Как стать автором
Обновить

Комментарии 77

HET — фu3uke u ucTopuu B pacnucaHuu uy7!
НЛО прилетело и опубликовало эту надпись здесь
Ну как зачем?
Вот из недавнего: в техотдел пришло письмо с каким-то счётом (zip, а внутри .js замаскированный под doc документ), пользователь открыл, ничего не открылось, переслал письмо экономисту — тоже открыли, ничего не открылось. А через некоторое время пропали документы — оказались зашифрованными vault. Вот только тогда побежали к специалистам и всё рассказали. Хорошо, версия зловреда старая была — не удалила теневые копии, из них и восстановили документы. Иначе — только платить хацкерам (и не факт, что дадут ключ для расшифровки)
а внутри .js замаскированный под doc документ

Как это работает? Серьезно, не могу представить себе ни одного способа запустить вредоносный js из почтового вложения
Сохраняете файл на рабочий стол, например, и запускаете.
Это видимо в в том случае, если стоит настройка "скрывать расширения зарегистрированных типов файлов"?
А стоит она в Windows по умолчанию, к сожалению. Еще и современные пользователи про расширения ничего знать не знают, увы.
В почтовом вложении — архив zip. Почтовик его спокойно пропускает, антивирусы тоже (ибо используется вполне легальный gpg в итоге), пользователь открывает архив (используется 7zip), в файловом менеджере 7zip показывается файл с именем вида: "Счёт за что-то-там хз что… короче длинное название… от 25 января 2016г.doc [тут куча пробелов — в комментарии они обрезаются почему-то] .js"
Пользователю видно только название файла, и что в конце стоит .doc
Конечно, можно и полное имя просмотреть, но кто ж будет-то разглядывать?
И двойным щелчком файл извлекается и запускается (используется системный cscript или wscript). Далее скрипт (он кстати сильно обфусцирован) собирает другой скрипт, запускает его на выполнение, он уже закачивает нужные файлы из интернета, и запускает шифрование. В некоторых вариантах сам скрипт уже содержит в себе все файлы, закодированные прямо в теле скрипта в base64, и ничего из интернета не тянет, а только отправляет ключ злоумышленнику, после чего тщательно ключ затирается.
используется системный cscript или wscript

Спасибо за это уточнение, не знал про эти вещи
А по иконке файла не видно что он не .doc? Я знаю что екзешникам можно подменять иконку, а другим файлам тоже?
По иконке всё видно. Но пользователю обычно пофигу — ведь важный документ пришёл, какая разница, какой там значок — надо ведь посмотреть.
Есть варианты с подделкой, например, с иконкой, характерной для Microsoft Excel.
А можно поподробнее? Винда разве разрешает менять значок кому-то кроме .exe файлов?
Иконки .js и .vbs для юзера выглядят вполне невинно (типа, не программа же), а в случае .exe, как Вы и сказали, всё легко меняется.
При получении файла с интернета все нормальные браузеры помечают это при помощи отдельного stream'а (тут или на Хабре была как-то статья, почему два файла, побитово одинаковые, запускаются по-разному). При попытке выполнить такой файл Windows делает дополнительный запрос. В данном случае эта цепочка где-то разрывается? Скорее всего, в момент разархивирования? Понятно, что это всего лишь ещё одно предупреждение (которое всё равно никто не читает), но всё равно хоть что-то.
При попытке выполнить такой файл

