Ваш компьютер атакован опаснейшим вирусом


Страницы: (29) « Первая ... 15 16 [17] 18 19 ... Последняя »	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

olse

26.02.2017 - 13:41

Статус: Offline

Главстаршина

Регистрация: 6.09.14
Сообщений: 1085

Цитата (divkrd @ 26.02.2017 - 13:35)

Цитата (Psiho @ 26.02.2017 - 13:30)

Опять 25... Не устану повторять, что лучшее средство от шифровальщиков - внедрение SRP

Для возмущающихся бездействием антивирусов - для них шифровальщик выглядит как запуск пользователем некоей программы с пакетной обработкой файлов. Малоотличимо от архиватора по сути. Наверно можно определить по сигнатурам стандартные библиотеки шифрования и выводить предупреждение - но хз.

В любом случае, любые ухищрения в способах доставки вируса на комп жертвы сводятся к тому, что исполняемый файл будет запускаться не из Program Files и не из Windows (в НОРМЕ у них тупо прав не хватит). SRP позволяет запретить запуск программ вне указанных папок. А попасть туда они могут только с админскими привилегиями. Для редакций Windows не поддерживающих SRP/домен, есть уже описанная в данном топике программулина - CryptoPrevent.

Это справедливо только для приложений, большинство шифровальщиков это ява скрипты(да и вообще скрипты), которые используют функционал самой операционной системы для шифрования файлов. В этой ситуации наиболее действенным методом будет запрет запуска любых скриптов неавторизованными пользователями на уровне групповых политик операционной системы.

Насколько я помню и SRP и AppLocker на скрипты тоже распространяется

[^]

vaisman

26.02.2017 - 13:41

Статус: Offline

Ярила

Регистрация: 10.03.14
Сообщений: 29257

Цитата (awolfman @ 26.02.2017 - 00:54)

Цитата (viktori7 @ 26.02.2017 - 00:36)

Расширения js, vbs, scr, com, bat, cmd,... запретить или назначить им запуск самописной программы с окном вызова Админа. Это сильнейшее колдунство, непосильное 99% пользователей компутеров. Об чём ты говоришь? Лохи должны платить! К сожалению только мы это понимаем.

Я что-то не допонял, тот же бесплатный thunderbird умеет сие из коробки, так же блокирует все ссылки в письме по умолчанию.

Что пользуют в конторах, получивших шифровальщики?

Пользуют msoffice/outlook

У самого связка libre/thunderbird и я горя не знаю, и тот и другой блокируют по умолчанию скрипты и опасные вложения.

Что такое попадалово
1. года три назад сэкономили на системе кондиционирования
2. месяц назад кондей вышел из строя, серверная "вскипела" и сервер бэкапов погрустнел одновременно с файлсервером.
3. файлопомойку потихоньку восстанавливали, но бэкапов не было, пользователей предупредили "все важное копируйте"
4. админа пинками выгоняют в отпуск
5. сотрудница ловит шифровальщика (контейнером являлся xml), актуальных бэкапов нет.

Это сообщение отредактировал vaisman - 26.02.2017 - 13:42

[^]

Psiho

26.02.2017 - 13:42

Статус: Offline

Ярила

Регистрация: 20.03.07
Сообщений: 1267

Цитата (divkrd @ 26.02.2017 - 13:35)

Цитата (Psiho @ 26.02.2017 - 13:30)

Изучите вопрос. *.js считается исполняемым по умолчанию. Как и *.lnk

[^]

OldGarry

26.02.2017 - 13:44

Статус: Offline

Хуй! Пизда! Социализм!

Регистрация: 19.06.12
Сообщений: 3203

Цитата (VasyaDV @ 26.02.2017 - 07:12)

Цитата (simyth11 @ 26.02.2017 - 15:00)

Любой антивирус это зарубит на корню.
Ваш любимый бухгалтер этого может и не заметить.
И вот не надо насчет расширений .doc и прочего. Это, скорее, расширение .doc____exe, какое-нибудь.
Ну мне такие периодически приходят. Никаких геморроев не было.

А вот и нет! Подавляющая часть антивирусов проебет вспышку. Неоднократно проверял выловленные на почтовике вложения на https://www.virustotal.com/. Результаты удручающие более чем полностью и почти непредсказуемые. Нет антивирусного ПО, которое срабатывало во всех случаях в принципе.

Вот например, эта бяка была обнаружена 10.02.2017. И по сей день туева хуча антивирусов эту херню в упор не заметит

А мои ловили вот такой свежак. Кто тут хвалит их? Давайте, рассказывайте про ваши суперские антивирусы.

