Лаборатория Касперского нагнетает на причастных реальный ужос:
Существовали предположения о том, что это все тот же WannaCry (это не он), а также, что это какая-то вариация шифровальщика Petya (Petya.A или Petya.D или PetrWrap). На самом деле новый вирус существенно отличается от ранее существовавших модификаций Petya, именно поэтому мы не считаем его «Петей» — мы выделяем его в отдельное семейство ExPetr.
...
Основное отличие от аналогичной эпидемии WannaCry заключается в том, что на этот раз злоумышленники выбирали свои жертвы тщательнее: целью атаки стал преимущественно бизнес.
Самое неприятное, что среди жертв в этот раз оказалось еще больше объектов критической инфраструктуры, чем в случае WannaCry. В частности, проблемы испытывал аэропорт «Борисполь». Но особенно тревожная новость пришла из Чернобыля: на печально известной атомной электростанции от шифровальщика пострадала система мониторинга радиационной обстановки.
...
Есть множество сообщений о том, что от новой заразы пострадало несколько крупных компаний по всему миру, и, похоже, масштабы бедствия будут только расти.
...
В случае если ваши данные уже пострадали от ExPetr, платить не надо ни при каких условиях.
Проведенный нашими экспертами анализ показал, что у жертв изначально не было шансов вернуть свои файлы.
Исследователи Лаборатории Касперского проанализировали ту часть кода зловреда, которая связана с шифрованием файлов, и выяснили что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно.
Для расшифровки необходим уникальный идентификатор конкретной установки трояна. В ранее известных версиях схожих шифровальщиков Petya/Mischa/GoldenEye идентификатор установки содержал информацию, необходимую для расшифровки. В случае Expetr (aka NotPetya) этого идентификатора нет. Это означает, что создатели зловреда не могут получать информацию, которая требуется для расшифровки файлов. Иными словами, жертвы вымогателя не имеют возможности вернуть свои данные.
Комментарии
всё веселее и веселее
спасет только регулярный бэкап на сторонний носитель)
На автономный желательно.
ну да, на внешний жесткий, акронисом, весь системный раздел
занимает минут 15
ну всегда очень лень :-)
Не только системный, но и все остальные разделы подвержены риску. С них, со всех установленных дисков, хотя бы сливать файловым копированием на внешний отчуждаемый HDD регулярно, если данные там важны.
Разделы диска, -- как логические, так и простые подвержены риску.
Сторонние накопители, установленные в системник, как и внешние, не имеют отношения.
Тащемто "Одмин" начинается со слова "бэкап". Если Ваш админ не делает резервных копий (на иные магнитные носители, конечно!) - гоните его ссаными тряпками пока он не угробил Ваш бизнес. Инфу не обязательно угробит вирус или долбоящер-юзер, инфа может загнуться вместе с жёстким диском (а они регулярно отправляются в Страну Вечной Охоты ибо они суть электромеханический агрегат (типовая скорость вращения от 5400 до 10000 оборотов в минуту!!!), подверженная износу и "перепадам вольтов"). Ну бэкапы тоже бывают разные: бывают "полные" (делаются пореже), а бывают "относительные" (т.е. изменения от "полного" за какой-то период). Ну далее там всякие рейд-массивы и прочая, прочая, прочая...
Камрад, конечно ты прав и я всегда уважительнно отношусь к твоим посылам-комментариям... Конечно я пользуюсь акронисом и, конечно делаю периодически полные копии системного диска и важной инфы в посекторном режиме. А дисков у меня предостаточно...)
http://i5.imageban.ru/out/2017/06/29/8ddcfb1ea33f45f7a5dc841bf303aeab.png
А сейчас сижу на виртуалке-Торе...
Да я "не пальцы гнуть", а по-доброму предупредить людей. "Пока гром не грянет", большинство и не узнают зачем, на самом деле, нужен админ.
Жёстких дисков и флешек с картами памяти сдохло "у меня на руках" несколько десятков. Но ни разу не было утраты критической информации там, где этого можно было избежать. А приятель один дважды бегал восстанавливал инфу за кучу бабок с "посыпавшегося" HDD (в специальной конторе из двух HDD собирали один и скидывали инфу на третий HDD). Проблема в том что мы всё больше зависим от компов, а на информатике какую-то ванильную ересь вместо важных знаний преподают (по курсантам и студентам сужу, элементарно важного не знают и это не их вина, это система образования ибо они даже из разных стран, не то что школ).
Конечно, мы отстаем в этом плане, что там спорить...Спасибо Горбачу-Ельцину... Я гибридные юзаю диски -- они не сразу отходят в мир иной, как hdd...Ну, а под систему конечно ssd.
Чем делать бэкапы?
Посмотрите скрин по ссылке камрада Брикса - "Акронис".
А можно и "в ручную" (когда не слишком много) - главное не "затирать" сразу предыдущую копию.
В целом, рекомендую сборник "Белофф DVD", раздел "Обслуживание дисков".
Да этого фуфла, камрад, как грязи на любой вкус и цвет. Я остановился на R-Drive Image, к примеру. Просто весь диск один в одни лепишь с нужным тебе сжатием или без и нах. Вынуть можешь что пожелаешь из любой папки или отдельным файлом. Хочешь — вместе с системой — на любой, хоть флешку. Кнопку вкл нажал и всё поехало на любой машине вплоть до мелких настроек. Привык. Можно и синхронизировать дабы каждый раз одно и то же не переписывать. Будет добавляться только свежее. Короче: поиск, пробы и нет проблем.
Спасибо, тоже посмотрю.
Вариантов очень много, а проверять все слишком долго - ведь недостатки, как правило, выявляются только в процессе долгого использования. Поэтому и интересовался, чем люди пользуются, из 2-3 вариантов выбрать проще.
Каждый др.чет как хочет, но лично я портабельную пользую. Валяется там же где имиджы и голова не болит.
Спасибо, займусь.
На домашнем компе один раз в неделю личные данные (без системных) синхронизирую на внешнее хранилище программой Allway Sync. Раз в полгода образы всех дисков с помощью Acronis так же на внешний. В данном случае больших проблем не будет. Сегодня все проделал. В случае проблем все откаты не боле 1-го часа.
И вам спасибо.
Самое интересное начинается, когда размер резервной копии перерастает емкость единичного носителя.
Ну и требования качества обслуживания (нормирование допустимого интервала простоя) тоже… добавляют интересности.
ЗЫ: 10.000 оборотов — это да-а-авно было.
ЗЫ: 10.000 оборотов — это да-а-авно было.
SAS 2.5" 1.2...2.4 TB - 10.000RPM
SAS 2.5" 900GB и ниже бывают 15.000RPM
так что 10.000 никуда не пропали ;)
То есть, на самом деле ничего не изменилось. В нашей конторе делали автоматизированные бэкапы тогда ещё нортон-гостом, так что "лень" как бэ не причина. А затраты - как раз таки причина. Потому что жмотство, если фирма, и тупо нет ресурсов, если частник.
Прямо как про Украину: жертвы вымогателя не имеют возможности вернуть свои
данные. деньги.И в том и в другом случае вымогатель - Петя.
Тю, а що такова? Тэж тильки до сэбе. А шо не зьист, то понадкусает.
Больше похоже на заговор антивирусных компаний :)
Вымогательство от антивирусных контор. Деньги заносить надо (было) им, а не платить вымогателям.
Что делать тем, кто потерял куда больше чем 300 долларов выкупа - непонятно. А вообще вирусописатели лоханулись по-полной.
Все криптолокеры, что мне встречались (1 штука - хе-хе, но с ним я плотненько поработал, в надежде восстановить хоть что-то) посылали ставить Тор-браузер и идти на луковичный сайт за формочкой уведомления об отправке выкупа и получения ключа дешифровки. Причём там был сразу десяток луковчиных адресов форм + штук 5 резервных емейлов для связи.
Тут движок хорошо проработан, куча путей распространения, поломали провайдера обновлений - то есть очень и очень профессионально сделана атакующая часть. И совершенно по-дурному сделана маркетинговая часть, куда деньги заносить. И возможно и ключи неправильно посылались :)
Вендоюзеры должны страдать.
Зависит от того, что за данные утеряны и есть ли их бекап, хотя бы недельной давности. В случае, например, черной бухгалтерии всякое возможно, и коснется тогда далеко не только тех, чьи компы поражены.
Ой да ладно. HeartBleed, Stack Clash - ни о чём не говорит?
Виндоюзеры, которые не отключили автоматические обновления, вряд ли пострадали. А вот админы, которые не ставят вовремя заплатки, должны страдать, да.
>Виндоюзеры, которые не отключили автоматические обновления, вряд ли пострадали.
это не так. заражались компы с самыми последними обновлениями.
А вот давайте-ка без голословных утверждений. Можете назвать хоть один вектор атаки, на который бы не была выпущена заплатка ещё в апреле?
вы отзывы пострадавших читали? многие пишут что автообновление было включено и все обновления установлены. и все равно заразились. из векторов - например через обновление 1С
Если накосячила 1С то блин причём тут "вендоюзеры должны страдать"? Под линуксом косячное ПО с админскими правами точно так же порушит систему,
разница только в том, что линуксоюзеры никому нафиг не нужныя не утверждал что "вендоюзеры должны страдать". я сказал что установка всех заплаток вендоюзеров не спасает. никто в здравом уме
под линуксомне запускает софт с админскими правами. те кто запускают - должны страдать! даже если они вендоюзеры. мошенникам и вымогателям линуксоюзеры нужны точно также как и вендоюзеры, но линуксоюзеры сложнее в разработке, поэтому пока есть вендоюзеры - линуксоюзеры будут в безопасности. :)>я не утверждал что "вендоюзеры должны страдать".
Ветка-то началась именно с обвинения МС в данной эпидемии, что, как мне кажется, нездорово, т.к. неадекватность админов сменой ОС не лечится.
>Никто в здравом уме
под линуксомне запускает софт с админскими правами.Вы же сами сказали, что в бухгалтерском софте была служба обновления, требующая административных привилегий для работы. Если бы аналогичный софт с аналогичной службой были запущены под линукс, то что бы изменилось?
Если же процесс обновления запускался не службой а вручную - так в линуксе тоже есть способ повысить привилегии, набрав пароль, думаете бухгалтер, получив запрос на обновление бухгалтерской программы, не дал бы права?
>пока есть вендоюзеры - линуксоюзеры будут в безопасности
Скорее пока линуксоюзеров мало, они в безопасности. =)
Действительно, импринтинг выкорчёвывать — долго, дорого и с далеко не гарантируемым результатом.
Однако особенности стиля администрирования вполне коррелируют с философией ОС.
Про практику запуска потенциально уязвимых приложений в фрюниксах Вы не в курсе.
В худшем случае, на последнем рубеже это был бы квест «побег из chroot'а».
Ну и наконец рекомендую Вам ознакомиться с древними и классическими механизмами… наверное восходящими к Unix, но с оригинальной проприетарщиной я знаком не настолько хорошо.
Внимание вопрос: *бухгалтер*, допустим теоретически, что у него есть shell и он знает пароль администратора, на *правильно* настроенной *архаичной* (!) системе пытается дать права тому, кому их не положено.
Что он получит?
ЗЫ: Не в количестве линуксоюзеров дело. И даже не в качестве.
>В худшем случае, на последнем рубеже это был бы квест «побег из chroot'а».
В винде организовать систему автоматического обновления приложения, и при этом не требовать административных привилегий ни для служб ни для пользователей - вполне возможно. Но по условиям задачи производитель ПО не стал этого делать, и мой вопрос - как здесь можно обвинять Microsoft?
Или вы считаете, что сделать в линуксе настолько же косячную схему невозможно? Так вы недооцениваете возможности линукс =)
А может быть вы надеетесь, что когда линукс завоюет 90% десктопов, общепринятые практики останутся такими же как сейчас? Вряд ли.
>на *правильно* настроенной *архаичной* (!)
Если брать не архаичные а современные user-friendly дистрибутивы, все действия, требующие админских прав, производятся вполне комфортно для пользователя и отличаются от прочих просто дополнительным окошечком для ввода пароля.
Представить себе массово продающуюся бухгалтерскую систему (в т.ч. рассчитанную на малые предприятия) без дружественного к пользователю интерфейса, и требующую квалификации выше "студент" для такой операции как установка и обновление, мне сложно.
Совмещение практики автообновления *приложений* с безопасностью (!) и элементарным сохранением работоспособности (!!!) — Чудо за гранью фантастики.
В фрюниксах мигрирующие с самой распространённой ОС погромисты конечно пытаются зафорсить фичу.
Но это — ересь!
Безотносительно чудесных возможностей грамотных адмнистраторов самой распространённой ОС.
При сохранении культуры следования главному правилу (и регулярном проведении торжественной церемонии аутодафе погромистов, демонстрирующих нежелание следовать предписаниям) даже 99.9999% рынка дескотопов не помогут вирусописателям.
Вы это серьёзно заявляете о выпиливании из современных user-friendly дистрибутивов модуля pam_wheel?
Напоследок рекомендую ознакомиться с технологиями, прямо указывающими на тот факт, что продаваны условно-работоспособного ПО практически про… спали рынок.
>Совмещение практики автообновления *приложений* с безопасностью (!) и элементарным сохранением работоспособности (!!!) — Чудо за гранью фантастики.
Полностью разделяю ваше недоумение, но спрошу ещё раз: причём тут Microsoft? Недоработка была в продукте другой фирмы.
>При сохранении культуры следования главному правилу (и регулярном проведении торжественной церемонии аутодафе погромистов, демонстрирующих нежелание следовать предписаниям)
При наличии культуры и в винде можно всё обезопасить, МС предоставляет инструменты для этого. Но отвечать за ПО третьих фирм очевидно должен тот, кто его внедряет.
Вот только если брать малые предприятия и физлиц, то откуда там культура? Там устанавливают дистрибутив на комп методом "нажми далее" и не создают при этом более одной учётки. Очевидно, что эта учётка в результате окажется в списке sudoers, группе wheel и т.д., иначе как, зайдя под ней, устанавливать софт?
>Напоследок рекомендую ознакомиться с технологиями, прямо указывающими на тот факт, что продаваны условно-работоспособного ПО практически про… спали рынок.
Вы ещё скажите, что линукса на десктопе не будет, т.к. традиционный десктоп не нужен. Спорить не буду, похоже на правду, только от линуксоида звучит как "зелен виноград" =)
Майкросовт при факте перекладывания задачи из зоны своей ответственности на разработчика прикладного ПО.
Впрочем, при решении задачи утилизации максимума труда на многократное решение типовых задач этот путь — единственно возможный.
Вы демонстрируете замечательную последовательность в нежелании обременять себя знанием формулировки главного правила.
Или Вам рассказать каким чудесным образом решается озвученная Вами «проблема»?
Ну и напоследок могу рассказать о том, что последние годы расширение рынка идёт за счёт втягивания лиц, которым продукт ненужен.
С неизбежными сопутствующими оптимизациями.
Ну и не забудьте о востребованной платёжеспособным спросом сказке о том, что последние тенденции в разработке самой распространённой ОС уже лет десять с гаком направлены исключительно на наиболее полное удовлетворение потребностей пользователя.
>Майкросовт при факте перекладывания задачи из зоны своей ответственности на разработчика прикладного ПО.
О каких задачах речь?
Microsoft в ответе за то, чтобы у разработчика и у эксплуатанта ПО были определённые инструменты, помогающие защититься от угроз. Но MS никак не может помешать работать поставщикам некачественного ПО, т.к. Windows - открытая платформа, и писать ПО под Windows может любой школьник.
>Или Вам рассказать каким чудесным образом решается озвученная Вами «проблема»?
Какая именно? Отсутствие в народных массах культуры эксплуатации ПО? Ну расскажите =) По моим наблюдениям многие это и проблемой не считают, пока не потеряют данные.
1. Те кто не отключает автоматические обновления, пару раз в год носят мне компы на удаление обновлений, препятствующих работе винды :-)
2. Заражения и обновления вообще никак не связаны. Тот же ваннакрай - мне приносили как минимум 3 компа на которых обновления проверялись и ставились ежедневно (сам настраивал).
3. Умные админы ставят комплекты заплаток руками, эти комплекты обновляются еженедельно, и там нет "плохих" обновлений.
Кстати, а что скажете про это http://update7.simplix.info/ ?
Симпликс - профи (хоть основной сайт у него и заканчивается на .ua, хе-хе)
Наборы делает по принципу "ничего лишнего", апдейтит регулярно.
В крупных организациях описанные вами проблемы решаются с помощью WSUS а не наборов обновлений. Просто потому, что винда лицензионная, и при проблемах с официальными патчами можно обратиться в техподдержку, а вот поставив неофициальный набор можно поддержки лишиться. Кроме того отказ от автоматизации в крупной конторе - нонсенс, да и отложить установку некритичных апдейтов WSUS позволяет. Потому, хотя я эти наборы и ценю высоко и использую вовсю для помощи знакомым и родственникам, но согласиться с тем, что их используют на работе умные админы, никак не могу.
А если вы решили поспорить, что перечисленные уже в базах CVE были закрыты Микрософтом, так назовите хоть одну, не закрытую вовремя. Подозреваю, что на упомянутых 3 компах не были включены обновления "других продуктов Microsoft", что необходимо для обновления офиса. Ну или просто пользователи не обладали нужным воспитанием в плане того, какие почтовые вложения можно открывать.
согласен, Mac OS или Linux рулят
Интересно - с какого раза народ примется переходить на никсы в сравнительно массовом порядке? Подозреваю, что в наших палестинах застрельщиками таки выступят госконторы.
Любая система уязвима, никсы в том числе. Даже больше скажу, если зараза (пока редкое явление) засела в никсах, то чистить можно офигеть. А социальную инженерию никто не отменял, рутовые права сами пользователи дают.
Если кто-то не желает знать главного правила — ССЗБ.
Ну и хрестоматийное: к рассказам об уязвимостях фрюниксов полезно прикладывать описание принципа их эксплуатации.
ЗЫ: Криворукие погромисты строем отправляются в лес.
Вспомни флэш к примеру, почему его выпилили из макоси и ява уязвимости, их тоже было не мало. Опенссл совсем не давно тоже был. Это конечно не дуршлаг как винда, но и в мак оси как и в любой другой ОС, прежде всего дырявый - юзер.
Такой же дуршлаг, просто пока ни кто основательно за это поделие не брался.
Я бы сказал, что никсовые - принципиально другой дуршлаг. Поскольку базируются в большей своей части на открытых кодах, которые изучают тысячи людей. А потому если там дыры и есть, то являются они вполне известными, равно как и рекомендации для их купирования.
Мысль же о том, что за них толком не принимались, не новая. Но корректной я бы её не назвал. Поскольку платформа (я не про макось, а про никсы вообще) стала базовой для интернета, и большую часть нынешних приёмов, с которой ныне знакомятся пользователи окон, отрабатывали именно на ней. Винды же со своей открытостью пользователю представляют собой такое поле для издевательства с использованием скриптовых приблуд, что до хитрых атак в никсовом стиле мало у кого руки доходят - ибо нет нужды. И потому что-то, использующее уязвимости протокола, воспринимается, как нечто сверхъестественное.
Только на моей памяти этой мантре лет пятнадцать.
Страницы