habrahabr.ru — Вирус зашифровывает все файлы на компьютере и требует выкуп — 300 долларов США в биткоинах. На выплату дается три дня, потом сумма увеличивается вдвое.
> Однако почему же люди не сильно пользуются такой прекрасной системой зашиты, ...
Потому что бэкап не спасает от шифровальщиков. Почему он не спасает? Потому что есть шифровальщики, которые молча втихую шифруют пользовательские файлы и блокируют доступ к ним только после того, как эти зашифрованные файлы заместят в резервных копиях незашифрованные.
> ставишь апдейты, через систему виндовс апдейт и тут внезапно выясняется, что некоторые апдейты не устанавливаются вместе, хотя майрософт типа разраешает их вместе ставить. И начинаешь танцы с бубном. Удаление блокирующего апдейта не помогает. Единственное, что нашёл,так это то, что люди из нужного апдейта вытаскивают два апдейта именно секьюрити и ставят их через каталог.
[Лыбится и радостно хрюкает] Узнаю родной микрософт! Даёшь линукс в бэкофис и продакшн вместо виндовых серверов!!!
> Это я ниразу не системщик, нашего нужно отмудохать, ибо на трёх серваках из 10 этот апдейт таки сфейлился, а он ни сном ни духом. Ещё и телефон выключил вчера, падла такая :(.
Да ещё и нажрался на выходных по своему обыкновению, поди!!!
Вообще, надо отметить, время для атаки было выбрано продуманно, в пятницу вечером. Админы - тоже люди, и в пятницу вечером большинство из них уже плотно отдыхает.
> Если ДДоСят наших клиентов, бордер пытается отбиваться, но это не его задача, вообще-то. Хотя большинство ДДоС-атак он таки берёт на себя и мужественно их разруливает. Главная фишка отбоя ДДоСов -- отключить TCP SYN/FIN. (Это для тех, кто в теме, но вдруг не в курсе).
Так ты видел, или нет, подъём трафика в сторону клиентов на 135/tcp и 445/tcp в последние два месяца? Его же, скорее всего, было настолько мало, что он на фоне общего сетевого шума был просто незаметен. Чтобы давить трафик этого эксплоита, IPS нужен, да и то, если SMB-шифрование у вашего клиента включено, IPS окажется бесполезной.
Если файлы уже зашифрованы - либо платить и каяться, либо ждать, пока какая-нибудь антивирусная компания проанализирует данный вирус и сделает бесплатную утилиту дешифрования.
> А то у меня первая мысль была - бэкапнуть все важное, а потом уже почту разбирать на предмет насланных дипломных/курсовых.
Насколько я понял, конкретно этот шифровальщик распространялся через уязвимость в компоненте "Сеть Микрософт", а не по почте. Если твоя машина подключена к интернету через домашний роутер или её подключение к интернету имеет тип "Подключение к общественной сети", возможно, конкретно этот шифровальщик до твоей машины не добрался.
В общем случае нужно отключить машину от сети (интернета), подключить внешний жёсткий диск, загрузить машину с какого-нибудь CD/DVD с Windows PE и внимательно посмотреть свои документы. Если в них мусор и они не читаются - шифровальщик уже нагадил, если документы читаются - их можно скопировать на этот самый жёсткий диск.
> Это не резервная копия, а хуйня какая-то. Не восстановилась текущая копия - восстанови предыдущую
1. Резервный диск - не резиновый. В связи с этим у резервных копий есть определённый срок хранения, по истечении которого они удаляются.
2. Даже если резервный диск - резиновый, шифровальщик может затаиться и тихо шифровать все файлы в течение, скажем, нескольких месяцев, и только потом грохнуть ключи шифрования и предъявить чек к оплате. Устроит ли тебя, скажем резервная копия трёхмесячной давности, если очень важные и нужные изменения ты внёс в документ буквально вчера?
> Говорят, говорят, через роутер всё прекрасно заражается.
