Лаборатория Касперского нагнетает на причастных реальный ужос:
Существовали предположения о том, что это все тот же WannaCry (это не он), а также, что это какая-то вариация шифровальщика Petya (Petya.A или Petya.D или PetrWrap). На самом деле новый вирус существенно отличается от ранее существовавших модификаций Petya, именно поэтому мы не считаем его «Петей» — мы выделяем его в отдельное семейство ExPetr.
...
Основное отличие от аналогичной эпидемии WannaCry заключается в том, что на этот раз злоумышленники выбирали свои жертвы тщательнее: целью атаки стал преимущественно бизнес.
Самое неприятное, что среди жертв в этот раз оказалось еще больше объектов критической инфраструктуры, чем в случае WannaCry. В частности, проблемы испытывал аэропорт «Борисполь». Но особенно тревожная новость пришла из Чернобыля: на печально известной атомной электростанции от шифровальщика пострадала система мониторинга радиационной обстановки.
...
Есть множество сообщений о том, что от новой заразы пострадало несколько крупных компаний по всему миру, и, похоже, масштабы бедствия будут только расти.
...
В случае если ваши данные уже пострадали от ExPetr, платить не надо ни при каких условиях.
Проведенный нашими экспертами анализ показал, что у жертв изначально не было шансов вернуть свои файлы.
Исследователи Лаборатории Касперского проанализировали ту часть кода зловреда, которая связана с шифрованием файлов, и выяснили что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно.
Для расшифровки необходим уникальный идентификатор конкретной установки трояна. В ранее известных версиях схожих шифровальщиков Petya/Mischa/GoldenEye идентификатор установки содержал информацию, необходимую для расшифровки. В случае Expetr (aka NotPetya) этого идентификатора нет. Это означает, что создатели зловреда не могут получать информацию, которая требуется для расшифровки файлов. Иными словами, жертвы вымогателя не имеют возможности вернуть свои данные.
Комментарии
Про что Вы сейчас? Я однозначно не знаток вопроса, я не системщик, а пользователь сервисов. Но аккурат шестнадцать лет назад был вынужден срываться с места и лететь на работу, поскольку написанная мною система биллинга стала захлёбываться. Мелинда, ЕМНИП. IISы по всему миру занялись тем, что стали простукивать 80-е порты остальных веб-серверов. И моя система перестала справляться с обработкой выросших раз в пятьсот логов, поскольку собственный Апач был конкретно задолбан внезапным DDOSом - но сам не заразился.
Я к тому, что Апач, как проект с открытым кодом - излюбленная мишень для хакеров, начинающих и профессиональных. Соответственно, подобные дыры уже давно были обнаружены, использованы и устранены. А вот IIS - штука проприетарная, коды его известны не только лишь всем. И потому оказался столь удачной мишенью - ибо защиты не было, и получился глобальный охват. Вот и никсы в целом - система старая, и большая часть её косяков обнаружена, использована хакерами, устранена и описана в учебниках по кибербезопасности.
Доля виндовс на десктопах. Ну и кого тут терроризировать вирусными атаками. Я не совсем уверен в точности приведенных цифр, но примерно все так и есть.
Ну вот, произведение вероятностей. Шансы на то, что вирус напишут помножить на шансы встретить этот вирус.
Win7 и ХР - головная боль МС. Поэтому они всеми правдами и неправдами пытаются тащить бедных юзеров на 10-тку. Доказательств, что МС спонсировали или сливали инфу вирусописателям нет, но основную выгоду от этих скандалов получают именно МС. Именно после таких авралов юзеры бегут в магазины за новыми версиями.
Главная головная боль майкросовта в том, что избалованные технологиями эпохи захвата рынков пользователи не стремятся нести денежки.
Вообще.
Не говоря о соблюдении новых графиков, продиктованных всеобщей тенденцией к сокращению релиз-циклов.
>Поскольку базируются в большей своей части на открытых кодах, которые изучают тысячи людей.
А потом выясняется, что позорнейшие дыры болтались в коде годами.
Самое главное, в профессиональном проприетарном коде такого нибывает патамучта ваабсче ниможет быть?
Я такой глупости не говорил. А вот ваше заявление, что открытый код гарантирует безопасность, настолько наивное, что грех пройти мимо и не ткнуть носом в факты. Извиините, если грубо, но наезд не на вас а на конкретное утверждение.
А зачем *мне* приписываете придуманные глупости?
Или это — следствие популярной тенденции к подмене знания Великого и Могучего новоязом пиджин рюссиш?
Напоследок небольшой урок чтения:
Рекомендуется различать *гарантии* от *необходимых предпосылок*.
И не подставлять первое на место второго.
Угу.
Таких вот мастеров удовлетворения платёжеспособного спроса на нахождение уязвимостей в фрюниксах полезно публично спрашивать за понимание *необходимых* условий выполнимости обнаруженного.
https://habrahabr.ru/company/cloud4y/blog/331266/
У них были никсы, и что? Уязвимы абсолютно все системы. В никсах регулярно находят уязвимости, которым много лет. Как только linux получит такую же массовость, как винды, его возможно еще быстрее будут ломать и шифровать.
Источник «доказательства» востребованнейшей теоремы замечательным образом гармонирует с привычной мантрой.
Но в пылу подбора доказательства заведомо истинного утверждения снисходить до применения знания того факта, что это те самые кармадрочеры, что ниасилили главного правила — не барское дело.
Ну разумеется.
Уязвимостям уже сто лет в обед, обсуждены и пропатчены. Актуальная версия ядра - 4.7, Апач - 2.4, PHP - 5.6. Если не заниматься обновлениями и не следить за безопасностью системы - а для провайдера услуг это вполне прямая должностная обязанность - то к чему тогда рассуждать на тему дыр в системе? Естественно, что все системы уязвимы - вопрос в степени уязвимости.
Кроме того, насколько я могу судить, в данном случае речь не идёт про вирус. По крайней мере, не указано, как он попал в систему. Выглядит, как вариант средства от тараканов из анекдота - ловите таракана и кормите его ядом.
1. Ядро уже давно 4.9
2. Не игнорируй инорных версий.
3. Для PHP5 уже объявлен EOL. Пора прорабатывать вопрос миграции на хотя бы 7.1.
У себя-то я слежу - хотя релиз убунты стоило бы обновить. Но нашумевший кореец - кто ему после всего этого главный враг?
При этом, я всё ещё не уверен, что речь идёт про вирус. Что ломануть систему могли - это без вопросов. А вот насчёт пути заражения - хотелось бы подробностей.
Расскажите ещё раз этот миф про супер защищённость мак оси и про линукс (никогда не понимал как можно держать дверь закрытой если все кому не лень знают как её открыть при чём инструкция прямо наклеена на дверь )
Да-да, порадуйте аудиторию сказкой об уязвимости фрюниксов перед *вирусными* угрозами.
А то вдруг я чего не знаю…
Да да когда линукс станет распространённым как винда тогда он станет интересен хакерам и вирусописателя а пок он жо со своими 3%.
…тогда вирусописателям придётся явить миру Чудо в виде приведения базарного разнообразия к образцовой дисциплине самой распространённой ОС.
Два наводящих вопроса:
1. Назовите запускаемые сервисы (открытые по умолчанию порты) самой распространённой ОС;
2. Аналогично для рабочей станции фрюникса.
3. И выучите уже наконец определение вируса!
Знаток хрЕнов - скажи мне , что является основой для Андроида, современных телевизоров и 90% сетевой архитектуры? Все сиськи и юниперы работают на чем? Все маршрутизаторы и мосты(это то из чего ты интернет высасываешь по шнурку) на какой операционке работают?а? И после этого какойто лошару утверждает что как только линукс станет распространен хакеры начнут его ломать? Сними лапшу с ушей и снимется тоя пудра с глаз
Вообще на хабре вроде была статья как ключ подобрать для расшифровки, кто то код вируса взломал, подбор ключей сделал.
Касперский, я думаю, достаточно компетентен и смотрит заведомо на этот вирус, а не останки его родственника годовой давности.
Да, там их несколько модификаций, но не годовой давности, а как раз последние. Есть какой то особо вредный, шифрует не отдельные файлы а всё скопом, посекторно.
Посекторно в начале 90-х DIR шифровал. xor-ил пословно с ключом длиной в 16 бит.
Вот только ляля не надо, дир перебивал файловую основную таблицу(верхний каталог диска), он даже мбр не трогал
Очень многие заявления делаются не по реальной фактуре, а исходя из политических соображений.
это под прошлую версию
под эту кейгена нет
Ага, смотрю информацию, меня почему то все эти проблемы обходят, хотя ни одного антивируса не стоит.
у дочки на ноуте уже 5 лет ХР стоИт, как новая до сих пор, без антивиря
вот что значит школа и руки, связанные с головой, а не с задницей :-)
Вот хохма будет, когда, рано или поздно, Майкрософт взломают и под видом обновлений какая-нибудь шняга будет установлена на все Win-компы.
Она и сейчас, возможно, у всех стоит, но типа "легитимная", от ЦРУ, особо не светится и ничего не портит, только данные скидывает по команде.
А если вредоносная, нацеленная именно на уничтожение данных?
Как бы они сами какую шнягу распространять не начали, хотя о чем я, телеметрию уже распространяют, и дело не столько в том что они там что то собирают, а в том что без явного согласия пользователя.
кстати запросто
правда параноики автоапдейт отключают
но критические имхо винда втихую ставит
А не параноик!! Просто за мной постоянно кто-то следит... Даже сейчас. Вот, опять.
P.S. Есть утилиты, которые блокируют установку любых обновлений, в т.ч. критических.
del
Зачем сразу "взломают" - они так телеметрию ставят на Win7, Win8, Win10 - под видом обновлений (чтобы "никто не ушел обиженный") - каждый раз новый номер обновления, не заблокируешь.
Однако на *никсах тоже неспокойно последний месяц - DeadCow и StackSmash позволяет на многих системах поднимать привилегии (те же самые шифровщики только в путь)
Недавно веб хостера в Азии нагрели на 1м дохлых президентов (https://arstechnica.com/security/2017/06/web-host-agrees-to-pay-1m-after...) безo всякого Windows.
Необходимым условием постановки вопроса о поднятии привилегий является наличие доступа.
при текущей популярности Wordpress, к примеру, у угле заточки рук тех, кто её ставит вопрос доступа к системе это даже не вопрос...
Ну, если сидеть на 10-ти летней рухляди, не следить за багтраком и получать деньги - то ССЗБ.
deadcow накрывает далеко не 10ти летнюю рухлядь.
Уже обсуждали. У того провайдера было ядро 2008-го года выпуска, равно как и апач с пхп.В числе преимуществ никсов - оперативность реагирования на обнаруженные уязвимости. Если человек обновления системы не делал, которые найденные дыры закрывают - кто ему злобный буратино?
У этих знатоков видно еще 2000 винда без сервис паков, а на неё не только ява и флэши, даже вирусы современные не натягиваются. Ну а может и покруче типа 98 от Сэра Гея, тоже ничего сборочка, современные вирусы просто мрут от смеха не доползая, правда и мамки современные ужо это не держат, но орлам муд...рецам кто помеха?
Видимо, так. Хотя, в своё время были вынуждены снести Win NT 4 и поставить 2000-ю - какой-то гад проник в систему и ничем не лечился. А кроме того, гнал некий траффик. При том, что по возможностям машины четвёртая энтя была просто идеалом. Если спросить меня про идеальную ОС, мой выбор будет колебаться между Вин 98 и NT 4.0. Стабильные, не жадные до ресурсов, мобильные - диски кочевали из машины в машину, и всё, что хотели системы - драйверов под новое оборудование. Я могу понять тех, кто не хотел обновлять свои системы.
Это как с фанерной обшарпанной дверью в городах. Стоит поменять на железную и решетки на окнах - жди:)))
Наклеивайте поверх железной обшарпанную фанеру на 5 этаже и будет вам счастье в виде Карлссона
Говорят же, били хоть и массово но точечно. Моя контора тоже не испытала никаких проблем ни в прошлый раз, ни в этот. Но это ничего не значит, просто мы слишком малы.
Если честно я не очень представляю как можно вирусом с определенным алгоритмом ударить в избранные фирмы, ведь у них ничего не перекрыто наружу, расползется, это не Иранская закрытая сеть для оборудования с обогатительными центрифугами. Говорят там с какой то пиратской версией 1С началось.
Запросто. Вирус может сесть на комп в спящем виде (возможно, на вашем он тоже есть). Но активируется вручную по команде и только заданные копии, которые могут идентифицироваться, например, по IP-адресу. Нужно лишь знать внешний IP сети компании-жертвы.
Разумно, главное заразить хотя бы несколько машин в компании. Правда тут были сообщения что заражение происходило после подтверждения UAC, но ведь у нас нет гарантии что к примеру те же команды которые ломают защиту на играх, и потом распространяют пиратские копии, не включают такой же спящий вирус в состав файлов.
Нет гарантии? Да троянов в крэки и кейгены только ленивый не сажает ))
Ну с учетом количества скачиваний пираток, если троян проявляет какую-либо активность его довольно быстро обнаруживают и раздачу прикрывают, несколько тех же майнеров биткоинов встроенных прикрыли, а вот если по вашему алгоритму затаиться и ждать команды ... Впрочем Винда сама по себе один большой троян :-) , что впрочем не сильно помогает Линуксу, т.к. куча закрытого софта есть и для него, так что параноику спрятаться негде, обложили со всех сторон )))
Страницы