Ненавидим и затравлен: опасная жизнь взломщика вирусов, наживающего себе могущественных врагов

[faustxp]

и для них ничего бы не стоило заплатить 10-20 тысяч какому-нибудь русскому, который заявился бы ко мне домой и избил бы до полусмерти

Ох уж эти стереотипы.
Минимум 25.

[SLY_G]

Правильно, нечего демпинговать.

[tuxi]

Еще же надо медведю заплатить и балалайку купить :)

[Capacitor10n]

del

[androidovshchik]

На водку не забудь тоже)

[arthi7471]

Я ржал в голос с этой фразы. Ну поцчему нас всех считают убивцами? Что за бред! Мы даже по преступности среди стран где-то на стопицотом месте! Ох уж эти сказки, ох уж эти сказочники.

[mkovalevskyi]

66
или у вас более другие данные? ;)

[Naves]

Он же из восточной Германии, возможно местный фольклор со времён ГДР и Штази. Да и сейчас novichok на слуху.

[shm-vadim]

Югославия, Ирак, Афганистан, Сирия… Но это все ничего.
Кстати, Прибалтика-то тут причем? В свое время отпустили, как миленьких. Сейчас в ЕС и НАТО входит.

[engine9]

Люди судят не по фактам, а по картинке. Медиавойны выигрываются в телевизоре.
Закат дирижаблестроения начался не после самой большой (по количеству жертв) катастрофы, а после того как в прессе появились фото пылающего зловещим адским пламенем «Гинденбурга».

[MacIn]

А что Прибалтика?

[frkbvfnjh]

Ну вообще то Русские — страшные люди! Вы вообще росли в 90-х? Когда уличная братва могла тебя забить до смерти просто потому, что вышел за хлебушком.

[1c80]

Ну Вы сгущаете краски, или перепутали со временами СССР, когда алкаши творили что вздумается.
В 90-е для достижения такого результата, надо было или попасть под раздачу или что то сделать, так как непонятно, кто там идёт за хлебушком и что там у него под плащом находится.

[DarthVictor]

Есть и положительные моменты. В Париже возле Сакре-Кёр ко мне пристал какой-то афропарижанин в попытках продать какую-ту херню со словами «Respect Africa» (не знаю почему по-английски). Я пытался от него отделаться отвечая по-французски, но он только больше злился. А потом моя жена обратилась ко мне по-русски и пацана как ветром сдуло.

[Fly3110]

У нас было примерно так же. Какой-то афро-француз в Париже нагрузил нас с супругой и дочкой статуэтками эйфелевой башни (под этой самой башней) и никак не отставал. Дело было давно, точно не помню, что мы сказали, но мы в шутку сказали что-то про то, что им займется «evil KGB» :) Он нам подарил одну статуэтку и испарился )

[safari2012]

Не там, где винтажная карусель, случайно? К нам там тоже приставали…

[xleb0re3]

это в фунтах. в долорях так и будет 25К. С- стабильность

[GooFFu]

он делает это не один, а в компании emsisoft

[avia07]

Ох уж эта бибиси! И охота вам эту ахинею переводить?

[feyd12]

Легкая и ненавязчивая реклама Emsisoft)) Кстати, я вот считаю, что все глобальные эпидемии последних лет сослужили хорошую службу в целом, выявив глобальный масштаб проблем и наплевательство крупных компаний на ИБ и своих клиентов, даже при выпущенных обновлениях безопасности.

[teecat]

Если интересно, то да. Письма нам с угрозами писали пару раз (уж не знаю какие они были программисты, но письмо было совершенно безграмотное). Сообщения нашим аналитикам тоже были — типа «как тебе такое Илон Маск?». Но в реальности случай нападения был один — и то почему-то не на центральный офис, а на офис партнеров

[MacIn]

Я почему-то думал, что вымогатели используют шифрование с открытым ключом — что там можно «взломать»? Разве только найти уязвимость в реализации алгоритма шифрования.

Я знаю, сколько они зарабатывают, и для них ничего бы не стоило заплатить 10-20 тысяч какому-нибудь русскому, который заявился бы ко мне домой и избил бы до полусмерти.

Угу, russians are the scariest white people©. Клюква — она такая, бессмысленная и беспощадная.

[xfaetas]

ничего бы не стоило заплатить 10-20 тысяч какому-нибудь русскому

Скорее британский аналог условных российских таджиков. В России бы сказали «заплатить 10-20 тысяч какому-нибудь таджику».

[MacIn]

Британский аналог «таджиков», насколько мне известно — это поляки или литовцы.
Тут имено рашн мафиа стереотип. Петров и Васечкин и так далее.