когда щелкаешь на архив, то выполняется не архив, и не его содержимое, а ранее штатно установленный архиватор (7zip, winrar, winzip, ...), и никакого предупреждения не будет. А вот уже в архиваторе на содержимом архива если дважды щёлкнуть — то распакуется во временную папку, и оттуда запустится ассоциированная с файлом программа, которая, кстати, тоже уже есть в системе. Можно конечно политикой запретить запуск чего-либо из временных папок, но тогда много установщиков в пролёте, и потенциально ещё кучка проблем может появиться.
Ясно. Ну как и предполагал. Тут нужна только поддержка во всех архиваторах, чтобы при разархивировании копировать во все новые файлы все потоки из файла-архива (или хотя бы поток Zone.Identifier). Без этого ничего не получится.
Установщики не в пролете, если разделить права администратора и пользователя. Блочить именно пользователя, а от администратора запускать только проверенный софт.
А как будет выглядеть в SRP запрет запуска из temp пользователя? Указывать что-то вроде %userprofile%?
может просто %temp%?
В идеале — запуск по белому списку.
Лучше прямые пути. А переменными подстраховать.
на самом деле при наличие домена и винды все просто. Через групповые политики настраиваешь белый список тех программ которые нужны, остальное нафиг. Нужно всего лишь потратить денек на настройку, зато потом не будет проблем с клиентскими машинами. Но время сисадмина окупается первым же заблокированным шифровальщиком. Разрешать лучше по сертификатам и хешам, что бы даже с повышенными правами ничего сделать не смогли (а то бывают индивиды с локальными админ правами которые посмотрят в какой папке нет ограничений и туда установят что-нибудь).
Поэтому в 90% случаев достаточно:

reg add «HKLM\Software\Microsoft\Windows Script Host\Settings» /v Enabled /t REG_DWORD /d 0
У меня тоже давно зрела мысль разрегистрировать все .js, .vbs и прочие .scr. В Windows при этом ничего важного не отваливается?
Отключение Windows Script Host — это вполне штатная процедура, плюс оно выводит сообщение при попытке выполнения, так что в случае необходимости временно включить несложно. В случае с .scr тоже ничего страшного не случалось. Касательно удаления ассоциаций на .js и .vbs сложно сказать, не пробовал, но когда-то под XP-ями у меня пара десятков машин годы прожила вообще без wscript/cscript. Соответственно, и ассоциации никуда не вели, но ничего не развалилось.
Да никак не работает



Пользователям просто интересны все эти очень важные документы.
Вложением является архив, который замечательно распаковывается во временный каталог. Оттуда и запускается JS.
Аналогичная проблема была в прошлом году — один и тот же пользователь попался на одну и ту же удочку дважды в течение двух месяцев. Решил проблему блокировкой на почтовике вообще всех вложений, кроме pdf, кое-каких картинок и документов мсофиса/либрофиса. Проверяются в том числе и архивы, если в архиве среди 100 файлов есть один потенциально небезопасный — до свидания весь архив. Да, жестко, да, иногда это доставляет неудобства, но проблема исчезла совсем.
У знакомых прилетела подобная гадость через mail.ru — пытались связаться и заплатить (уж очень много там было данных) — ответа не дождались.
Такие проблемы лучше решать увольнением этого пользователя
Какая знакомая ситуация, бухгалтеру прислали, не открылось, переслали еще на 2 компа и там не открылось! Это при том, что этих людей я предупреждал раза 3, мол вот эпидемия. В их оправдание говорит, только то что письмо пришло от контрагента с которым они реально работают.
сиськи.jpg .exe
Ну HR-спецы, как правило, нечасто сталкиваются с чекдиском и вряд ли вчитываются. А зловред ориентирован именно на них
Позовут эницейщика, он скажет "подожите" с немаленькой вероятностью :)
у и, естественно,
— если не ждешь резюме — ну зачем открывать приложение?

В Германии распространенная традиция — инициативное резюме. Многие компании так и пишут "позиций сейчас нет, но вы пришлите инициативное резюме — может и получится".
Тут главное другое — почем не задумываются, что резюме то собственно влезет в любой почтовый ящик?
По второму пункту не согласен. Встречаются в утилитах и капсы и личное послание:

$ fsck /
fsck from util-linux 2.20.1
e2fsck 1.42.9 (4-Feb-2014)
/dev/vda1 is mounted.

