между прочим, в те времена, когда вымогателя «за посещение сайта с порнографическим содержимым» можно было вычистить вручную, перезагрузившись в безопасном режиме или с CDROM, вовсю «специалисты по безопасности» давали рекомендации ни в коем случае не платить.
Если никто-никто не будет платить, то писатели криптовирусов переквалифицируются в кого-то другого, а криптовирусы вымрут. Так что интересы человечества en masse — не платить.
Однако ряд компаний и пользователей оценивают зашифрованное дороже, чем выкуп, платят (и получают расшифрованное обратно), и поэтому коллективный иммунитет не вырабатывается. :)
Если никто-никто не будет платить...
Утопия.
Это сродни фразе «Если все-все-все на свете будут хорошими, то плохих людей не будет. Давайте все будем хорошими»
В одной знакомой компании
Кстати, там предлагали прислать шифрованные файлы (что-то типа «5 штук бесплатно») и расшифровать перед оплатой.
© информационное агенство «ОБС»
Очень рекомендую, благо и автор просил распространять.
А у вас есть доказательства, что никогда и никто не мог расшифровать зашифрованное после оплаты?
Нет доказательств — нет нужды толочь воду в ступе. Есть доказательства — с удовольствием ознакомлюсь с фактами. Ведь еще надо убедиться, что доказательство — на самом деле факт, а не фейк, не так ли?
И какого вида доказательства вы предполагаете рассматривать как объективные?
И кстати, вас интересовало, знает ли кто-то достоверно о фактах расшифровки.
Я — знаю.
Объективные доказательства в данном случае — это как минимум ссылки на какие-либо сообщения от лиц, которым можно написать и попросить подтвердить факт, прислав, например, копии писем с перепиской или хотя бы просто признать, что это сказано ими, а не придумано кем-то. Либо ссылки на заявления «официально уполномоченных лиц» компаний или просто личностей, сомневаться в которых нет оснований, вызывающих уважение. Например, типа Анатолия Вассермана.
Но, полагаю, их всегда можно обвинить в ангажированности и работе на темную сторону, а стало быть — тоже не верить.
Учитывая, что у публичных компаний сам факт заражения ransomeware влияет на стоимость акций, вряд ли их официальные представители придут и скажут «меня зашифровали, мы заплатили выкуп — и все заработало».
Ну и вам никто не мешает проверить утверждение самостоятельно. Хоть на виртуалке, хоть как.
Например, развернуть на виртуалке изолированную машину с тестовым файлом, подсадить туда через флешку шифровальщика с возможностью «пробной расшифровки» для ограниченного набора файлов и отправить файл на пробную расшифровку.
А неотличимые от ботов пользователи ГТ будут читать и выносить вердикты: выборка маловата, повторностей недостаточно…
На предыдущем месте работы альтернативно одаренная бухгалтер скопировала из сетевой папки себе на рабочий стол доки и словила шифрователя. (Еще до истерии с WannaCry, просто по прямой ссылке из письма). Ей вставили кол от земли и до неба, но за расшифровку заплатили, ключ пришел валидный и файлы восстановили.
Причем решение было тоже какое-то энтерпрайз-ориентированное. С регистрацией в личном кабинете и даже вариантами скидочных(!!) пакетов.
Громкий случай, полицейский отдел был вынужден оплатить.
Или скажете что и это заговор?
http://forklog.com/politsiya-ssha-v-ocherednoj-raz-zaplatila-bitkojny-vymogatelyam/
Преступники должны знать, что их почтовые адреса будут заблокированы и денег они всё равно не получат.
Но ведь блокируется лишь почта, деньги то на BitCoin-кошелек уже дойдут к тому моменту, как жертва захочет написать письмо.
Внимание, вопрос: Как повлияет на вероятность того, что вы оплатите расшифровку остальных четырех, тот факт, что дешифровка этого одного будет / не будет выполнена?
Надеюсь, это по душевной простоте, а не за оплату.
Слышать о чудесных избавлениях — слышал и я, но «не осязал». Рентабельность вымогателя и так запредельна — сотни тысяч пострадавших, даже если всего 10 «скинутся» по 300$ — будет очень неплохо. А скинутся явно больше 10 после всего того, что прочитали об «эффективных преступниках», которым выгоднее кормить барана, чтобы стричь, чем просто съесть его.