[arielf]

Петров и Боширов!

[arielf]

У поляков и литовцев по крайней мере европейские паспорта

[MacIn]

И что? Это ж про трудовых мигрантов.
А так-то и у русского может быть европейский паспорт.

Петров и Боширов!

Петров и Васечкин

[arkamax]

Угу, russians are the scariest white people

Стереотипы про русских не всегда вредны, а иногда и полезны. На волне нытья в СМИ про русских хакеров у нас в компании нет вопросов, кому из сотрудников оплатить поездку на DEF CON 8=) Разумеется, смысл далеко не только в этом, но лучше, когда коллеги подтрунивают, вместо того, чтобы обижаться, что едут не они.

[feyd12]

Вот это грамотный подход, одобряю))

[dartraiden]

Я почему-то думал, что вымогатели используют шифрование с открытым ключом

Это если автор вымогателя умный. Чаще бывает вот так:

Исследователи установили, что вымогатель CryptoHost использует для генерации хеша SHA1 ID процессора, серийный номер материнской платы и серийный номер диска C:\. Данный хеш затем применяется для присвоения имен RAR-файлам, а также для создания пароля к архивам, наряду с именем пользователя, которое закреплено за жертвой в Windows.

Ключи к данным, зашифрованным Petya, удалось подобрать вот так. Фабиан, в свою очередь, написал утилиту, которая этот процесс автоматизирует и делает более простым для неискушённых пользователей.

[egigd]

Как-то странно: почему работает целая компания, но «наезжают» на него, а не руководство этой компании?.. Не будет его — наймут другого, да и всё.

[GooFFu]

а где в тексте сказано, что наезжают только на него одного? присылают каждому в зависимости от вовлеченности или известности

[mkovalevskyi]

видимо это такая немного не реклама, в стиле — на всю компанию есть только один кто все тащит, а все остальные чисто обслуживающий персонал )

[ivanrt]

Ага, вымышленный герой, чтобы отвести угрозу от остальных?

[Sabubu]

Потому что так страшнее. Поменяют его на другого программиста — запугают и того, и никто больше не захочет этим заниматься.

[roscomtheend]

А как наехать на руководство? Прислать письмо с угрозами — найдут, пакет с какашками под дверь кинуть — камеры, а так угрозы максимально анонимны и эффективны (достаточно упомнять вес и он убегает, запугав себя русскими хакерами, могущими сломать не только сервер).

[eagleivg]

Классический пример хорошего человека — делает хорошо другим, даже если ему от этого плохо.

[agarus]

Из-за засвеченых фоток в интернете переезжать в другую страну… Чего-то я подозреваю, что у него может нормально так играть паранойка и тогда в принципе, ему разницы нет, что он делает — ему всё равно страшно и плохо.

[MaxDamage]

Там же написано, что в Германии система регистрации, и зная имя, а тем более город, найти человека можно достаточно законными методам. Так что разница есть.

[chupasaurus]

Про онлайн настолки — знакомтесь, Roll20.

[mkovalevskyi]

покер это не то что можно назвать «стоят не много» )

другой вопрос, как «скрывающийся» кадр, палит привселюдно хобби, которое как бы нехило так ограничивает круг поиска?..

[GREK74]

Возможно это сознательный слив.

[mkovalevskyi]

штрилиц знал что борман в курсе. но знал ли борман что штирлиц знает что борман в курсе? ;)

[DaneSoul]

Может как в анекдоте:
— Ты что дурак пин-код на банковской карточке писать?!
— Сам ты дурак. С чего ты решил что это верный пин-код?

[Lorian_Grace]

Ещё вариант — tabletop simulator, там можно играть именно в настолки, а не в НРИ.

[uvelichitel]

Это наверное что то детское, воспитательное. Злые дяди, добрые полярные мишки, школьная учительница из Техаса (США) наконец выходит замуж.)

[MaximChistov]

Так и не понял, как он может взломать программу, которая получает открытый ключ из командного центра, и вообще в другом месте, только после оплаты, шлет закрытый ключ… Вряд ли он взомал RSA)

[MacIn]

Скорее всего, речь про шифровалки, которые генерят оба ключа на месте, в зависимости от параметров системы (ID BIOS'а и т.д.). Тут да — можно посмотреть алгоритм генерации ключей и сделать расшифровку.
Только, сдается мне, немного осталось шифровальщикописателей, которые так делают.

[theurs]

Когда вы вообще в последний раз видели блокиратор или шифровальщик? По-моему они вымерли.

[agarus]

А он себя после этого не удаляет чтоли?

[GarfieldX]

Есть подозрение, что такой подход не особо практикуется, т.к. занятие не укладывается в рамки законодательства и компетентные органы могут сначала ухватиться за канал ведущий к этому центру, а потом и за тестикулы кого-нибудь из причастных. Потому вымогатель должен быть автономным, а какой-нибудь биткоин прекрасно обеспечивает анонимность получаемого выкупа.

[tumikosha]

>а какой-нибудь биткоин прекрасно обеспечивает анонимность получаемого выкупа.
Отнюдь, его кто-то только не анализирует

[Vadim_IT]

Квалификации авторов не хватает чтобы реализовать такое, иначе они бы не работали хакерами, а сидели бы в удобном офисе с хорошей зп которая была бы и не рисковая и деньги честные не сказать что особо много, но зп программистов в какой нибудь европе заметно выше чем у среднестатистического офисного планктона. Ну и о реализации вируса: нужно подумать уже и о сетевой анонимности, по таким сетевым следам поймано немало хакеров.

[feyd12]

Начало как в дешевом детективе, не уверен, что осилю))

[EobardThawne]

Использует свое реальное имя и удивляется, что о нем узнали. Л — логика.

[CHolfield]

Я не понял, писатели вирусов — дебилы, или не знают об асимметричной криптографии? Почему не пошифровать все открытым 4096-бит ключем и отписать Фабиану в коде чтоб мазика побольше положил?
Упд: ясен пень я не первый подумал на эту тему)

[selivanov_pavel]

Тоже не понимаю этого момента. Асимметричное шифрование все шифровальщики освоили давным давно, поддавались извлечению вшитого ключа и расшифровке только некоторые из первых появившихся.

Скорее всего, статья — рекламный фейк.

[Greenback]

для каждого шифруемого компа должен быть уникальный ключ дешифровки. И шифровальщик должен работать автономно.

[selivanov_pavel]

Опять же тривиально реализуется. Генерируем уникальный ключ для компа, шифруем открытым ключом преступника, незашифрованный ключ удаляем. Чтобы расшифровать данные на компе, надо перевести преступнику XXX денег и отправить зашифрованный ключ, а он пришлёт утилиту расшифровки.

[roscomtheend]

Сдаётся мне, что имея подобные компетенции, вы зарабатываете на жизнь не созданием шифровальщиков. В этом и секрет, посмотрите уровнем пониже — половина изобретает собственный надёжный способ шифрования xor 55h, думая что они крутые и никто не догадается взломать их шифр.

[dartraiden]

Некоторые сих пор не используют ассиметричное шифрование. Лень, некомпетентность авторов, причин много.

Например, тот же «Петя» трёхлетней давности поддаётся расшифровке.

[Wesha]

Ну вот, понимаешь ли, BBC старалась, придумывала, а тут пришёл CHolfield и всю малину развесистую клюкву им обоссломал.

[engine9]

Например, герой статья может быть очень застенчивым человеком и не уметь «продавать» себя. К тому же описанный вами стереотип «успешности» весьма нереалистичный и тиражируется скорей в криминальных киношках и играх про наркобаронов.

[GarfieldX]

Это тоже своеобразный стереотип, что хорошо обеспеченный человек обязательно должен "соответствующе" отдыхать, т.е. на "широкую ногу". Обычно же реальность совершенно противоположна. Например, человек умеющий зарабатывать может совершенно не уметь тратить. С айтишниками же вообще все сложно, ведь специфика их увлечения и источника способностей делает из них интровертов, для которых разгульный отдых противоречит характеру.

[amarao]

Я ничего не понял. Товарищ научился ломать асимметричную криптографию медитацией над исходниками? Или вымогатели перестали нормальным шифрованием пользоваться?

[Barafu_Albino_Cheetah]

А был ли товарищ? По-моему, ахинея в одном ряду со школьниками, взломавшими Пентагон, и хакерами, которые украдут любой сайт по желанию.

[GarfieldX]

Может вымогатели особо не заморачиваются и творят лажу, которую можно вывернуть мехом внутрь, чем упомянутый персонаж и занимается.

[sim3x]

0. Нормально применять крипту нужно уметь
1. Просто ассиметричное шифрование не спасает — нужна длинна ключа и правильный алгоритм
2. Ошибки в коде
3. «Место хранения» закрытого ключа можно вскрыть
4. Атака на самих вымагателей
5. Сигнатуры дял антивирусников

[amarao]

Первые три пункта решаются 5-минутной медитацией над параметрами командной строки gpg. Сигнатуры для антивирусников очень помогают расшифровать, да.

[sim3x]

В то же время сертификаты DarkMatter подверглись пристальному рассмотрению. И быстро обнаружилась странность: для последовательных номеров сертификатов использовались случайные числа из 63-битного пространства вместо 64-битного, как положено по спецификации. Это нарушает требования CA/B Forum по минимальной энтропии (64 бита). Таким образом, у Mozilla появились формальные основания отказать «шпионам» во включении в доверенное хранилище сертификатов.

Однако выяснилось, что подобное нарушение допустила не только DarkMatter, но с десяток удостоверяющих центров, в том числе GoDaddy, Apple и Google. Причина в том, что все пострадавшие УЦ использовали популярное open source PKI-решение EJBCA с неправильными настройками.

habr.com/ru/company/globalsign/blog/449098

Первые три пункта решаются 5-минутной медитацией над параметрами командной строки

ага
да

[maikus]

Он так боялся, что русские его порешат, что уехал из Германии в Великобританию. Новостей что ли не читает?? Общеизвестно же, что русские всех убивают (или здоровья лишают) именно в Великобритании, а в Германии таких случаев вроде бы и не отмечено.

[safari2012]

Как это? А 1945??

[maikus]

Ну да. Было. Но это же было задолго до появления всяческого ransomware. И вообще, они тогда первые начали.

[Resistow]

Больше на рассказ похоже-много сумбура и псевдонакрученности.Но прикольно.

[1c80]

а где антивирусы этого Фабиана? я не смог найти. кто то пользовался реально? они действительно могут декодировать зашифрованные файлы?

[axe_chita]

Странный герой рассказа, вродебы безопасностью занимается, а личную инфу стал подчищать только когда подгорело. И почему стал её удалять, создавая а не отчетливый кильватерный след, а не забил противоречивыми фактами?

[igorp1024]

Перевод слишком правильный. :)

fabian lay of the cheeseburgers you are fat
«Фабиан, завязывай с чизбургерами, ты жирный!»

Это должно звучать как-то вроде "фабиан кладка чизбургеры ты жирный", ибо "lay off"

fabian stop eat hamburgers, serious man
«Фабиан, кончай жрать гамбургеры, чувак, серьёзно»

А это — "фабиан прекращать кушать чизбургеры, серьёзный человек", т.к. "eating" и "seriously"

[Wesha]

fabian lay of the cheeseburgers you are fat

Это должно звучать как-то вроде «фабиан кладка чизбургеры ты жирный»

«to lay off» — «отложить [в сторону]», «прекратить использовать». Язык подучите, прежде чем советовать.

[igorp1024]

Язык подучите, прежде чем советовать.

Не стОит так бурно реагировать, просто чуть более внимательно посмотрите мой комментарий. :)

[Wesha]

И то правда

[FloorZ]

По поводу рассшифровки и прочего.
1 — шифровать надо по сгенерированному ключу на месте. Обычный Rand с сидом текущего времени и хэшем не пойдет (да и то, найдя точное время активации вируса — мы найдем сид) Т.к. по той или иной причине, антивирус может блокануть вирус, не дав ему отправить ключ расшифровки. А если их вирус будет безвозвратно уничтожать данные — им не будут слать деньги.

2 — вирус не всегда может отослать ключь злоумышленнику. Либо он ждёт подключение к сети. Либо создает хэш, на основании каких то констант пк. А по этому хэшу и какойто соли, которая известна только злоумышоеннику — генерирует ключь.

3 — задача злоумышоенника не уничтожить данные жертвы. Злоумышленник должен получить выгоду. По этому нету смысла создавать вирус, ключь к которому легко по ерять.
В идеальном сценарии:

• Вирус генерирует ключь, возможно юзая аппаратный шум.
  
  • Шифрует
  • отправляет ключ на сервер
  • удаляет себя

Видите сколько точек отказал?
Плохой аппаратный генератор.
Отсутствие связи с сервером.
Удаляет себя раньше положенного.

Если мы сделаем принудитеное удаление, если нету связи — потеряем жертву.
Если мы не будем отправлять ключь пока нету связи и находится в режиме ожидания — в этот промежуток времени может случиться что угодно. Блокировка антивируса, перезагрузка пк, убийство процесса и т.д.

Если бы можно было просто шифрануть данные и уничтожить приватный ключь на пк и гарантированно доставить его на сервер — проблем бы не было.

[roscomtheend]

И для 1c80
Смысл сложности? Когда-то писали: многие шифровальщики и не собирались расшифровывать данные (а где-то и адреса кошельков были заменены), т.е. во втором случае клиент потерян, а про первый узнают единицы. В любом случае платит определённый процент, потом нужен новый шифровальщик, кто не собирается годы болтаться на этом рынке, поддерживая репутацию благородных разбойников (как себя, так и всего рынка), тот может экономить и повышать безопасность, не оставляя следов в виде писем с ключами/утилитами.
У кого не отправилось, тот узнает только после оплаты, а если не будет платить, то и не узнает.

[1c80]

А зачем так сложно? можно сначала отправить ключ, а потом уже шифровать, получив ответ сервера, что ключ принят и троян установлен.
судя по последнему случаю, в одной конторе, вообще сначала был установлен кейлогер,
который снял админский пароль, а потом уже шифранули все, в том числе и скл сервер,
на котором они предварительно остановили службу, такое не видел ещё.
хотя потом выяснилось, что предыдущему админу не заплатили, возможно это он и сделал.

[FloorZ]

А если нет ответа от сервера? Например на шлюзе адреса блокируются? Тогда нужен гибридный подход.
Оффлайн и онлайн. В два раза больше работы в итоге.
А если шифрование прервалось на середине? Пользователь убил процесс или перезагрузился? В этом случае, ключь надо сразу уничтожить. Но тогда, как продолжить шифрование? А что с деньгами? — т.к. программа перезапустилась и вторая половина данных зашифрованно под другим ключем, как тогда поступать? Просить деньги за каждый ключ?

Нюансов на самом деле много)
Вопрос, сколько готовы потратить времени на разработу

[1c80]

А если нет ответа от сервера? Например на шлюзе адреса блокируются?

тогда не запустится

А если шифрование прервалось на середине? Пользователь убил процесс или перезагрузился?

процесс как я смотрю потом спокойно продолжается, они видимо решили проблему, как продолжить

[Gamliel_Fishkin]

Погуглил. Примерно то же, что и здесь. «Тогда автор(ы) малвари сконцентрировались на улучшении кода, а также начали применять обфускацию, используя VMProtect. ‹…› Разработчик малвари тогда перешел на использование другого алгоритма». «Узнав о появлении дешифровщика, автор Radamant сразу же взялся за создание второй версии».

Злоумышленникам проще было бы создать что-то на основе исходников GnuPG, захардкодив свой открытый ключ — но они предпочитают уподобляться мухе, бьющейся об стекло рядом с открытой форточкой.

[tumikosha]

Нёрд и фатцель(жирный девственник). Очень популярная тема. Мол сильно страшный и не нравится женщинам. Нашел бы себе жену, так она бы его замотивировала на создание своей компании. А если бы хорошую жену, то она бы помогла компанию поднять, как Касперская.
Кстати, вроде все уже поняли, что мошенников ловят на расшифровке, поэтому никто ничего уже не расшифровывает. Просто шифруют и ждут денег.
Сильно не хватает линии противостояния феминисткам. Может они в Emsisoft-е директорами да маркетологами работают и беспощадно его эксплуатируют? ;0)

[1c80]

нет, ключи они смотрю присылают, а то кто бы им платил.
другое дело, что некоторые из принципа не платят и заставляют сотрудников все восстанавливать и обычно без доплат, за то что те, чуть не ночами потом сидят
и все равно полностью восстановить не получается.
и ловить их я так понял никто особо не ловит, кому это надо, когда есть столько других более важных дел.
Поставьте пожалуйста плюсов кому не жалко, а то комментировать не удобно, раз в 5 минут только

[feyd12]

Плюсы тут не помогут, тут карму поднимать нужно. Такова наша с Вами скорбная юдоль))

[1c80]

Спасибо, тем кто поставил плюсы и тем кто хотел поставить и не смог тоже спасибо.
Ну мне карма не так важна, а вот удобство комментирования желательно,
я так заметил, что плюсы на это влияют.

[Gamliel_Fishkin]

Если напишете что-нибудь достойное размещения на Хабре… в общем, многое зависит от Вас.

[1c80]

Ну не писать же, ради кармы, это как то не правильно.
а так да, есть пара мыслей, потом может соберусь.

[saintbyte]

ничего бы не стоило заплатить 10-20 тысяч какому-нибудь русскому, который заявился бы ко мне домой и избил бы до полусмерти

Странно я думал у русских полоний и новичок.

[feyd12]

Ещё галстуки и батарея

[Dioxin]

холодильники для хранения крови и оборудование операционных – отключились из-за вируса, который шифровал все данные
1. Неужели холодильник на Винде?
2. А зачем холодильнику вообще инет-сеть?

[Wesha]

Ну как, не понятно, что ли? Была кровь первой группы, проник в неё вирус и зашифровал, и теперь никто не знает, какой она группы ;)

[mkovalevskyi]

blogs.microsoft.com/iot/2016/08/16/iot-enabled-smart-fridge-helps-manage-vaccines-and-saves-lives