WARNING!!! The filesystem is mounted. If you continue you ***WILL***
cause ***SEVERE*** filesystem damage.
НЛО прилетело и опубликовало эту надпись здесь
"… Оплачивать услуги создателям зловреда в лаборатории категорически не рекомендуется."
Ага, ясно! )) А где их рекомендуется оплачивать, если в лаборатории — нежелательно? И почему там не рекомендуется — это опасно для самой лаборатории? Засветится при инкассации платежного терминала? ))))
Интересно, а если в системе несколько дисков, то шифруются все или только диск с системой?
Vault шифрует даже файлы из облака, так что, скорее всего, и этот все диски зашифрует
Интересно, если в случае заражения (при появлении экрана проверки дисков) отключить дата-диски, и переустановить/развернуть из бэкапа систему — оно сдохнет или оно сразу везде расползается и это не поможет?
Они обычно одноразовые. Выстрелил и сдох. Функция выполнена. Остальное может помешать оплате.
Дополнение к вопросу
И если они и так уже зашифрованы?..
Интересно, а если у меня Ubuntu, то как он умудрится найти диск C с NTFS?
НЛО прилетело и опубликовало эту надпись здесь
А в убунту надо права рута, чтобы весь диск зашифровать. Ну и в письме будет что-то вроде: "сохраните файл, и выполните от имени root'a ". Хотя не, проще впарить прямо пакет, в котором уже будет выполняться какой-то скрипт после установки чего угодно. Типа, делается поддельный сайт, вроде g00gle.com, с которого пользователю дадут скачать супер-новый браузер хром бесплатно без смс. Юзер качает, запускает — его просят пароль, он вводит. Далее легко ставится на самом деле хром (или что он там типа качал), и запускается дополнительно любой payload. Всё.
Без прав рута документы пользователя и под линуксом зашифровать тоже легко — достаточно башевский скрипт впарить пользователю, и указать, чтобы он сам сделал его исполняемым, и выполнил. (тут нужна тоже соц инженерия, но несколько иная). Если скрипт обфусцировать, да сделать с виду таким, чтобы с первого взгляда незаметен был подвох — то и системный администратор может проморгать. Меры защиты тоже есть, например, убрать со всех разделов возможность запускать исполняемые файлы, но возможны некоторые проблемы.
Если под wine виндовый вирус- то вирус скорее всего обломится, чтобы весь диск шифровать, а вот документы пользователя — запросто. Так что wine'у не надо "показывать" другие диски, кроме его собственного системного (с).
Значит вы — не целевая аудитория
В статье не указано, что зловред для Windows. Читалелю предлагается об этом догадаться.
Интересно, а запуск такого файла в песочнице SandBoxie поможет защититься? Вообще, штатные средства хоть как-то отрабатывают? Ну типа если учетка пользователя, то админский пароль спросит или нет?
Ну зашифрует он только те файлы, которые пользователю доступны (а это как раз таки документы, обычно). А системные файлы, которые требуют прав админа, он не зашифрует. Да и не очень-то они и нужны
Зачем затирать адреса их адреса в Торе? Опасаетесь, что кто-нибудь испытает неудержимый порыв сходить и заплатить просто так?
Неплохо защищает от таких шифровальщиков запрет запуска скриптов через групповые политики. Уже не раз спасало.
НЛО прилетело и опубликовало эту надпись здесь
По поводу обхода UAC — я слышал много угроз продемонстрировать мне это чудо, но живьём так и не увидел ни разу. Обычно, по моему опыту, это самый лучший Windows — XP. А пользователь на нём должен быть обязательно админом, потому что иначе у него что-то там не работает, а разобраться с настройкой прав даже поставщик ПО не всегда может.
Ну, или система, в которой UAC есть, но он напрочь выпилен администраторами, потому что до сих пор многим неудобно.
Т.е. можно утверждать что включенный UAC это уже достаточно хорошая защита от подобного рода шифровальщиков? Ну, в плане что обойти его они не смогут и запрос на запуск исполняемого файла будет появляться всегда?
Скажем так: включенный UAC сбрасывает права администратора к пользовательским, а для привилегированных действий требует подтверждения. Соответственно, если не используются никакие дыры в безопасности для тихого повышения прав — да, от таких шифровальщиков UAC спасать должен. У себя я его вообще в параноидальный режим выкручиваю на всякий случай. =) Как Вы понимаете, от классических шифровальщиков UAC не спасёт.
Вообще-то по факту клика на ссылку файл должен тупо скачаться, в худшем случае, либо спросить, куда его скачать. Никакие MBR'ы не могут по факту клика сразу же модифицироваться. Что за бред.
Тьфу, за последнее время задолбали спамом с теслакриптом/локи, в день штук 5 писем на ящик прилетает, какое-то весеннее обострение у ксакепов началось.
Блин, как это мило


Вот уж поистине — на западе вежливые люди.
Думаете, "западный" вирусопейсатель назовет свое детище "Petya" ?
Вполне может.
Ага, почти уверен, что авторы этого Пети на хабре/ГТ присутствуют.
Интересно, какой от такого малваря выхлоп, это же много часов кодинга, тестирования и мотивации нужно чтобы что-нибудь получилось.
Выхлоп, я думаю, нормальный. Потому как цены на расшифровку у них обычно в сотнях долларов (500-700 обычно).
Сотня человек попалась — можно полгода жить припеваючи в любой точке планеты.
А что, исходников того же truecrypt'a нет нигде? Там всё это уже реализовано, останется сделать только обёртку, которая автоматом сделает чёрное дело. Тестирование — не так уж много бывает конфигураций ПК, где разные интерфейсы дисков, разные ОС, разные bios/uefi, разные загрузчики — ну с десяток наиболее распространённых вариантов протестировать, и хватит. Мотивации выше крыши — деньги немалые просят за расшифровку.
Похоже, обновление загрузочной записи каждую секунду скоро станет крайне важной задачей…
для параноиков: можно поставить загрузчик на устройство с защитой от записи (например, на sd карту с защёлкой). Правда, если на компе uefi, есть возможность программно выбрать другое устройство загрузки, так что продвинутые вирусы вполне могут обойти. А ещё лучше всю ОС на read-only устройстве держать — пусть хоть какой вирус мучается, после перезагрузки будет всё как и было. Данные… а вот данные бэкапить надо всё равно.
кстати про защёлку, она чисто софтовая.
Неправда Ваша. Она аппаратная. Но обрабатывает её положение картридер. Неоднократно проверено. Я себе даже сделал картридер с переключателем, вместо того, чтобы защелку туда-сюда двигать (она изнашивается, и потом съезжает постоянно). Но не все йогурты картридеры одинаково полезны. Некоторые игнорируют положение этой защёлки (хотя должны учитывать), попадались и такие, что ровно через одно подключение работали правильно (то реагирует на защёлку, то нет), так что нужно проверять.
полу-софтовая :)
нууууу… Если прошивку картридера софтом (в обыденном понимании) считать — то да, наверное этим софтом обрабатывается. Но на комп передаётся только признак того, что носитель read-only. И это не зависит от ОС — работает и в линуксе, и в винде, и даже в uefi
Скажите, а помогла бы в подобных случаях синхронизация важных файлов с облачными дисками? Где-то выше упоминалось, что некоторые зловреды шифруют файлы и в облаке, но правильные облака же должны при этом сохранить предыдущие (до шифрования) версии.
Может ли зловред добраться до предыдущих версий в облаке через API или как-то иначе?
НЛО прилетело и опубликовало эту надпись здесь
Кроме групповых политик помогает фильтрация на сервере. Amavis + postfix рубят все архивы с исполняемыми файлыми внутри (включая js). В день 200-300 писем с такой ерундой убивается.
В ответ злоумышленники будут слать запароленные архивы с шифрованием имён файлов, а пароль сообщать прямо в тексте письма. Вероятность, что пользователь откроет — будет не намного ниже, но при этом ни один антивирус ничего не спалит. Останется ещё и все запароленные архивы тоже рубить.
Они надеются, что Petya шифрует все же лишь доступ к файлам, но не сами данные накопителя. Ответа на вопрос: возможно ли восстановление данных диска в случае заражения на данный момент нет.

Шифруется таблица MFT. Восстановление и загрузочной области и записей файловой системы вполне реально, несмотря на используемое шифрование.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий