Комментарии 77
Dis is one half.
+12
НЛО прилетело и опубликовало эту надпись здесь
Ну как зачем?
Вот из недавнего: в техотдел пришло письмо с каким-то счётом (zip, а внутри .js замаскированный под doc документ), пользователь открыл, ничего не открылось, переслал письмо экономисту — тоже открыли, ничего не открылось. А через некоторое время пропали документы — оказались зашифрованными vault. Вот только тогда побежали к специалистам и всё рассказали. Хорошо, версия зловреда старая была — не удалила теневые копии, из них и восстановили документы. Иначе — только платить хацкерам (и не факт, что дадут ключ для расшифровки)
Вот из недавнего: в техотдел пришло письмо с каким-то счётом (zip, а внутри .js замаскированный под doc документ), пользователь открыл, ничего не открылось, переслал письмо экономисту — тоже открыли, ничего не открылось. А через некоторое время пропали документы — оказались зашифрованными vault. Вот только тогда побежали к специалистам и всё рассказали. Хорошо, версия зловреда старая была — не удалила теневые копии, из них и восстановили документы. Иначе — только платить хацкерам (и не факт, что дадут ключ для расшифровки)
0
а внутри .js замаскированный под doc документ
Как это работает? Серьезно, не могу представить себе ни одного способа запустить вредоносный js из почтового вложения
0
Сохраняете файл на рабочий стол, например, и запускаете.
+1
В почтовом вложении — архив zip. Почтовик его спокойно пропускает, антивирусы тоже (ибо используется вполне легальный gpg в итоге), пользователь открывает архив (используется 7zip), в файловом менеджере 7zip показывается файл с именем вида: "Счёт за что-то-там хз что… короче длинное название… от 25 января 2016г.doc [тут куча пробелов — в комментарии они обрезаются почему-то] .js"
Пользователю видно только название файла, и что в конце стоит .doc
Конечно, можно и полное имя просмотреть, но кто ж будет-то разглядывать?
И двойным щелчком файл извлекается и запускается (используется системный cscript или wscript). Далее скрипт (он кстати сильно обфусцирован) собирает другой скрипт, запускает его на выполнение, он уже закачивает нужные файлы из интернета, и запускает шифрование. В некоторых вариантах сам скрипт уже содержит в себе все файлы, закодированные прямо в теле скрипта в base64, и ничего из интернета не тянет, а только отправляет ключ злоумышленнику, после чего тщательно ключ затирается.
Пользователю видно только название файла, и что в конце стоит .doc
Конечно, можно и полное имя просмотреть, но кто ж будет-то разглядывать?
И двойным щелчком файл извлекается и запускается (используется системный cscript или wscript). Далее скрипт (он кстати сильно обфусцирован) собирает другой скрипт, запускает его на выполнение, он уже закачивает нужные файлы из интернета, и запускает шифрование. В некоторых вариантах сам скрипт уже содержит в себе все файлы, закодированные прямо в теле скрипта в base64, и ничего из интернета не тянет, а только отправляет ключ злоумышленнику, после чего тщательно ключ затирается.
+4
используется системный cscript или wscript
Спасибо за это уточнение, не знал про эти вещи
+1
А по иконке файла не видно что он не .doc? Я знаю что екзешникам можно подменять иконку, а другим файлам тоже?
0
При получении файла с интернета все нормальные браузеры помечают это при помощи отдельного stream'а (тут или на Хабре была как-то статья, почему два файла, побитово одинаковые, запускаются по-разному). При попытке выполнить такой файл Windows делает дополнительный запрос. В данном случае эта цепочка где-то разрывается? Скорее всего, в момент разархивирования? Понятно, что это всего лишь ещё одно предупреждение (которое всё равно никто не читает), но всё равно хоть что-то.
+1
При попытке выполнить такой файл
когда щелкаешь на архив, то выполняется не архив, и не его содержимое, а ранее штатно установленный архиватор (7zip, winrar, winzip, ...), и никакого предупреждения не будет. А вот уже в архиваторе на содержимом архива если дважды щёлкнуть — то распакуется во временную папку, и оттуда запустится ассоциированная с файлом программа, которая, кстати, тоже уже есть в системе. Можно конечно политикой запретить запуск чего-либо из временных папок, но тогда много установщиков в пролёте, и потенциально ещё кучка проблем может появиться.
+1
Ясно. Ну как и предполагал. Тут нужна только поддержка во всех архиваторах, чтобы при разархивировании копировать во все новые файлы все потоки из файла-архива (или хотя бы поток Zone.Identifier). Без этого ничего не получится.
0
Установщики не в пролете, если разделить права администратора и пользователя. Блочить именно пользователя, а от администратора запускать только проверенный софт.
0
на самом деле при наличие домена и винды все просто. Через групповые политики настраиваешь белый список тех программ которые нужны, остальное нафиг. Нужно всего лишь потратить денек на настройку, зато потом не будет проблем с клиентскими машинами. Но время сисадмина окупается первым же заблокированным шифровальщиком. Разрешать лучше по сертификатам и хешам, что бы даже с повышенными правами ничего сделать не смогли (а то бывают индивиды с локальными админ правами которые посмотрят в какой папке нет ограничений и туда установят что-нибудь).
0
Поэтому в 90% случаев достаточно:
reg add «HKLM\Software\Microsoft\Windows Script Host\Settings» /v Enabled /t REG_DWORD /d 0
reg add «HKLM\Software\Microsoft\Windows Script Host\Settings» /v Enabled /t REG_DWORD /d 0
0
У меня тоже давно зрела мысль разрегистрировать все .js, .vbs и прочие .scr. В Windows при этом ничего важного не отваливается?
0
Отключение Windows Script Host — это вполне штатная процедура, плюс оно выводит сообщение при попытке выполнения, так что в случае необходимости временно включить несложно. В случае с .scr тоже ничего страшного не случалось. Касательно удаления ассоциаций на .js и .vbs сложно сказать, не пробовал, но когда-то под XP-ями у меня пара десятков машин годы прожила вообще без wscript/cscript. Соответственно, и ассоциации никуда не вели, но ничего не развалилось.
0
Да никак не работает
Пользователям просто интересны все эти очень важные документы.
Пользователям просто интересны все эти очень важные документы.
+2
Вложением является архив, который замечательно распаковывается во временный каталог. Оттуда и запускается JS.
0
Аналогичная проблема была в прошлом году — один и тот же пользователь попался на одну и ту же удочку дважды в течение двух месяцев. Решил проблему блокировкой на почтовике вообще всех вложений, кроме pdf, кое-каких картинок и документов мсофиса/либрофиса. Проверяются в том числе и архивы, если в архиве среди 100 файлов есть один потенциально небезопасный — до свидания весь архив. Да, жестко, да, иногда это доставляет неудобства, но проблема исчезла совсем.
У знакомых прилетела подобная гадость через mail.ru — пытались связаться и заплатить (уж очень много там было данных) — ответа не дождались.
У знакомых прилетела подобная гадость через mail.ru — пытались связаться и заплатить (уж очень много там было данных) — ответа не дождались.
0
Какая знакомая ситуация, бухгалтеру прислали, не открылось, переслали еще на 2 компа и там не открылось! Это при том, что этих людей я предупреждал раза 3, мол вот эпидемия. В их оправдание говорит, только то что письмо пришло от контрагента с которым они реально работают.
0
сиськи.jpg .exe
+2
Ну HR-спецы, как правило, нечасто сталкиваются с чекдиском и вряд ли вчитываются. А зловред ориентирован именно на них
0
у и, естественно,
— если не ждешь резюме — ну зачем открывать приложение?
В Германии распространенная традиция — инициативное резюме. Многие компании так и пишут "позиций сейчас нет, но вы пришлите инициативное резюме — может и получится".
Тут главное другое — почем не задумываются, что резюме то собственно влезет в любой почтовый ящик?
0
По второму пункту не согласен. Встречаются в утилитах и капсы и личное послание:
$ fsck /
fsck from util-linux 2.20.1
e2fsck 1.42.9 (4-Feb-2014)
/dev/vda1 is mounted.
WARNING!!! The filesystem is mounted. If you continue you ***WILL***
cause ***SEVERE*** filesystem damage.
$ fsck /
fsck from util-linux 2.20.1
e2fsck 1.42.9 (4-Feb-2014)
/dev/vda1 is mounted.
WARNING!!! The filesystem is mounted. If you continue you ***WILL***
cause ***SEVERE*** filesystem damage.
+1
"… Оплачивать услуги создателям зловреда в лаборатории категорически не рекомендуется."
Ага, ясно! )) А где их рекомендуется оплачивать, если в лаборатории — нежелательно? И почему там не рекомендуется — это опасно для самой лаборатории? Засветится при инкассации платежного терминала? ))))
Ага, ясно! )) А где их рекомендуется оплачивать, если в лаборатории — нежелательно? И почему там не рекомендуется — это опасно для самой лаборатории? Засветится при инкассации платежного терминала? ))))
+5
Интересно, а если в системе несколько дисков, то шифруются все или только диск с системой?
0
Vault шифрует даже файлы из облака, так что, скорее всего, и этот все диски зашифрует
0
Интересно, если в случае заражения (при появлении экрана проверки дисков) отключить дата-диски, и переустановить/развернуть из бэкапа систему — оно сдохнет или оно сразу везде расползается и это не поможет?
0
Дополнение к вопросу
И если они и так уже зашифрованы?..
И если они и так уже зашифрованы?..
0
Интересно, а если у меня Ubuntu, то как он умудрится найти диск C с NTFS?
0
НЛО прилетело и опубликовало эту надпись здесь
А в убунту надо права рута, чтобы весь диск зашифровать. Ну и в письме будет что-то вроде: "сохраните файл, и выполните от имени root'a ". Хотя не, проще впарить прямо пакет, в котором уже будет выполняться какой-то скрипт после установки чего угодно. Типа, делается поддельный сайт, вроде g00gle.com, с которого пользователю дадут скачать супер-новый браузер хром бесплатно без смс. Юзер качает, запускает — его просят пароль, он вводит. Далее легко ставится на самом деле хром (или что он там типа качал), и запускается дополнительно любой payload. Всё.
Без прав рута документы пользователя и под линуксом зашифровать тоже легко — достаточно башевский скрипт впарить пользователю, и указать, чтобы он сам сделал его исполняемым, и выполнил. (тут нужна тоже соц инженерия, но несколько иная). Если скрипт обфусцировать, да сделать с виду таким, чтобы с первого взгляда незаметен был подвох — то и системный администратор может проморгать. Меры защиты тоже есть, например, убрать со всех разделов возможность запускать исполняемые файлы, но возможны некоторые проблемы.
Если под wine виндовый вирус- то вирус скорее всего обломится, чтобы весь диск шифровать, а вот документы пользователя — запросто. Так что wine'у не надо "показывать" другие диски, кроме его собственного системного (с).
Без прав рута документы пользователя и под линуксом зашифровать тоже легко — достаточно башевский скрипт впарить пользователю, и указать, чтобы он сам сделал его исполняемым, и выполнил. (тут нужна тоже соц инженерия, но несколько иная). Если скрипт обфусцировать, да сделать с виду таким, чтобы с первого взгляда незаметен был подвох — то и системный администратор может проморгать. Меры защиты тоже есть, например, убрать со всех разделов возможность запускать исполняемые файлы, но возможны некоторые проблемы.
Если под wine виндовый вирус- то вирус скорее всего обломится, чтобы весь диск шифровать, а вот документы пользователя — запросто. Так что wine'у не надо "показывать" другие диски, кроме его собственного системного (с).
+2
Значит вы — не целевая аудитория
0
Интересно, а запуск такого файла в песочнице SandBoxie поможет защититься? Вообще, штатные средства хоть как-то отрабатывают? Ну типа если учетка пользователя, то админский пароль спросит или нет?
0
Зачем затирать адреса их адреса в Торе? Опасаетесь, что кто-нибудь испытает неудержимый порыв сходить и заплатить просто так?
+1
Неплохо защищает от таких шифровальщиков запрет запуска скриптов через групповые политики. Уже не раз спасало.
+4
НЛО прилетело и опубликовало эту надпись здесь
По поводу обхода UAC — я слышал много угроз продемонстрировать мне это чудо, но живьём так и не увидел ни разу. Обычно, по моему опыту, это самый лучший Windows — XP. А пользователь на нём должен быть обязательно админом, потому что иначе у него что-то там не работает, а разобраться с настройкой прав даже поставщик ПО не всегда может.
Ну, или система, в которой UAC есть, но он напрочь выпилен администраторами, потому что до сих пор многим неудобно.
Ну, или система, в которой UAC есть, но он напрочь выпилен администраторами, потому что до сих пор многим неудобно.
+2
Т.е. можно утверждать что включенный UAC это уже достаточно хорошая защита от подобного рода шифровальщиков? Ну, в плане что обойти его они не смогут и запрос на запуск исполняемого файла будет появляться всегда?
0
Скажем так: включенный UAC сбрасывает права администратора к пользовательским, а для привилегированных действий требует подтверждения. Соответственно, если не используются никакие дыры в безопасности для тихого повышения прав — да, от таких шифровальщиков UAC спасать должен. У себя я его вообще в параноидальный режим выкручиваю на всякий случай. =) Как Вы понимаете, от классических шифровальщиков UAC не спасёт.
0
Вообще-то по факту клика на ссылку файл должен тупо скачаться, в худшем случае, либо спросить, куда его скачать. Никакие MBR'ы не могут по факту клика сразу же модифицироваться. Что за бред.
0
Тьфу, за последнее время задолбали спамом с теслакриптом/локи, в день штук 5 писем на ящик прилетает, какое-то весеннее обострение у ксакепов началось.
0
Блин, как это мило
Вот уж поистине — на западе вежливые люди.
0
Интересно, какой от такого малваря выхлоп, это же много часов кодинга, тестирования и мотивации нужно чтобы что-нибудь получилось.
0
Выхлоп, я думаю, нормальный. Потому как цены на расшифровку у них обычно в сотнях долларов (500-700 обычно).
Сотня человек попалась — можно полгода жить припеваючи в любой точке планеты.
Сотня человек попалась — можно полгода жить припеваючи в любой точке планеты.
0
А что, исходников того же truecrypt'a нет нигде? Там всё это уже реализовано, останется сделать только обёртку, которая автоматом сделает чёрное дело. Тестирование — не так уж много бывает конфигураций ПК, где разные интерфейсы дисков, разные ОС, разные bios/uefi, разные загрузчики — ну с десяток наиболее распространённых вариантов протестировать, и хватит. Мотивации выше крыши — деньги немалые просят за расшифровку.
0
Похоже, обновление загрузочной записи каждую секунду скоро станет крайне важной задачей…
0
для параноиков: можно поставить загрузчик на устройство с защитой от записи (например, на sd карту с защёлкой). Правда, если на компе uefi, есть возможность программно выбрать другое устройство загрузки, так что продвинутые вирусы вполне могут обойти. А ещё лучше всю ОС на read-only устройстве держать — пусть хоть какой вирус мучается, после перезагрузки будет всё как и было. Данные… а вот данные бэкапить надо всё равно.
0
кстати про защёлку, она чисто софтовая.
0
Неправда Ваша. Она аппаратная. Но обрабатывает её положение картридер. Неоднократно проверено. Я себе даже сделал картридер с переключателем, вместо того, чтобы защелку туда-сюда двигать (она изнашивается, и потом съезжает постоянно). Но не все йогурты картридеры одинаково полезны. Некоторые игнорируют положение этой защёлки (хотя должны учитывать), попадались и такие, что ровно через одно подключение работали правильно (то реагирует на защёлку, то нет), так что нужно проверять.
0
Скажите, а помогла бы в подобных случаях синхронизация важных файлов с облачными дисками? Где-то выше упоминалось, что некоторые зловреды шифруют файлы и в облаке, но правильные облака же должны при этом сохранить предыдущие (до шифрования) версии.
Может ли зловред добраться до предыдущих версий в облаке через API или как-то иначе?
Может ли зловред добраться до предыдущих версий в облаке через API или как-то иначе?
0
Кроме групповых политик помогает фильтрация на сервере. Amavis + postfix рубят все архивы с исполняемыми файлыми внутри (включая js). В день 200-300 писем с такой ерундой убивается.
0
Они надеются, что Petya шифрует все же лишь доступ к файлам, но не сами данные накопителя. Ответа на вопрос: возможно ли восстановление данных диска в случае заражения на данный момент нет.
Шифруется таблица MFT. Восстановление и загрузочной области и записей файловой системы вполне реально, несмотря на используемое шифрование.
0
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
Зловред-вымогатель “Petya” шифрует весь жесткий диск и требует денег