Comments 139
Преступники должны знать, что их почтовые адреса будут заблокированы и денег они всё равно не получат.
Может, я чего не понимаю, но биткойны они таки получат.
Вот отправители денег не получат возможности расшифровки — это да…
Предположу что, предполагается что в следующий раз пользователи не будут платить, так как у них уже есть опыт что деньги уйдут, а ключ они не получат. А так же, вымогатели не будут больше вымогать, так как в следующий раз им не заплатят.
Ничего подобного. Просто в следующий раз будут использовать Tweeter, социальные сети, или даже Telegram. Понятное дело, что аккаунты вымогателей будут скрываться от модераторов и меняться, но человек, которому нужна иго зашифрованная информация, обязательно их найдет.
Возможно, Tweeter, социальные сети, или даже Telegram, заблокируют аккаунты, хештеги, каналы, телефоны, но да, сомнительно.
Нередко, если и не обычно, шифровальщики просто просят установить Tor Browser и зайти на hidden service, где можно получить пароль для расшифровки своих файлов. Иногда это выглядит вполне энтерпрайз. :) Странно что авторы Пети выбрали обычный почтовый сервер.
Вариант с тем что, расшифровка файлов не предусматривалась, рассматриваете?
Года три назад попадался шифровальщик.
У них даже техподдержка была на разных языках и даже на русском языке по скайпу.
И личный кабинет очень даже пристойный с возможностью тестовые файлы расшифровать.
Правда и суммы там были побольше, 2 биткоина хотели, что в рублях выливалось в 40к.
Я думал тогда, что дальше всё будет круче и круче, потому как тор и биткоин позволяют оставаться довольно анонимными и бизнес должен развиваться. А вот скатились к почте и $300.
Видимо, черные маркетологи определили эту цену как наиболее выгодную.
Дешифровка не должна быть эксклюзивным товаром, она должна давать максимальную прибыль.
Дешифровка не должна быть эксклюзивным товаром, она должна давать максимальную прибыль.
Тогда цены были разные. В личном кабинете прям было написано, что цена зависит от важности и объема данных. Домашним выставляли низкую, знакомая не стала платить за зашифрованные фотки.
Не хочу рассказывать детали, но одна госструктура встала тогда из-за потерянной базы 1С и кучи важных документов. Им пришлось заплатить $1000=2btc.
С тех пор они в курсе что такое бекапы, очень хорошее обучение и по моему не дорогое.
Какая красота. Иммунитет очень порадовал :)
Мне кажется это больше имиджевая история, ни больше ни меньше
О, теперь я знаю как можно заблокировать чужой почтовый ящик!
а блокчейн биткойна нельзя разве использовать для обмена ключами для расшифровки?
А кто-нибудь знает наверняка: за недолгую историю этих вымогателей хоть кто-нибудь получил обратно свои файлы?
Или я ничего не понимаю в психологии преступников, или все потерпевшие наивнее пятилетнего ребенка…
Или я ничего не понимаю в психологии преступников, или все потерпевшие наивнее пятилетнего ребенка…
Немалый процент вымогателей вполне успешно расшифровывают файлы. Цель ведь не просто навредить людям, а заработать, и если на форумах будут отзывы что «расшифровка работает» — денег перечислят явно больше.
Хотелось бы пруфы… В благородных разбойников я не верю — возраст не тот…
Дело не в благородности, а в профите. Если не расшифровывать — сотня первых смельчаков сделает переводы, не получит свои файлы обратно, и везде расскажет что нифига не работает. Если же расшифровывать — об этом так же будут отзывы, и множество людей решит отдать пару сотен долларов взамен своих данных.
То есть пруфов нет… Чем больше коммуникаций в обе стороны, тем выше шансы, что «вычислят по IP». Надо быть идиотом, чтобы вестись на это.
А для повышения профита можно штамповать разновидности вымогателей, дескать — я не тот плохой Пьетя, я честный и порядочный Васья…
А для повышения профита можно штамповать разновидности вымогателей, дескать — я не тот плохой Пьетя, я честный и порядочный Васья…
«То есть пруфов нет» — вас явно забанили в гугле, двумя комментами выше статья представлена, там вообще процесс отлажен и поставленно всё на энтерпрайз-рельсы. вот так, например
В русскоязычном варианте этой статьи нет ни слова о том, что кто-либо получал свои файлы назад, только рассказы об «оперативном ответе на вопросы» и т.п. «гарантии».
Не так давно пришлось столкнуться с таким методом вымогательства. Еще до первой эпидемии. Файл прислали по почте открыли. Обычный doc. Пара-тройка минут промедления = на локальной машинке не читаемая каша из документов. Сайт в зоне .union, вход по сгенерированному ID — он же 1 ключ. В чате на сайте активное общение, с приват-сообщениями и т.д. после выкупа и расшифровки от вымогателей поступает предложение: хороший отзыв на популярных ресурсах за возврат 20% оплаченной суммы. Или больше — помощь в распространении за процент от вырученного. Это бизнес, безжалостный и беспощадный. Людей много, не все могут идти на принцип и отказывать вымогателям, кто-то соглашается. А бизнес основывается на уязвимостях тех компаний, чей софт используем мы. И мы же за это расплачиваемся. К слову юзер был без админских прав, UAC и антивирус со свежими базами, последние обновления и все такое. Расковырял этот doc, а там простой скрипт: тащить из инета файлик и запускать (не exe ессесно, mht или что-то такое), но сути это не меняет. Можно использовать просто батник, и с паролем установленный любой архиватор всё запакует. Суть в уязвимости, которая позволяет вместо открытия документа делать ЭТО (запускать произвольный код), и таких уязвимостей еще много.