Это сообщение отредактировал OldGarry - 26.02.2017 - 13:44

Ваш компьютер атакован опаснейшим вирусом

[^]

divkrd

26.02.2017 - 13:44

-1

Статус: Offline

Хохмач

Регистрация: 22.01.15
Сообщений: 791

Цитата (olse @ 26.02.2017 - 13:41)

Цитата (divkrd @ 26.02.2017 - 13:35)

Цитата (Psiho @ 26.02.2017 - 13:30)

Насколько я помню и SRP и AppLocker на скрипты тоже распространяется

аплокер да, срп только исполняемые файлы, если мне память не изменяет.

[^]

~~QPSK6471~~

26.02.2017 - 13:44

Статус: Offline

Ярила

Регистрация: 23.07.16
Сообщений: 1796

Цитата (Archikoff @ 26.02.2017 - 12:08)

Цитата (2419217 @ 26.02.2017 - 11:03)

Если кто-то придумал, как зашифровать, обязательно найдется тот, кто расшифрует. Иначе быть не может. Просто кому надо этим заниматься даром? Но рано или поздно найдется и тот, кто заплатит стороннему программисту, может быть, и сумму побольше, чем требуют вымогатели (просто из принципа, чтобы не платить преступникам).

Таки с ключами проблема, что их надо перебирать, а для этого нет чудо программы, брутфорс пароля требует огромных ресурсов и времени, мало директоров согласится ждать 10-20-30 суток, чтобы высчитать пароль + если алгоритм изменен. Короче, проще заплатить - дать пизды бухгалтеру. Или восстановить бэкап + дать пизды бухгалтеру.

10-20-30 суток? Да Вы оптимист, батенька!

[^]

divkrd

26.02.2017 - 13:49

-1

Статус: Offline

Хохмач

Регистрация: 22.01.15
Сообщений: 791

Цитата (Psiho @ 26.02.2017 - 13:42)

Цитата (divkrd @ 26.02.2017 - 13:35)

Цитата (Psiho @ 26.02.2017 - 13:30)

Изучите вопрос. *.js считается исполняемым по умолчанию. Как и *.lnk

Это даже выглядит как бред, все равно что утверждать что .doc является исполняемым файлом.
Без рабочей среды ты не сможешь запустить файл .js, так же как не сможешь запустить .ink при отсутствии .exe файла на который тот ссылается.

Скрипт это просто набор команд, а интерпретатор этих команд и будет исполняемым приложением.

Это сообщение отредактировал divkrd - 26.02.2017 - 13:55

[^]

~~QPSK6471~~

26.02.2017 - 13:50

Статус: Offline

Ярила

Регистрация: 23.07.16
Сообщений: 1796

Цитата (RAMI @ 26.02.2017 - 12:05)

Цитата

расшифровали кодированное 128-битным ключом не имея его ???

Как это невозможно? Возможно, расшифровка SHA (считался стойким к дешефрации) ключа занимает не больше суток, таки взломали его, теперь только SHA2 (SHA256). Так что скорей всего они пользуют 256-бит ключи, а может даже и больше...
Шифровальщик это одно, но бухгалтер чё сидит под админскими правами чтоль? Запускается маленькая программка и висит в задачах чтоль?
А если у этого компа вообще нет инета, (только локалка) как тогда?
ЗЫ: Я это к этому - "человек запускает шифрование"

А вот "запустит ли человек шифрование" зависит от админа, а не заменяльщика картриджей. Именно админ должен АДМИНИСТРИРОВАТЬ (в этом и заключается его работа) сеть и ее элементы, чтобы человек (ламер-бухгалтер или секретутка какая нибудь) НЕ МОГ запустить всякое говно, которое приводит к крашу системы. Уот так уот.

Это сообщение отредактировал QPSK6471 - 26.02.2017 - 13:51

[^]

Namelesss	26.02.2017 - 13:51 [ показать ] 2
Статус: Offline Весельчак Регистрация: 26.06.12 Сообщений: 127	Раз в год стабильно ловим эту херею, много чего перепробовал: и ограничение приложений, и фильтр на почтовом сервере, и ограничение прав пользователей, и профилактические беседы с сотрудниками, но спасал только бэкап, каждую пятницу полный и ежедневный инкрементальный! Всё. Работа при останавливалась максимум на час или вовсе обходилось без остановки Отправлено с мобильного клиента YAPik+ Это сообщение отредактировал Namelesss - 26.02.2017 - 13:52
	[^]

kxmep

26.02.2017 - 13:51

Статус: Offline

Ярила

Регистрация: 8.09.10
Сообщений: 1194

Цитата (2tall @ 26.02.2017 - 12:54)

И хоть я и не люблю эту шпионскую конторку, но у KIS прекрасный модуль контроля программ с ограничением прав.