Я чётко написал: "домашний роутер". Домашний роутер - это такая мелкая херня, которую специально ставят дома для раздачи интернета через NAT, когда провайдер выдаёт тебе только один IP-адрес, маршрутизируемый в интернет. А теперь, давай, подключись из интернета к машине с адресом скажем 10.11.11.33, чтобы вкорячить ей в порты 135,445/tcp обсуждаемый эксплоит для SMB. Пока домашний пользователь не пробросит на своём домашнем роутере порты 135,445/tcp на соответствующие порты своей домашней машины, трафик на эти порты упрётся в его домашний маршрутизатор и до его домашней машины не дойдёт. Нет, ну есть, наверно, граждане, которые покупают у своего домашнего провайдера для своей домашней квартирной сети блок маршрутизируемых адресов, чтобы не использовать NAT, но, полагаю, узок их круг, бесконечно далеки они от народа (с).
> > ты такой умный, делаешь бэкап - незараженных, вроде как - файлов, твои потом оказываются зараженными, ты бежишь к бэкапу на съемном диске - а там та же херь.
> Делай бэкапы предназначенными для этого средствами. Тот же windows backup не просто файлы копирует, а хранит несколько их версий.
Если файл уже зашифрован, то уже не важно, каким средством сделан бэкап -- в бэкап лягут уже зашифрованные файлы. Единственный способ, как мне представляется, это открыть зашифрованный файл, пока шифрующий вирус позволяет его расшифровывать, и отправить через сокет на другую машину в надежде, что шифровальщик перехватывает только запись/чтение с диска. Отправить можно по ftp или http, подняв на заражённой машине IIS или апач.
> А ещё я 2(два) раза, ДВА РАЗА, написал слово "говорят".
ГоворЯт, что кур доЯт. Если шифровальщик пролезает на машины за домашними роутерами, значит, он пролезает туда через флешки/почту. Через уязвимость в SMB он через обычный домашний роутер пролезть не сможет, если только
о через роутер не проброшены внутрь порты 135,445/tcp,
о внутренняя сеть имеет маршрутизируемые адреса,
о прошивка роутера сама имеет ещё какую-то уязвимость, позволяющую запускать на этом роутере эксплоит для SMB или пробрасывать внутрь трафик этого эксплоита.
Последнее, кстати, может быть, если наружу торчит SSH, этот SSH позволяет пробрасывать внутрь порты и злоумышленником был подобран пароль к учётной записи админа на этом роутере. Вот тогда - да, можно ковырять домашнюю сеть через взломанный домашний маршрутизатор.
> Т.е. до пользователя в его локалку вся эта хрень из public не доходит. И не должна доходить.
Не должна, но доходит. Камрад Antic пишет, что он наблюдает массу открытых портов 135 и 445/tcp на машинах клиентов провайдера, в котором он работает. Видать, не все админы следуют рекомендациям по защите вычислительных сетей при подключении к интернету.
> Это чисто теоретические рассуждения, или в природе существуют крипторы, которые умеют перехватывать обращения к файлам?
Да был, вроде, такой шифровальшик, который пользовался встроенным шифрованием винды, после чего, вроде, экспортировал в файл и удалял из хранилища закрытые ключи пользователя и агента восстановления.
> Да, и что? В любом случае, бэкап, в котором лежит только одна версия файла - плохой бэкап
Само собой. Но, как правило, срок хранения резервных копий составляет не более двух недель, с еженедельным полным резервным копированием и ежедневным инкрементальным или дифференциальным. То есть, не менее двух копий. Больше просто не позволяют финансы. Ну, это если говорить про централизованный бэкап пользовательских каталогов и сетевых профилей в мелких и средних организациях.
> Это уже из области фантастики. В реальности криптор стремится работать как можно быстрее, пока пользователь не опомнился
Опыт показывает, что иногда резервные копии даже трехчасовой давности уже бывают бесполезны. Всё зависит от конкретного бизнес-процесса.
> "Участие пользователя" - это ещё одна дырка(тоже уже залатанная обновлением), когда посылался доковский rtf-файл (например электронным письмом) а пользователь данный файл открывал, активируя в сидящий в rtf-файле скрипт.
Ага, ну вот, оказывается, путей заражения уже несколько.
Сейчас, сейчас
Что значит нигде? Микрософт пишет в своём бюллетене[censored] . Даже с автоматическим переводом с английского на русский. И нечего так орать!!!