UFO just landed and posted this here
Уязвимость не в Word, а в подмене расширения файлов, либо в автоматически включенном запуске макросов (VBS) у юзера. Это как был, так и есть самый простой способ заражения через e-mail. Сотрудникам, особенно бухгалтерии, постоянно надо вбивать в башку следующие правила:
1. Не открывать почту от незнакомых/левых отправителей.
2. Смотреть расширение скачиваемого файла и не запускать незнакомые.
3. Не работать под администратором (это больше к настройке прав доступа сисадминами относится).
4. Не использовать простые пароли на почте, RDP, учетке.
И тогда с большой вероятностью все будет хорошо.
1. Не открывать почту от незнакомых/левых отправителей.
2. Смотреть расширение скачиваемого файла и не запускать незнакомые.
3. Не работать под администратором (это больше к настройке прав доступа сисадминами относится).
4. Не использовать простые пароли на почте, RDP, учетке.
И тогда с большой вероятностью все будет хорошо.
Увы, не все так просто. Вышеуказанные правила через мотивационную(лишение премий и прочие наказания рублем) часть вбивались в головы сотрудников. Толк то был, только вот некоторые блондинки и в Африке блондинки:
1. Ну это же письмо из налоговой было! Они нам штраф выставили. То что письмо из налоговой РФ, а мы в Беларусии — идиоткой не учитывалось. При этом налоговая в РБ работает исключительно по старинке — в бумажном варианте
2. Обычный doc
3. Прав админа небыло.
4. Пароли тоже норм.
Благо хоть гадость оказалась локального действия, без распространения по сети.
Бэкап накатил и все в норме.
1. Ну это же письмо из налоговой было! Они нам штраф выставили. То что письмо из налоговой РФ, а мы в Беларусии — идиоткой не учитывалось. При этом налоговая в РБ работает исключительно по старинке — в бумажном варианте
2. Обычный doc
3. Прав админа небыло.
4. Пароли тоже норм.
Благо хоть гадость оказалась локального действия, без распространения по сети.
Бэкап накатил и все в норме.
Я лично словил в сентябре прошлого года шифровальщика, пообщался с распространителем, поторговался, заплатил и получил свои файлы назад.
Ну что, неуважаемые сливатели кармы, специалисты подтверждают мои слова: лохов не кормят, их только доят.
Найдется ли кто-то смелый извиниться за мою карму?
Найдется ли кто-то смелый извиниться за мою карму?
Кажется у кого-то проблемы с логикой: специалисты считают что в ДАННОМ случае расшифорвка не предусматривалась это никак не значит что выплата во ВСЕХ случаях не поможет расшифровать файлы.
Если одна овца — черная никак не значит что в мире не существует белых овец.
Я не могу влиять на карму, но слили вам ее за дело, многие пользователи говорили вам про свой опыт, вы требовали непонятно каких еще доказательств на ссылки не понятно каких сообществ (как будто хабр сам не сообщество) и то что вам лично глава микросфота или гугла должен что-то доказывать с нотариально заверянными подписями.
Если вы во что-то не верите это ваше личное дело, никто на хабре/гиктаймс ничего вам доказывать не должен. Если будите вести себя тут так же дальше, то карма легко уйдет в -100, со всеми ограничениями.
Если одна овца — черная никак не значит что в мире не существует белых овец.
Найдется ли кто-то смелый извиниться за мою карму?
Я не могу влиять на карму, но слили вам ее за дело, многие пользователи говорили вам про свой опыт, вы требовали непонятно каких еще доказательств на ссылки не понятно каких сообществ (как будто хабр сам не сообщество) и то что вам лично глава микросфота или гугла должен что-то доказывать с нотариально заверянными подписями.
Если вы во что-то не верите это ваше личное дело, никто на хабре/гиктаймс ничего вам доказывать не должен. Если будите вести себя тут так же дальше, то карма легко уйдет в -100, со всеми ограничениями.
Единственный смысл кармы — заткнуть рот тому, кто говорит неугодное остальным. И это делают те самые люди, которые осуждают попытки ограничить свободу слова и информации.
Уйдет моя карма «за грань» — так тому и быть: «Пора валить изэтой страны этого сообщества».
Уйдет моя карма «за грань» — так тому и быть: «Пора валить из
Смысл кармы отсеять тех с кем большинству неприятно общаться. Если столько людей считают, что с вами неприятно общаться, может стоит задуматься «а может быть дело не в людях»? Или все таки вы уверен что вы — Дартаньян, а все остальные ...?
Ваша свобода слова не означает, что я должен слушать ваш бред (с) кто-то из классиков
Нет, когда столько минусов, то дело не в том ЧТО говорить, а КАК говорить. Если вы считаете, что свобода слова оправдывает любую грубость и глупость, то вам действительно «Пора валитьиз этой страны этого сообщества».
И это делают те самые люди, которые осуждают попытки ограничить свободу слова и информации.
Ваша свобода слова не означает, что я должен слушать ваш бред (с) кто-то из классиков
говорит неугодное остальным
Нет, когда столько минусов, то дело не в том ЧТО говорить, а КАК говорить. Если вы считаете, что свобода слова оправдывает любую грубость и глупость, то вам действительно «Пора валить
UFO just landed and posted this here
Этой картинки тут еще не было? https://xkcd.com/1357/
Ваша свобода слова не означает, что я должен слушать ваш бред (с) кто-то из классиковВы на самом деле не видите разницы между "не слушать" и "заткнуть рот" или "устранить говорящего"?
Мне очень жаль, что подобные вашим идеи о свободе слова занимают главенствующую роль на хабре, гиктаймсе и других местах общения «умных людей».
> за недолгую историю этих вымогателей хоть кто-нибудь получил обратно свои файлы?
Да, некоторые файлы были зашифрованы очень плохо — обычный XOR какой-нибудь первой 1000 байтов.
А если вы имеете ввиду «получал ли кто-то свои файлы, заплатив» — то наверняка, кто-то да получал, иначе все бы на каждом углу твердили бы, что никогда файлы не дешифруются. К тому же, я не вижу причин злоумышленникам не оставлять возможности расшифровать файлы, и теоретическая составляющая (шифрование/расшифрование AES) это позволяет делать.
Поэтому ваше утверждение:
> я ничего не понимаю в психологии преступников
скорее всего верно :)
Да, некоторые файлы были зашифрованы очень плохо — обычный XOR какой-нибудь первой 1000 байтов.
А если вы имеете ввиду «получал ли кто-то свои файлы, заплатив» — то наверняка, кто-то да получал, иначе все бы на каждом углу твердили бы, что никогда файлы не дешифруются. К тому же, я не вижу причин злоумышленникам не оставлять возможности расшифровать файлы, и теоретическая составляющая (шифрование/расшифрование AES) это позволяет делать.
Поэтому ваше утверждение:
> я ничего не понимаю в психологии преступников
скорее всего верно :)
Хотелось бы пруфов на сообщения счастливчиков. Слово к делу не пришьёшь…
Между прочим, в те времена, когда вымогателя «за посещение сайта с порнографическим содержимым» можно было вычистить вручную, перезагрузившись в безопасном режиме или с CDROM, вовсю «специалисты по безопасности» давали рекомендации ни в коем случае не платить.
Между прочим, в те времена, когда вымогателя «за посещение сайта с порнографическим содержимым» можно было вычистить вручную, перезагрузившись в безопасном режиме или с CDROM, вовсю «специалисты по безопасности» давали рекомендации ни в коем случае не платить.
Вот именно. Потому, что их легко было вычистить вручную.
Да нет, это сродни войнам прививочников и антипрививочников.
Если никто-никто не будет платить, то писатели криптовирусов переквалифицируются в кого-то другого, а криптовирусы вымрут. Так что интересы человечества en masse — не платить.
Однако ряд компаний и пользователей оценивают зашифрованное дороже, чем выкуп, платят (и получают расшифрованное обратно), и поэтому коллективный иммунитет не вырабатывается. :)
Если никто-никто не будет платить, то писатели криптовирусов переквалифицируются в кого-то другого, а криптовирусы вымрут. Так что интересы человечества en masse — не платить.
Однако ряд компаний и пользователей оценивают зашифрованное дороже, чем выкуп, платят (и получают расшифрованное обратно), и поэтому коллективный иммунитет не вырабатывается. :)
«переговоров с террористами не ведём»
Это и так понятно. Не думаю, что здесь в принципе возможен «коллективный иммунитет».
Если никто-никто не будет платить...
Утопия.
Это сродни фразе «Если все-все-все на свете будут хорошими, то плохих людей не будет. Давайте все будем хорошими»
Потому что это были блокираторы, а не шифровальщики, т.е. совершенно другой класс зловредов, в разы более примитивный.
ну к примеру расшифровать файлы за 300$, через 1 день опять зашифровать ведь источник денег валидный.
Получали.
В одной знакомой компаниис криворуким админом, не делавшим бэкапы зашифровались, заплатили и расшифровались.
Кстати, там предлагали прислать шифрованные файлы (что-то типа «5 штук бесплатно») и расшифровать перед оплатой.
В одной знакомой компании
Кстати, там предлагали прислать шифрованные файлы (что-то типа «5 штук бесплатно») и расшифровать перед оплатой.
А я знаю человека, у которого есть знакомый, встречавшийся с человеком, умеющим летать, как супермен.
© информационное агенство «ОБС»
© информационное агенство «ОБС»
Вы ожидаете официальных подтверждений от крупных контор? Вроде Сбербанк, Роснефть или даже какой нить Тинькофф заявят — «У нас данные зашифровались, но мы заплатили 100500 млн долларов и у нас данные снова доступны»?
В детстве мне нравился мультик по стихотворению Сергея Михалкова «Фома».
Очень рекомендую, благо и автор просил распространять.
А у вас есть доказательства, что никогда и никто не мог расшифровать зашифрованное после оплаты?
Очень рекомендую, благо и автор просил распространять.
А у вас есть доказательства, что никогда и никто не мог расшифровать зашифрованное после оплаты?
Я ожидаю каких-либо проверяемых доказательств от тех, кто решил ответить на мой вопрос. У вас с логикой нелады: вопрос доказательств не требует, а вот ответ — требует. Я не знаю и спрашиваю других, но это не означает, что я готов поверить на слово любому, тем более что я его не знаю. Может, вы как раз и есть тот самый хакер-петя, и кровно заинтересованы именно в таком ответе?
Нет доказательств — нет нужды толочь воду в ступе. Есть доказательства — с удовольствием ознакомлюсь с фактами. Ведь еще надо убедиться, что доказательство — на самом деле факт, а не фейк, не так ли?
Нет доказательств — нет нужды толочь воду в ступе. Есть доказательства — с удовольствием ознакомлюсь с фактами. Ведь еще надо убедиться, что доказательство — на самом деле факт, а не фейк, не так ли?
Свидетельские показания (мои, например) вам неинтересны.
И какого вида доказательства вы предполагаете рассматривать как объективные?
И кстати, вас интересовало, знает ли кто-то достоверно о фактах расшифровки.
Я — знаю.
И какого вида доказательства вы предполагаете рассматривать как объективные?
И кстати, вас интересовало, знает ли кто-то достоверно о фактах расшифровки.
Я — знаю.
А откуда я знаю, что вам можно доверять? Присягу не лгать вы не приносили, личность ваша «виртуальна». Вас от бота отличить невозможно.
Объективные доказательства в данном случае — это как минимум ссылки на какие-либо сообщения от лиц, которым можно написать и попросить подтвердить факт, прислав, например, копии писем с перепиской или хотя бы просто признать, что это сказано ими, а не придумано кем-то. Либо ссылки на заявления «официально уполномоченных лиц» компаний или просто личностей, сомневаться в которых нет оснований, вызывающих уважение. Например, типа Анатолия Вассермана.
Объективные доказательства в данном случае — это как минимум ссылки на какие-либо сообщения от лиц, которым можно написать и попросить подтвердить факт, прислав, например, копии писем с перепиской или хотя бы просто признать, что это сказано ими, а не придумано кем-то. Либо ссылки на заявления «официально уполномоченных лиц» компаний или просто личностей, сомневаться в которых нет оснований, вызывающих уважение. Например, типа Анатолия Вассермана.
Ссылка на показания лица, повода для лжи которого я не вижу.
Такую аналитику ведут компании, работающие в сфере ИБ.
Но, полагаю, их всегда можно обвинить в ангажированности и работе на темную сторону, а стало быть — тоже не верить.
Учитывая, что у публичных компаний сам факт заражения ransomeware влияет на стоимость акций, вряд ли их официальные представители придут и скажут «меня зашифровали, мы заплатили выкуп — и все заработало».
Ну и вам никто не мешает проверить утверждение самостоятельно. Хоть на виртуалке, хоть как.
Например, развернуть на виртуалке изолированную машину с тестовым файлом, подсадить туда через флешку шифровальщика с возможностью «пробной расшифровки» для ограниченного набора файлов и отправить файл на пробную расшифровку.
Но, полагаю, их всегда можно обвинить в ангажированности и работе на темную сторону, а стало быть — тоже не верить.
Учитывая, что у публичных компаний сам факт заражения ransomeware влияет на стоимость акций, вряд ли их официальные представители придут и скажут «меня зашифровали, мы заплатили выкуп — и все заработало».
Ну и вам никто не мешает проверить утверждение самостоятельно. Хоть на виртуалке, хоть как.
Например, развернуть на виртуалке изолированную машину с тестовым файлом, подсадить туда через флешку шифровальщика с возможностью «пробной расшифровки» для ограниченного набора файлов и отправить файл на пробную расшифровку.
С нотариально заверенными скриншотами.
Это же элементарно проверяется, причем инфа будет 100% достоверная. Заражаете собственный комп, посылаете деньги, смотрите на результат.
Проведите самостоятельные эксперименты и наберите статистику. Репрезентативная выборка, доверительный интервал, все дела: потом статью напишете.
А неотличимые от ботов пользователи ГТ будут читать и выносить вердикты: выборка маловата, повторностей недостаточно…
А неотличимые от ботов пользователи ГТ будут читать и выносить вердикты: выборка маловата, повторностей недостаточно…
В чем проблема заразить себе машину вирусом, подождать чтобы он все зашифровал и заплатить шифровальщикам за расшифровку. Узнаете информацию из первых рук и даже проверите лично.
Присоединяюсь к рекомендации про «Фому».
На предыдущем месте работы альтернативно одаренная бухгалтер скопировала из сетевой папки себе на рабочий стол доки и словила шифрователя. (Еще до истерии с WannaCry, просто по прямой ссылке из письма). Ей вставили кол от земли и до неба, но за расшифровку заплатили, ключ пришел валидный и файлы восстановили.
Причем решение было тоже какое-то энтерпрайз-ориентированное. С регистрацией в личном кабинете и даже вариантами скидочных(!!) пакетов.
На предыдущем месте работы альтернативно одаренная бухгалтер скопировала из сетевой папки себе на рабочий стол доки и словила шифрователя. (Еще до истерии с WannaCry, просто по прямой ссылке из письма). Ей вставили кол от земли и до неба, но за расшифровку заплатили, ключ пришел валидный и файлы восстановили.
Причем решение было тоже какое-то энтерпрайз-ориентированное. С регистрацией в личном кабинете и даже вариантами скидочных(!!) пакетов.
Громкий случай, полицейский отдел был вынужден оплатить.
Или скажете что и это заговор?
http://forklog.com/politsiya-ssha-v-ocherednoj-raz-zaplatila-bitkojny-vymogatelyam/
А почему преступники не будут расшифровывать файлы?
Преступники должны знать, что их почтовые адреса будут заблокированы и денег они всё равно не получат.
Но ведь блокируется лишь почта, деньги то на BitCoin-кошелек уже дойдут к тому моменту, как жертва захочет написать письмо.
Допустим, в вашей компании зашифрованы 5 компьютеров. Вы оплачиваете расшифровку одного.
Внимание, вопрос: Как повлияет на вероятность того, что вы оплатите расшифровку остальных четырех, тот факт, что дешифровка этого одного будет / не будет выполнена?
Внимание, вопрос: Как повлияет на вероятность того, что вы оплатите расшифровку остальных четырех, тот факт, что дешифровка этого одного будет / не будет выполнена?
Джентльменское соглашение с преступником юридически ничтожно. Нет смысла его заключать.
Вот, вы очень верно поставили вопрос, на одном компе потестили — не сработало, больше денег не вышлют, а преступники «недополученную прибыль» тоже умеют считать.
А вот вы оказываете большую услугу преступникам, рекламируя их, как честных и порядочных профессионалов.
Надеюсь, это по душевной простоте, а не за оплату.
Надеюсь, это по душевной простоте, а не за оплату.
Ни о какой честности я не говорю, исключительно выгода. Кому-то криворукому неспособному написать модуль расшифровки — выгоднее будет просто кинуть, и не расшифровывать файлы, так что никаких гарантий. Но о репортах успешной расшифровки слышал не раз.
В общем если бы я попал в подобную ситуацию — я бы ждал и читал отзывы конкретно к своей версии вымогателя. На какие-то со временем появляются бесплатные расшифровщики. На какие-то — пропадает возможность расшифровки даже за деньги. Кстати, у каких-то шифвровальщиков была даже «триалка» в доказательство — шлёте им один файл — вам в ответ расшифрованный, если злоумышленники решают что он недостаточно ценный. Для демонстрации.
Всё сказанное вами — это теория, я просил практических подтверждений этой теории: вот имярек заплатил, и получил ключ, которым все расшифровал. И этот имярек готов подтвердить сей факт.
Слышать о чудесных избавлениях — слышал и я, но «не осязал». Рентабельность вымогателя и так запредельна — сотни тысяч пострадавших, даже если всего 10 «скинутся» по 300$ — будет очень неплохо. А скинутся явно больше 10 после всего того, что прочитали об «эффективных преступниках», которым выгоднее кормить барана, чтобы стричь, чем просто съесть его.
И, судя по тому, с какой силой стремятся мне заткнуть рот, здесь незримо присутствуют интересы преступников. Иначе — кому выгодно, чтобы я не задавал невинных вопросов?
Слышать о чудесных избавлениях — слышал и я, но «не осязал». Рентабельность вымогателя и так запредельна — сотни тысяч пострадавших, даже если всего 10 «скинутся» по 300$ — будет очень неплохо. А скинутся явно больше 10 после всего того, что прочитали об «эффективных преступниках», которым выгоднее кормить барана, чтобы стричь, чем просто съесть его.
И, судя по тому, с какой силой стремятся мне заткнуть рот, здесь незримо присутствуют интересы преступников. Иначе — кому выгодно, чтобы я не задавал невинных вопросов?
Как мне кажется, платя преступнику выкуп — совершается преступление, с точки зрения закона. Как взятка — виновны обе стороны. Может по этому не светятся оплатившие?
Огромная проблема, не то что это кажется вам. Что бы не казалось, нужно знать законы.
Огромная проблема в том, что так называемые «правоохранительные органы» сплошь и рядом, сами не знают законов.
Я думаю платить вымогателям не преступление, я так думаю потому что ни разу ничего подобного не слышал и подобных законов не видел. А что не запрещено, то для граждан разрешено.
По поводу взятки, если вы сами первее сообщите о взятке, чем должностное лицо, то с вас полностью снимается ответственность, но надо перепроверить законы, а то принтер слишком бешеный.
Огромная проблема в том, что так называемые «правоохранительные органы» сплошь и рядом, сами не знают законов.
Я думаю платить вымогателям не преступление, я так думаю потому что ни разу ничего подобного не слышал и подобных законов не видел. А что не запрещено, то для граждан разрешено.
По поводу взятки, если вы сами первее сообщите о взятке, чем должностное лицо, то с вас полностью снимается ответственность, но надо перепроверить законы, а то принтер слишком бешеный.
Ну здорово. За передачу грабителю денег и драгоценностей жертв тоже сажать предлагаете? А за дачу взяток, как по мне, надо не наказывать, а награждать. Но законотворцам хорошо в слоновой башне под защитой ФСО запрещать все плохое.
А за дачу взяток, как по мне, надо не наказывать, а награждать.Вы бы аргумент привели. Вдруг причина стоящая.
Скорее всего он про асимметричную ответственность за дачу взятки.
Вопрос не невинный, а некорректный. Вам сказали, что случаи успешной расшифровки имеют место быть. Но Вы не верите «на слово», требуете чтобы Вам предоставили контакты третьих лиц для проверки. Либо Вы вызовете этих третьих лиц в суд и заставите их подтвердить сказанное(а подобное очевидно никому из них не надо — они Вам ничем не обязаны). Либо доказательная сила их слов ровно та же, что и в предыдущих коментариях.
Ясно одно: сколько бы человек Вам тут не написало, что расшифровка работает — Вы не поверите, пока об этом не заявит Вассерман.
P.S. Из личного опыта знакомых могу сказать, что она и правда работает. Но естественно все зависит от конкретного зловреда, поэтому подобные слова не могут быть рекламой для текущих зловредов. Это сродни заявлению «Некоторые стиральные порошки действительно выводят пятна».
Ясно одно: сколько бы человек Вам тут не написало, что расшифровка работает — Вы не поверите, пока об этом не заявит Вассерман.
P.S. Из личного опыта знакомых могу сказать, что она и правда работает. Но естественно все зависит от конкретного зловреда, поэтому подобные слова не могут быть рекламой для текущих зловредов. Это сродни заявлению «Некоторые стиральные порошки действительно выводят пятна».
Пробегитесь по теме и найдете несколько человек, которые предоставили вам свидетельства. Под каждым комментарием ваша истерика.
UFO just landed and posted this here
Ну так эфир же, смарт контракты. Отправил эфира в контракт — получил ключ для расшифровки.
Минус то за что? Такой контракт пишется за день, и никакой почты не нужно.
Потому что все вычисления в рамках автономного умного контракта всегда можно проделать локально, не высылая никому реальных денег. Для того, чтобы схема работала, обязательно нужен агент за пределами блокчейна, кто бы проверил что ему пришли деньги и выслал ключ расшифровки.
Умный контракт в такой схеме — просто лишняя сущность.
А откуда смарт-контракт ключ возьмет? И эфир, это пока еще слишком сложно для обычного пользователя.
Я думаю проще поставить с трояном тор, отправлять ключ на сервер и забирать уникальный биткоин-адрес, ну а после его пополнения отдавать ключ. И все в полностью автоматическом режиме + разные адреса, будет сложнее отследить транзакции.
А ключ смарт-контракту не нужно знать. Суть в том, что жертва вызывает метод в который передаёт «персональный ключ установки» и почту. Контракт это всё дело сохраняет и хакер получает список оплативших с их ключами и почтами. Дальше хакер отправляет ключ для дешифровки на указанную почту — все довольны. Для эфира есть клиенты которые это дело позволяют делать, так что обычному пользователю разобраться час-два времени.
То есть вы свели умный контракт к почтовому ящику. Зачем?
В том же биткоине можно в обычные транзакции включать любые текстовые сообщения. Умный контракт посередине — лишняя сущность.
Про это я не знал, каюсь. По этому и предлагал эфир как почтовый ящик с оплатой, верно.
Интересно, почему хакеры сразу не решили использовать текстовые сообщения в транзакции биткоина?
Интересно, почему хакеры сразу не решили использовать текстовые сообщения в транзакции биткоина?
Но ведь для этого метода нужен эфир? Откуда он у жертвы?
Тут они покупают биткоины и сразу, с биржи, их переводят. А так будет слишком сложно.
Так немцам надо было наоборот — заблокировать и НЕ говорить об этом. В итоге кто-то платит, не получает ключа — и жалуется на форумах о кидалове, считая, что это злые хакеры не держат слово.
И мейлер-демону сказать чтобы рапортовал о доставке, а не честно отвечал, что фигвам?
Ну, те, кто заплатил — не разберутся, что им там этот демон отвечает. И так же примут за происки супостатов и хитрости хакировъ
А в чем проблема? Это же их сервер, что захотят то и скажут отвечать мейлер-демону, можно вообще письма сразу в полицию переправлять.
Да так, ни в чем.
Просто есть такая штука — деловая репутация.
Зарабатывается всю жизнь, а теряется в момент. Например, если начать не совсем честно обслуживать клиентов.
Ну и как по мне, учитывая RaaS, одного указания адреса почты в Ransomware маловато будет для введения каких-то санкций.
А то вот возьму, закажу RaaS с почтой недруга, а у него кусок жизни обвалится из-за этого.
Просто есть такая штука — деловая репутация.
Зарабатывается всю жизнь, а теряется в момент. Например, если начать не совсем честно обслуживать клиентов.
Ну и как по мне, учитывая RaaS, одного указания адреса почты в Ransomware маловато будет для введения каких-то санкций.
А то вот возьму, закажу RaaS с почтой недруга, а у него кусок жизни обвалится из-за этого.
Думаю их после такого не то что просто критиковать начали бы, а призвали бы к публичному линчеванию.
Send your Bitcoin wallet ID
Кстати, а что это? Если адрес отправителя то их может быть несколько или если отправлять с биржи то жертва может быть вообще не в теме где это посмотреть, если адрес получателя то он же у всех один.
И как я понял можно было, пока мыло не заблочили, расшифровать данные бесплатно — сразу отправить письмо при появлении транзакции так как будто она от вас. Какой-то ненадежный метод для подтверждения отправки, тогда уже по хешу транзакции надо.
Но ведь в битконе можно написать текстовое сообщение в любые транзакции, то есть можно отправить 0,0000000000000001 биткоин с сообщением автору вируса и предложением ответить на так же через транзакцию кошелька? То есть на самом деле канал связи все равно остался просто не каждая жертва до него додумается?
Это локальные метки к транзакциям, в сами транзакции можно около 80 байт информации записать. В принципе достаточно для публичного ключа по которому потом ответ будет выслана назад транзакция с закрытым ключом.
После этого криптовымогателям ничего кроме биткойна и рабочей сети и не нужно будет для связи с жертвами.
Ну если отправить транзакцию на минимальную сумма типа "Send me you new email in tor" (28 байт), то это в теории может сработать и автор вируса может переслать новый email в другой транзакции? Он же наверное мониторит свой кошелек и никто кроме него не может провести с кошелька транзакцию?
P.S. Если минусуете объясните хоть за что, я вроде простой вопрос задал. Если я ошибаюсь напишите в чем
Там сейчас комиссии конские на транзакции. Не уверен, что юзать биткоин в качестве средства обмена сообщениями хорошая идея. К тому же этот почтовый адрес будет всей сети виден.
Сообщения можно слать и без комиссии.
Ну не подтвердится транзакция, ну и ладно, сообщение то увидеть можно будет в неподтверждённой.
Но вот как сформировать сообщение в транзакции мне пока не понятно. В исходящие адреса записать?
Откуда у вас инфа, что можно только около 80 байт информации записать? Мне кажется можно записать и килобайты, кто ограничит то?
Теоретически это возможно, но практически автор не будет заморачиваться с прочтением такого сообщения.
Вот, к примеру, есть транзакция, которую кто-то недавно послал автору. Как вы прочитали бы сообщение в ней?
Думаете автор вируса сильно лучше вас разбирается в структуре транзакции и сможет найти где именно тут сообщение? Я вот повозился и не смог в этой инфе найти ничего похожего на сообщение.
Да, сообщение видно и на blockchain.info
Сообщение помещено в блок tx_hex
Я нашёл место где легко руками создать транзакцию.
Создал транзакцию на адрес автора, вставил в скрипт сообщение, проверил, подписал, но при отсылке произошло 64: scriptsig-not-pushonly кажется это проверка на doublespend — я со старого пустого кошелька пытался отправить.
Попробую позже с реальными средствами.
Плюс надо помнить, что иногда злоумышленники — не авторы, а лишь покупатели инструментов для совершения дела. Поэтому таких тонкостей могут и не знать, а действуют по инструкции, приобретённой вместе с инструментами.
По сути, эволюция скрипткиддис в мире преступного бизнеса.
По сути, эволюция скрипткиддис в мире преступного бизнеса.
шифруем файлы
просим слать биткоины
делаем вид, что почту заблокировали
профит
просим слать биткоины
делаем вид, что почту заблокировали
профит
На данный момент выкуп заплатила 41 жертва на общую сумму 3,75188571 BTC ($9442).это же просто смешно. Просил бы меньше — может больше бы людей заплатило. Даже банальный скрытый майнер принёс бы больше прибыли. Не думаю, что эти деньги окупили затраты на подобного масштаба атаку, видимо целью были не деньги.
Или просто не прокатило, не заблокируй ему так быстро email суммы были бы скорее всего существеннее
Вообще, история странная. Во-первых, слабенькая монетизация. Скрытый майнер монеро на 300к машин давал бы 5-10к в сутки спокойно. Во-вторых, такой косяк с почтой. Предугадать нетрудно, надо было сделать несколько адресов на разных сервисах в разных странах. У меня два варианта:
а) атака криптором была совершена с целью скрыть что-то посерьёзнее. Возможно, перед тем, как зашифровать информацию вирус сливал все пароли, переписки и прочие данные хакерам. Простейший стиллер, а информация может стоить миллионы.
б) атака велась не ради денег. Что-то вроде терроризма, цель — навести шороху.
а) атака криптором была совершена с целью скрыть что-то посерьёзнее. Возможно, перед тем, как зашифровать информацию вирус сливал все пароли, переписки и прочие данные хакерам. Простейший стиллер, а информация может стоить миллионы.
б) атака велась не ради денег. Что-то вроде терроризма, цель — навести шороху.
Не нужно объяснять хитрыми причинами то, что можно объяснить человеческой глупостью. Это во-первых.
Скрытый майнер XMR это прекрасно, но вы же помните, что для майнинга XMR нужен проц с AES-NI? Без AES-NI ничего не намайнишь. А тут вон среди зараженных машин компы на которых XP стоит, там заведомо проц будет без AES-NI, машины покупались во времена до исторического материализма.
Вот просить выкуп в XMR, а не в биткоинах это да, учитывая специфику валюты это более разумный вариант(анонимность, все дела), но от этого мог остановить тот факт, что о биткоине сейчас разве что младенцы и дряхлые старики не знают, а что еще за Monero зараженный обыватель может и не понять.
Ну вот много ли тут найдется тех, кто отправит что-то на 4AwpNBvbHmuQJeMfoWd9RTcb6Dsr49PBofEUBQNLTkXW7xbHoheyVVZZppqWcDsZN9hwqL85uZsmybXwcai5N4rz4ruwPnF
Да даже на Хабре и Гиктаймсе найдется мало народа кто знает что такое XMR, а в данном случае, скорее всего, вирус запускал не разбирающися человек, а просто кто-то чуть подпиливший старый его вариант, обычный скрипт-кидди от вирусов.
Скрытый майнер XMR это прекрасно, но вы же помните, что для майнинга XMR нужен проц с AES-NI? Без AES-NI ничего не намайнишь. А тут вон среди зараженных машин компы на которых XP стоит, там заведомо проц будет без AES-NI, машины покупались во времена до исторического материализма.
Вот просить выкуп в XMR, а не в биткоинах это да, учитывая специфику валюты это более разумный вариант(анонимность, все дела), но от этого мог остановить тот факт, что о биткоине сейчас разве что младенцы и дряхлые старики не знают, а что еще за Monero зараженный обыватель может и не понять.
Ну вот много ли тут найдется тех, кто отправит что-то на 4AwpNBvbHmuQJeMfoWd9RTcb6Dsr49PBofEUBQNLTkXW7xbHoheyVVZZppqWcDsZN9hwqL85uZsmybXwcai5N4rz4ruwPnF
Да даже на Хабре и Гиктаймсе найдется мало народа кто знает что такое XMR, а в данном случае, скорее всего, вирус запускал не разбирающися человек, а просто кто-то чуть подпиливший старый его вариант, обычный скрипт-кидди от вирусов.
для майнинга XMR нужен проц с AES-NIможно собрать майнер чтобы работал без AES-NI. Будет довольно медленным (30 хешей в секунду с core2duo), но с таким кол-вом заражённых машин всё равно профит будет неплохим.
обычный скрипт-кидди от вирусов300к заражённых машин — это многовато для скрипт кидди, неспособного догадаться добавить даже запасную почту, Вам так не кажется? Атака такого масштаба требует немалых инвестиций и слаженной работы неплохой команды хакеров. А для стиллера отличное прикрытие: нужную информацию выслали, диски зашифровали. Админ отформатирует винты и восстановит с бэкапа, от вируса не останется ничего.
> можно собрать майнер чтобы работал без AES-NI.
Да можно конечно.
> Будет довольно медленным (30 хешей в секунду с core2duo)
Да вы — оптимист. Какие там C2D и 30 H/sec? 28.15 H/sec на i3 без AES-NI. Со 100k машин у вас выйдет 1.7 XMR за сутки, гораздо меньше, чем ему заплатили на биткоин.
> Атака такого масштаба требует немалых инвестиций и слаженной работы неплохой команды хакеров.
Или просто совпадения неких условий. Если атака пошла таки из офиса той украинской конторы о которой речь и расползлась через их партнеров по миру(а так вполне могло быть) это может говорить в пользу моей версии, что таки скрипт-кидди осиливший чуть модифицировать имеющийся вирус.
Да можно конечно.
> Будет довольно медленным (30 хешей в секунду с core2duo)
Да вы — оптимист. Какие там C2D и 30 H/sec? 28.15 H/sec на i3 без AES-NI. Со 100k машин у вас выйдет 1.7 XMR за сутки, гораздо меньше, чем ему заплатили на биткоин.
> Атака такого масштаба требует немалых инвестиций и слаженной работы неплохой команды хакеров.
Или просто совпадения неких условий. Если атака пошла таки из офиса той украинской конторы о которой речь и расползлась через их партнеров по миру(а так вполне могло быть) это может говорить в пользу моей версии, что таки скрипт-кидди осиливший чуть модифицировать имеющийся вирус.
Со 100k машин у вас выйдет 1.7 XMR за суткиВот 100к машин, выдающих 7 хешей\сек. Расчёт идёт для работающих круглосуточно, но с учётом того что заразили 300к машин, примерно такой доход ожидать и стоит. За один день не вирус точно не заметят, если майнер правильный — и месяц поработать может.
Что-то я запутался или мне спать пора.
Есть статья от 11,04,2016 (!) про этот вирус. Там создали сайт и программу как раз для разблокировки дисков от этого вируса. Неужели после такого этот локер еще жив? Или это новая версия Пети?
Есть статья от 11,04,2016 (!) про этот вирус. Там создали сайт и программу как раз для разблокировки дисков от этого вируса. Неужели после такого этот локер еще жив? Или это новая версия Пети?
Вирус живет пока интересен своему создателю. Путем выпуска новых версий.
Там создали сайт и программу как раз для разблокировки дисков от этого вируса. Неужели после такого этот локер еще жив? Или это новая версия Пети?
Тот разлокер не помогает с текущей версией вируса, плюс вроде есть сомнения что это вообще тот же Петя (точнее вирус от того же автора), возможно это похожий, но совсем другой вирус.
Всем привет.
- Выплата преступникам или не выплата определяется ценой каждого варианта. Эмоции здесь пустое.
- Как налогоплательщика меня волнует работа многочисленных карательных органов РФ. Чем занимаются бесчисленные отдеы абвгд к?
- Все операции битка хранятся в открытом виде(https://blockexplorer.com) в самом блоке.
- Операция не привязана ни к чему, но, идя по цепи сделок можно попытаться найти зацепку. Кто обналичил преступный биток.
- Как как минимум, фбр накрыла крупнейшую международную наркоплощадку в дакнете шелковый путь
Скрыть цепочку в биткоине не сложно, завёл на биржу, вывел в zec, monero, миксанул, можно опять купить биткоины, и начать тратить с карты, найти концы нереально. Вариантов масса.
Ульбрехта поймали не через цепочку платежей, а в реале, он просто много косячил.
Ну и поймали одного, распиарили, а сколько не пойманных.
- Именно. Правда, вариант выплаты во-первых не гарантирует результата, а во вторых, пусть и очень косвенно, но является финансированием следующей атаки, так что "фи" вам обеспечено.
- Заняты делом. Придумывают, не получится ли обвинить в распространении вируса Навального, американцев или хотя бы лично вас.
- Ваистену.
- Преступный биток раздробили по частям и обменяли на другие криптовалюты на биржах, а за них купили ещё менее отслеживаемые ресурсы или просто убрали в ящик годика на три.
- По официальной версии, хозяин площадки обнаглел от безнаказанности и перестал нормально скрываться. По неофициальной, его сдали в оффлайне, подельники.
как я понял Windows села в лужу (со своими дырами для ЦРУ), антивирусы хлюпали носом в той же луже чуть ли не до вечера? Тем временем Петя вписывал себя в mbr и шифровал первый раздел активного диска напрямки. То есть спаслись от него те, кто с UEFI? Но ведь ничего не мешает в следующих итерациях научить петю шифровать все устройства и понимать UEFI. То есть сто процентная защита от бяки это рейд, от текущего пети спасло бы софт зеркало, от обученного уже только сторонний контроллер где без драйверов он бы дисков не увидел. А как быть когда файлы шифруются на работающей хост системе? Там тоже ничего не мешает сходить по smb и зашифровать все что в сети включая бекапы. По моему все очень плохо, как был лучший вариант — хард на полочке так и остается
Sign up to leave a comment.
Слать биткоины бесполезно: автору Petya заблокировали почтовый ящик