Вот, кстати, поддерживаю.
Шутка очень полезная, рубит любую неразрешенную активность. Настраивается гибко, можно раздавать политиками с разным уровнем паранойи.

Еще хотел (в контексте дискуссии) упомянуть Kaspersky Security для Microsoft Exchange Servers. Любые стоп-листы, списки расширений и так далее.
Прикручивать не на майлбоксы, а на транспорт - и все будет летать.

А еще не так давно была паника по *.epf (обработка 1с). Даже головная контора рассылала специальные арлеты по этому поводу.
То есть шифровальщики освоили 1с-язык программирования.
Расширение сразу же отправил в блок почтовика, и хотя потом пришлось париться (не проходила, естессвенно, легитная обработка от Делойта), но кошмары во сне не мучат - а это главное!

Это сообщение отредактировал kxmep - 26.02.2017 - 13:54

[^]

Ty3ik	26.02.2017 - 13:53 [ показать ] 3
Статус: Offline Хохмач Регистрация: 30.04.09 Сообщений: 738	пополнить наш счет QIWI на сумму 10 000 рублей. QIWI Wallet (это не баланс мобильного) +79299023543 с почтового ящика beryukov.mikuil@gmail.com ИМХО, тут можно уже напрячь операторов/полицию - выяснят, с какого айпи выходили - по айпи адрес физически - устроить маски-шоу. Что, не делают так? А иначе зачем тогда у нас СОРМы всякие и пакеты Яровой?! Это сообщение отредактировал Ty3ik - 26.02.2017 - 13:54
	[^]

Azimut

26.02.2017 - 13:53

Статус: Offline

Ярила

Регистрация: 30.10.10
Сообщений: 8117

Цитата (zoleg @ 25.02.2017 - 23:54)

помогает ежедневный бэкап.
Но многие игнорируют данный способ.
Причем, можно использовать встроенные механизмы винды - да... не лучшая хрень, но когда все зашифровано - станет панацеей.

Если 1С в файловом варианте, то шифруются и выгрузки *.dt, и ВСЕ архивы во всех расшаренных папках. То есть, просто ежедневный бэкап не поможет.

З.Ы. У нас год назад троянец не тронул 1С в клиент-серверном варианте. И выгрузки в нерасшаренных папках.

Это сообщение отредактировал Azimut - 26.02.2017 - 13:55

[^]

kxmep

26.02.2017 - 13:58

Статус: Offline

Ярила

Регистрация: 8.09.10
Сообщений: 1194

Цитата (Azimut @ 26.02.2017 - 13:53)

У нас год назад троянец не тронул 1С в клиент-серверном варианте. И выгрузки в нерасшаренных папках.

Такая же фигня - года полтора назад.
Но эта зараза совершенствуется, увы.

[^]

Azimut

26.02.2017 - 13:59

-1

Статус: Offline

Ярила

Регистрация: 30.10.10
Сообщений: 8117

Цитата (nix1976 @ 26.02.2017 - 00:03)

Цитата (dedpixai @ 25.02.2017 - 23:47)

Где то читал что парни вродь разобрались как с этой бедой бороться, получалось у них вроде как

расшифровали кодированное 128-битным ключом не имея его ???
гении - однозначно. а если точнее - не может быть...

Там же написали, что сначала злодеи могут бесплатно расшифровать маленький зашифрованный файл. По нему можно вычислить ключ ?

[^]

~~QPSK6471~~

26.02.2017 - 14:01

Статус: Offline

Ярила

Регистрация: 23.07.16
Сообщений: 1796

Цитата (divkrd @ 26.02.2017 - 12:07)

Цитата (Alice9tails @ 26.02.2017 - 00:02)

Цитата (dedpixai @ 25.02.2017 - 23:47)

Где то читал что парни вродь разобрались как с этой бедой бороться, получалось у них вроде как

Хреново, когда теорию информации не преподают. Всё, что шифруется, может быть расшифровано.
Итак, имеем некий входной файл, некий алгоритм и выходной файл.
Берём декомпилятор алгоритма, выцепляем порядок перестановок байт и их обработку ключом.
Далее - исходный файл и шифрованный файл. На руках три из четырёх неизвестных. Обратная перестановка, обработка, получаем четвёртое неизвестное - ключ шифрования.
А дальше дело техники.

