froged55 (froged55) wrote,
froged55
froged55

Categories:

Про вирус-вымогатель.

Сейчас активно раздувается истерия с вирусом-вымогателем, который шифрует выбранные файлы после чего вываливает на экран надпись "у вас три дня чтобы заплатить иначе файлы будут удалены". За три дня расшифровать файлы нереально, так что если у вас нет бекапа или данные и правда были важные, то придется платить. В силу высокой экономической эффективности, таких "вирусов" за последние годы было уже мягко говоря миллион, но этот конкретный почему то стал особенно освещаем в прессе, чего я не совсем понимаю. Вероятно, причина в том, что какая то крупная редакция попалась на эту заразу и сразу "ох и ах".
Даже не вникая в суть проблемы и не разбираясь в точных механизмах работы конкретного шифровальщика, я уверенно могу сказать, что в 99 из 100 случаев, причина заражения одна: админы конкретной организации - мудаки. Без вариантов. Я встречал даже программистов, которые на полном серьезе говорили, что антивирус "только тормозит компьютер и если уметь им пользоваться, то ничего страшного не произойдет", а поскольку уж они то уверены в том что они умеют пользоваться компьютером, то как правило антивирус не ставят. Но повторюсь, программистам простительно быть мудаками (разве что их не делают начальниками, тогда жопа конечно), а вот админам и безопасникам - нет.
Дело в том, что методы работы шифровальщиков ВСЕГДА одинаковы и включают в себя несколько этапов: скрипт, скачивающий из Интернета зашифрованный бинарный код, распаковщик кода и потом уже запуск. Опасность в том, что антивирусы не видят ничего страшного во внедренном в, например, Wordовский документ скрипт (это действительно уже стало нормой), да и сигнатура скачиваемого бинарника не всегда вызывает опасения ведь он зашифрован, а мало ли кто чего качает. Отсюда и основная масса проблем.
Другое дело, что вовсе не обязательно открывать пришедшие по почте вордовские документы не глядя откуда они пришли. Вовсе не обязательно давать прямой доступ к Wild Internet тем, кто работает с важными документами Компании. Вовсе не обязательно разрешать определенного рода скрипты в документах. Лет 10 назад, я курировал направление информ. безопасности в одной смешной конторе, занимающейся таможенными делишками. И после одного такого случая массового заражения, я просто закрыл часть данных от пользователей. После чего контора много лет живет и здравствует.
Вторая основная беда крупных контор (кроме мудаков-программистов конечно же) - это нежелание вести политику регулярных обновлений ПО. Как бы не ругали Микрософт, но в плане безопасности эти ребята работают вполне оперативно и патчи выходят более чем оперативно. Конечно, против вирусов Zero Day они не помогут, но по крайней мере можно будет избежать волны эпидемии. Вероятно, в данном случае именно это и произошло. Раздолбайство, нелицензионное ПО, открытый доступ в Интернет и отсутствие бекапов. Что ж, каждый платит либо ДО, либо ПОСЛЕ. Но платит.

УПЯЧ. Небольшое техническое дополнение с привкусом шпионства. Как выяснилось, огромное распространение вируса получилось в силу применения ОЧЕНЬ древней уязвимости в протоколе SMB v1, разработанного компанией Микрософт. Вирус прослушивает открытый 445 порт и если там есть признаки наличия дыры, то стучится туда, перехватывает управление и внедряет вредоносный код. Как я писал вначале, Микрософт отреагировала крайне быстро и закрыло дыру очередным патчем (что, кстати, еще раз доказывает тезис, что админы всех зараженных контор - конченные мудаки, которые не отключают старые версии протоколов и не апдейтят системы), но гораздо интересней ОТКУДА стало известно про уязвимость. По некоторым данным, проблему нашли в АНБ (Агентство Национальной Безопасности США) много лет назад и даже написали исполняемый код, который благополучно у них сперли и выложили в Сеть. Как вы понимаете, дырку в древнем протоколе использовали не для вымогательства денег. И вот этот аспект взаимодействия общества с государством уж гораздо интересней... Возможно, Сноуден и не был столь уж неправ...


Счетчик посещений Counter.CO.KZ - бесплатный счетчик на любой вкус!


Оригинал взят у atelman в Про вирус-вымогатель. Читать внимательно

Tags: компьютерное
Subscribe

  • Омск, 1990-е. Фонтан и прокат

    Вечная тема - прокат педальных машинок у фонтана "Каменный цветок" в сквере Дзержинского. Фонтан построили в 1957 году, самые ранние фото с машинками…

  • Самый красивый аэропорт Омской области.

    Август 1972 года. Автор Билиевский. Архив и оцифровка Олега Юрьевича Реснянского. Кто знает, где был аэропорт в Муромцево - киньте координаты, дабы…

  • Чудесная сила интернета

    Попался в сканер вот такой слайд В.Ф. Кудринского. 1992 год, в здании была какая-то организация, судя по отсутствию занавесок на окнах и непростой…

promo froged55 august 19, 2015 19:42 9
Buy for 20 tokens
Не так давно оцифровывал архив негативов Дмитрия Яковлева g_decor, с 12 апреля 2015 года по начало июня было много постов, основанных на этих фотографиях. Дмитрий сам увлекся этим процессом, приобрел хороший сканер, позволяющий оцифровывать изображения с любых носителей в весьма высоком…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 2 comments