И, судя по тому, с какой силой стремятся мне заткнуть рот, здесь незримо присутствуют интересы преступников. Иначе — кому выгодно, чтобы я не задавал невинных вопросов?
Огромная проблема в том, что так называемые «правоохранительные органы» сплошь и рядом, сами не знают законов.
Я думаю платить вымогателям не преступление, я так думаю потому что ни разу ничего подобного не слышал и подобных законов не видел. А что не запрещено, то для граждан разрешено.
По поводу взятки, если вы сами первее сообщите о взятке, чем должностное лицо, то с вас полностью снимается ответственность, но надо перепроверить законы, а то принтер слишком бешеный.
А за дачу взяток, как по мне, надо не наказывать, а награждать.Вы бы аргумент привели. Вдруг причина стоящая.
Ясно одно: сколько бы человек Вам тут не написало, что расшифровка работает — Вы не поверите, пока об этом не заявит Вассерман.
P.S. Из личного опыта знакомых могу сказать, что она и правда работает. Но естественно все зависит от конкретного зловреда, поэтому подобные слова не могут быть рекламой для текущих зловредов. Это сродни заявлению «Некоторые стиральные порошки действительно выводят пятна».
Потому что все вычисления в рамках автономного умного контракта всегда можно проделать локально, не высылая никому реальных денег. Для того, чтобы схема работала, обязательно нужен агент за пределами блокчейна, кто бы проверил что ему пришли деньги и выслал ключ расшифровки.
Умный контракт в такой схеме — просто лишняя сущность.
А откуда смарт-контракт ключ возьмет? И эфир, это пока еще слишком сложно для обычного пользователя.
Я думаю проще поставить с трояном тор, отправлять ключ на сервер и забирать уникальный биткоин-адрес, ну а после его пополнения отдавать ключ. И все в полностью автоматическом режиме + разные адреса, будет сложнее отследить транзакции.
То есть вы свели умный контракт к почтовому ящику. Зачем?
В том же биткоине можно в обычные транзакции включать любые текстовые сообщения. Умный контракт посередине — лишняя сущность.
Интересно, почему хакеры сразу не решили использовать текстовые сообщения в транзакции биткоина?
Я думаю, потому что переговоры в блокчейне — публичные. А многие хотели бы сохранить в секрете тот факт, что они решили заплатить выкуп преступникам.
Но ведь для этого метода нужен эфир? Откуда он у жертвы?
Тут они покупают биткоины и сразу, с биржи, их переводят. А так будет слишком сложно.
А в чем проблема? Это же их сервер, что захотят то и скажут отвечать мейлер-демону, можно вообще письма сразу в полицию переправлять.
Просто есть такая штука — деловая репутация.
Зарабатывается всю жизнь, а теряется в момент. Например, если начать не совсем честно обслуживать клиентов.
Ну и как по мне, учитывая RaaS, одного указания адреса почты в Ransomware маловато будет для введения каких-то санкций.
А то вот возьму, закажу RaaS с почтой недруга, а у него кусок жизни обвалится из-за этого.
Send your Bitcoin wallet ID
Кстати, а что это? Если адрес отправителя то их может быть несколько или если отправлять с биржи то жертва может быть вообще не в теме где это посмотреть, если адрес получателя то он же у всех один.
И как я понял можно было, пока мыло не заблочили, расшифровать данные бесплатно — сразу отправить письмо при появлении транзакции так как будто она от вас. Какой-то ненадежный метод для подтверждения отправки, тогда уже по хешу транзакции надо.
Но ведь в битконе можно написать текстовое сообщение в любые транзакции, то есть можно отправить 0,0000000000000001 биткоин с сообщением автору вируса и предложением ответить на так же через транзакцию кошелька? То есть на самом деле канал связи все равно остался просто не каждая жертва до него додумается?
Это локальные метки к транзакциям, в сами транзакции можно около 80 байт информации записать. В принципе достаточно для публичного ключа по которому потом ответ будет выслана назад транзакция с закрытым ключом.
После этого криптовымогателям ничего кроме биткойна и рабочей сети и не нужно будет для связи с жертвами.
Ну если отправить транзакцию на минимальную сумма типа "Send me you new email in tor" (28 байт), то это в теории может сработать и автор вируса может переслать новый email в другой транзакции? Он же наверное мониторит свой кошелек и никто кроме него не может провести с кошелька транзакцию?
P.S. Если минусуете объясните хоть за что, я вроде простой вопрос задал. Если я ошибаюсь напишите в чем
Там сейчас комиссии конские на транзакции. Не уверен, что юзать биткоин в качестве средства обмена сообщениями хорошая идея. К тому же этот почтовый адрес будет всей сети виден.
Сообщения можно слать и без комиссии.
Ну не подтвердится транзакция, ну и ладно, сообщение то увидеть можно будет в неподтверждённой.
Но вот как сформировать сообщение в транзакции мне пока не понятно. В исходящие адреса записать?
Откуда у вас инфа, что можно только около 80 байт информации записать? Мне кажется можно записать и килобайты, кто ограничит то?
Теоретически это возможно, но практически автор не будет заморачиваться с прочтением такого сообщения.
Вот, к примеру, есть транзакция, которую кто-то недавно послал автору. Как вы прочитали бы сообщение в ней?
Думаете автор вируса сильно лучше вас разбирается в структуре транзакции и сможет найти где именно тут сообщение? Я вот повозился и не смог в этой инфе найти ничего похожего на сообщение.
Да, сообщение видно и на blockchain.info
Сообщение помещено в блок tx_hex
Я нашёл место где легко руками создать транзакцию.
Создал транзакцию на адрес автора, вставил в скрипт сообщение, проверил, подписал, но при отсылке произошло 64: scriptsig-not-pushonly кажется это проверка на doublespend — я со старого пустого кошелька пытался отправить.
Попробую позже с реальными средствами.
По сути, эволюция скрипткиддис в мире преступного бизнеса.
просим слать биткоины
делаем вид, что почту заблокировали
профит
На данный момент выкуп заплатила 41 жертва на общую сумму 3,75188571 BTC ($9442).это же просто смешно. Просил бы меньше — может больше бы людей заплатило. Даже банальный скрытый майнер принёс бы больше прибыли. Не думаю, что эти деньги окупили затраты на подобного масштаба атаку, видимо целью были не деньги.
а) атака криптором была совершена с целью скрыть что-то посерьёзнее. Возможно, перед тем, как зашифровать информацию вирус сливал все пароли, переписки и прочие данные хакерам. Простейший стиллер, а информация может стоить миллионы.
б) атака велась не ради денег. Что-то вроде терроризма, цель — навести шороху.
Скрытый майнер XMR это прекрасно, но вы же помните, что для майнинга XMR нужен проц с AES-NI? Без AES-NI ничего не намайнишь. А тут вон среди зараженных машин компы на которых XP стоит, там заведомо проц будет без AES-NI, машины покупались во времена до исторического материализма.
Вот просить выкуп в XMR, а не в биткоинах это да, учитывая специфику валюты это более разумный вариант(анонимность, все дела), но от этого мог остановить тот факт, что о биткоине сейчас разве что младенцы и дряхлые старики не знают, а что еще за Monero зараженный обыватель может и не понять.
Ну вот много ли тут найдется тех, кто отправит что-то на 4AwpNBvbHmuQJeMfoWd9RTcb6Dsr49PBofEUBQNLTkXW7xbHoheyVVZZppqWcDsZN9hwqL85uZsmybXwcai5N4rz4ruwPnF
Да даже на Хабре и Гиктаймсе найдется мало народа кто знает что такое XMR, а в данном случае, скорее всего, вирус запускал не разбирающися человек, а просто кто-то чуть подпиливший старый его вариант, обычный скрипт-кидди от вирусов.
для майнинга XMR нужен проц с AES-NIможно собрать майнер чтобы работал без AES-NI. Будет довольно медленным (30 хешей в секунду с core2duo), но с таким кол-вом заражённых машин всё равно профит будет неплохим.
обычный скрипт-кидди от вирусов300к заражённых машин — это многовато для скрипт кидди, неспособного догадаться добавить даже запасную почту, Вам так не кажется? Атака такого масштаба требует немалых инвестиций и слаженной работы неплохой команды хакеров. А для стиллера отличное прикрытие: нужную информацию выслали, диски зашифровали. Админ отформатирует винты и восстановит с бэкапа, от вируса не останется ничего.
Да можно конечно.
> Будет довольно медленным (30 хешей в секунду с core2duo)
Да вы — оптимист. Какие там C2D и 30 H/sec? 28.15 H/sec на i3 без AES-NI. Со 100k машин у вас выйдет 1.7 XMR за сутки, гораздо меньше, чем ему заплатили на биткоин.
> Атака такого масштаба требует немалых инвестиций и слаженной работы неплохой команды хакеров.
Или просто совпадения неких условий. Если атака пошла таки из офиса той украинской конторы о которой речь и расползлась через их партнеров по миру(а так вполне могло быть) это может говорить в пользу моей версии, что таки скрипт-кидди осиливший чуть модифицировать имеющийся вирус.
Со 100k машин у вас выйдет 1.7 XMR за суткиВот 100к машин, выдающих 7 хешей\сек. Расчёт идёт для работающих круглосуточно, но с учётом того что заразили 300к машин, примерно такой доход ожидать и стоит. За один день не вирус точно не заметят, если майнер правильный — и месяц поработать может.
Вирус живет пока интересен своему создателю. Путем выпуска новых версий.
Там создали сайт и программу как раз для разблокировки дисков от этого вируса. Неужели после такого этот локер еще жив? Или это новая версия Пети?
Тот разлокер не помогает с текущей версией вируса, плюс вроде есть сомнения что это вообще тот же Петя (точнее вирус от того же автора), возможно это похожий, но совсем другой вирус.
Всем привет.
- Выплата преступникам или не выплата определяется ценой каждого варианта. Эмоции здесь пустое.
- Как налогоплательщика меня волнует работа многочисленных карательных органов РФ. Чем занимаются бесчисленные отдеы абвгд к?
- Все операции битка хранятся в открытом виде(https://blockexplorer.com) в самом блоке.
- Операция не привязана ни к чему, но, идя по цепи сделок можно попытаться найти зацепку. Кто обналичил преступный биток.
- Как как минимум, фбр накрыла крупнейшую международную наркоплощадку в дакнете шелковый путь
Скрыть цепочку в биткоине не сложно, завёл на биржу, вывел в zec, monero, миксанул, можно опять купить биткоины, и начать тратить с карты, найти концы нереально. Вариантов масса.
Ульбрехта поймали не через цепочку платежей, а в реале, он просто много косячил.
Ну и поймали одного, распиарили, а сколько не пойманных.
- Именно. Правда, вариант выплаты во-первых не гарантирует результата, а во вторых, пусть и очень косвенно, но является финансированием следующей атаки, так что "фи" вам обеспечено.
- Заняты делом. Придумывают, не получится ли обвинить в распространении вируса Навального, американцев или хотя бы лично вас.
- Ваистену.
- Преступный биток раздробили по частям и обменяли на другие криптовалюты на биржах, а за них купили ещё менее отслеживаемые ресурсы или просто убрали в ящик годика на три.
- По официальной версии, хозяин площадки обнаглел от безнаказанности и перестал нормально скрываться. По неофициальной, его сдали в оффлайне, подельники.
как я понял Windows села в лужу (со своими дырами для ЦРУ), антивирусы хлюпали носом в той же луже чуть ли не до вечера? Тем временем Петя вписывал себя в mbr и шифровал первый раздел активного диска напрямки. То есть спаслись от него те, кто с UEFI? Но ведь ничего не мешает в следующих итерациях научить петю шифровать все устройства и понимать UEFI. То есть сто процентная защита от бяки это рейд, от текущего пети спасло бы софт зеркало, от обученного уже только сторонний контроллер где без драйверов он бы дисков не увидел. А как быть когда файлы шифруются на работающей хост системе? Там тоже ничего не мешает сходить по smb и зашифровать все что в сети включая бекапы. По моему все очень плохо, как был лучший вариант — хард на полочке так и остается
Слать биткоины бесполезно: автору Petya заблокировали почтовый ящик