А потом понимаем что использовался какой нибудь криптостойкий алгоритм шифрования в стиле ГОСТ 28147-89 или AES и идем курить бамбук со своими перестановками. ГОСТ 28147 ведь на столько простой алгоритм что его может взломать любой школьник которому преподавали теорию информации. Школьник не учитывает тот факт что не смотря на то что ГОСТ считается теоретически взломанным, на то чтобы реально его взломать понадобится 2^64 известных открытых текста и 2^64 памяти для хранения пар "открытый текст/шифртекст" что позволит взломать ГОСТ всего в 2^8 быстрее чем простой брутфорс.

Это только ГОСТ, есть более новые алгоритмы которые не взломаны даже теоретически, и расшифровать которые, не имея ключа, невозможно в принципе(в обозримый промежуток времени)

Зачем про новые алгоритмы? Для того чтобы взломать алгоритм A5/1 (коим шифруются обычные GSM разговоры в эфире, процедура проверки истинности абонента в GSM/UMTS (3G)) который известен с начала 90х, народ всю бошку сломал. Помимо снятия сигнала с эфира (что само по себе не просто из-за всяких hopping-ов (частота передачи-приема скачет несколько раз в секунду), location update (код при этом меняется), процедур handover (аппарат переходит с вышки на вышку, при этом частоты приема-передачи опять меняются)), нужны еще так называемые "радужные таблицы" (объемом терабайт в пять-шесть), которые лишь через некоторое время ОБЕЩАЮТ С ВЕРОЯТНОСТЬЮ процентов в 70 расшифровать скачанный с эфира сэмпл (КУСОЧЕК разговора)

Это сообщение отредактировал QPSK6471 - 26.02.2017 - 14:05

[^]

olse

26.02.2017 - 14:01

Статус: Offline

Главстаршина

Регистрация: 6.09.14
Сообщений: 1085

Цитата (Ty3ik @ 26.02.2017 - 13:53)

пополнить наш счет QIWI на сумму 10 000 рублей.

QIWI Wallet (это не баланс мобильного) +79299023543

с почтового ящика beryukov.mikuil@gmail.com

ИМХО, тут можно уже напрячь операторов/полицию - выяснят, с какого айпи выходили - по айпи адрес физически - устроить маски-шоу.

Что, не делают так? А иначе зачем тогда у нас СОРМы всякие и пакеты Яровой?!

Если жулик сидит за анонимайзером в паблик ВиФи да еще за впнкой, скажем - ты его всем отделом К будешь ловить до морковкина заговенья. И надо сказать - стоить это тебе будет гораздоо больше той десяточки, которую просят жулики. Собственно, поэтому они и процветают. Если бы пойманному жулику, скажем, отрубали кисти рук - думаю подобный бизнес быстро бы кончился :)

[^]

divkrd

26.02.2017 - 14:02

Статус: Offline

Хохмач

Регистрация: 22.01.15
Сообщений: 791

Цитата (Azimut @ 26.02.2017 - 13:53)

Цитата (zoleg @ 25.02.2017 - 23:54)

Нужно просто бэкапить грамотно. Тут почему-то все бэкапят только в одно место, которое само собой будет видно по сети, а что мешает делать 2 бэкапа по вот такой схеме

1____2____3

1 - это комп пользователя
2 - это сетевая шара
3 - внешний жесткий диск который видно только с сервака где находится сетевая шара

Если вирус попадает на комп 1, то он шифрует только сам комп и щару 2, а 3 остается для него недоступна.

Кстати еще есть вариант терминальной работы с 1с, тогда что бы не случилось на рабочем компе 1Ска будет цела.

[^]

~~VSC~~

26.02.2017 - 14:05

Статус: Offline

абырвалГ

Регистрация: 20.01.14
Сообщений: 1924

Цитата (LazYap @ 26.02.2017 - 11:42)

Цитата (dedpixai @ 25.02.2017 - 23:47)

Где то читал что парни вродь разобрались как с этой бедой бороться, получалось у них вроде как

Чё? 128-битный ключ? Не зная алгоритма шифрования??? Там брутфорса на несколько миллионов лет. А не имея вторичной инфы нельзя применить ни один математический алгоритм ибо опять же там только анализа шифрации тоже на несколько десятков лет.

Ну, если есть исполняемй файл шифровальщика и базовые навыки работы с отладчиком - алгоритм шифрования выдрать можно, если есть где-нибудь в бэкапе исходный файл и есть зашифрованный файл - ключ восстановить-то вполне реально, если информация действительно стоит потраченного времени.

[^]

~~QPSK6471~~

26.02.2017 - 14:07

Статус: Offline

Ярила

Регистрация: 23.07.16
Сообщений: 1796

Цитата (olse @ 26.02.2017 - 14:01)

Цитата (Ty3ik @ 26.02.2017 - 13:53)

Ставится прокси, который не позволяет скайп, VPN, torrent, открывание любых портов, за исключением разрешенных и т.д. и т.п. И будет этот юзверь отсасывать у себя, ругая "плохих" админов.

И стоит это не так уж дорого. Особенно если пользователей не много или им не нужен большой объем ВНЕШНЕГО сетевого трафика.

Это сообщение отредактировал QPSK6471 - 26.02.2017 - 14:09

[^]

olse	26.02.2017 - 14:08 [ показать ] 2
Статус: Offline Главстаршина Регистрация: 6.09.14 Сообщений: 1085	А вообще, довольно интересная тема получилась, хоть сайт и не профильный :)
	[^]

olse

26.02.2017 - 14:09

Статус: Offline

Главстаршина

Регистрация: 6.09.14
Сообщений: 1085

Цитата (QPSK6471 @ 26.02.2017 - 14:07)

Цитата (olse @ 26.02.2017 - 14:01)

Цитата (Ty3ik @ 26.02.2017 - 13:53)

Ставится прокси, который не позволяет скайп, VPN, torrent и т.д. И будет этот юзверь отсасывать у себя, ругая "плохих" админов.

Это к чему? Я в общем то, отвечал на комментарий человека, который советовал ловить жуликов по ИП. К чему ты тут проксю приплел - я честно не понял.

[^]

divkrd

26.02.2017 - 14:09

Статус: Offline

Хохмач

Регистрация: 22.01.15
Сообщений: 791

Цитата (VSC @ 26.02.2017 - 14:05)

Цитата (LazYap @ 26.02.2017 - 11:42)

Цитата (dedpixai @ 25.02.2017 - 23:47)

Где то читал что парни вродь разобрались как с этой бедой бороться, получалось у них вроде как

К сожалению одной пары "исходный текст/зашифрованный текст" недостаточно для того чтобы определить ключ шифрования.

Как я уже писал выше, даже для практического взлома ГОСТ 28147(который считается взломанным) нужно по меньшей мере 2^64 открытых текстов.

Это сообщение отредактировал divkrd - 26.02.2017 - 14:11

[^]

~~Osborne~~	26.02.2017 - 14:10 [ показать ] 0
Статус: Offline Приколист Регистрация: 11.06.14 Сообщений: 294	не все комменты прочел, может уже и было, но я сделал вот так во первых сменил файлам расширения js и прочие скрипты на блокнот, что бы они не могли выполняться при запуске во вторых сделал папку, в которую положил тоже папку, верхнюю закрыл для всех, то есть ни читать, ни записывать в не нельзя, ну и конечно же нельзя в нее зайти, а та папка что внутри вынес на нее ярлык. то есть вирус по ярлыкам ходить не умеет. вот там у меня хранилище... точнее не у меня, а у пары контор которые ко мне обращались с такой проблемой. отключил службу шифрования, хотя ей сча мало кто пользуется, но на все же.
	[^]

~~QPSK6471~~

26.02.2017 - 14:12

Статус: Offline

Ярила

Регистрация: 23.07.16
Сообщений: 1796

Цитата (olse @ 26.02.2017 - 14:09)

Цитата (QPSK6471 @ 26.02.2017 - 14:07)

Цитата (olse @ 26.02.2017 - 14:01)

Цитата (Ty3ik @ 26.02.2017 - 13:53)

Извини, неправильно понял. А насчет жуликов - если поднять все данные по СОРМ-3, то там не только IP жулика будет. ВСЕ операторы связи ОБЯЗАНЫ вести логи. Поэтому было бы желание - отследить сессию связи - как два пальца об асфальт. Гмм, может отдел "К" в доле?

[^]

idk

26.02.2017 - 14:12

Статус: Offline

Ярила

Регистрация: 9.11.12
Сообщений: 10897

если админ не умеет организовать работу так, чтобы подобные угрозы не влияли на работу организации- ему надо увольняться нахуй.

Цитата

В данном случае речь идет о использовании десктопных почтовиков, либо о скачивании и запуске файла на локальной машине. Чтобы шифровальшик запускался напрямую из браузерной почты я вроде пока не слышал. Хотя хрен его знает, может упустил что.

может и из браузера.
но для этого надо открыть вложение, и чтобы антивирус при этом это гавно не пропалил.
кстати, тот же файерфокс нектороые такие вложения блочит при загрузке.
мне такое приходило, причем с виду все очень пристойно. письмо от ростелекома, с которым мы работаем. точнее домен очень похожий.
во вложении какие то бухгалтерские документы. в общем пользователь с высокой степенью вроеятности этого не заметит.

[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 78054
0 Пользователей: