Про вирус-вымогатель.
May. 16th, 2017 01:02 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
froged55Сейчас активно раздувается истерия с вирусом-вымогателем, который шифрует выбранные файлы после чего вываливает на экран надпись "у вас три дня чтобы заплатить иначе файлы будут удалены". За три дня расшифровать файлы нереально, так что если у вас нет бекапа или данные и правда были важные, то придется платить. В силу высокой экономической эффективности, таких "вирусов" за последние годы было уже мягко говоря миллион, но этот конкретный почему то стал особенно освещаем в прессе, чего я не совсем понимаю. Вероятно, причина в том, что какая то крупная редакция попалась на эту заразу и сразу "ох и ах".
Даже не вникая в суть проблемы и не разбираясь в точных механизмах работы конкретного шифровальщика, я уверенно могу сказать, что в 99 из 100 случаев, причина заражения одна: админы конкретной организации - мудаки. Без вариантов. Я встречал даже программистов, которые на полном серьезе говорили, что антивирус "только тормозит компьютер и если уметь им пользоваться, то ничего страшного не произойдет", а поскольку уж они то уверены в том что они умеют пользоваться компьютером, то как правило антивирус не ставят. Но повторюсь, программистам простительно быть мудаками (разве что их не делают начальниками, тогда жопа конечно), а вот админам и безопасникам - нет.
Дело в том, что методы работы шифровальщиков ВСЕГДА одинаковы и включают в себя несколько этапов: скрипт, скачивающий из Интернета зашифрованный бинарный код, распаковщик кода и потом уже запуск. Опасность в том, что антивирусы не видят ничего страшного во внедренном в, например, Wordовский документ скрипт (это действительно уже стало нормой), да и сигнатура скачиваемого бинарника не всегда вызывает опасения ведь он зашифрован, а мало ли кто чего качает. Отсюда и основная масса проблем.
Другое дело, что вовсе не обязательно открывать пришедшие по почте вордовские документы не глядя откуда они пришли. Вовсе не обязательно давать прямой доступ к Wild Internet тем, кто работает с важными документами Компании. Вовсе не обязательно разрешать определенного рода скрипты в документах. Лет 10 назад, я курировал направление информ. безопасности в одной смешной конторе, занимающейся таможенными делишками. И после одного такого случая массового заражения, я просто закрыл часть данных от пользователей. После чего контора много лет живет и здравствует.
Вторая основная беда крупных контор (кроме мудаков-программистов конечно же) - это нежелание вести политику регулярных обновлений ПО. Как бы не ругали Микрософт, но в плане безопасности эти ребята работают вполне оперативно и патчи выходят более чем оперативно. Конечно, против вирусов Zero Day они не помогут, но по крайней мере можно будет избежать волны эпидемии. Вероятно, в данном случае именно это и произошло. Раздолбайство, нелицензионное ПО, открытый доступ в Интернет и отсутствие бекапов. Что ж, каждый платит либо ДО, либо ПОСЛЕ. Но платит.
УПЯЧ. Небольшое техническое дополнение с привкусом шпионства. Как выяснилось, огромное распространение вируса получилось в силу применения ОЧЕНЬ древней уязвимости в протоколе SMB v1, разработанного компанией Микрософт. Вирус прослушивает открытый 445 порт и если там есть признаки наличия дыры, то стучится туда, перехватывает управление и внедряет вредоносный код. Как я писал вначале, Микрософт отреагировала крайне быстро и закрыло дыру очередным патчем (что, кстати, еще раз доказывает тезис, что админы всех зараженных контор - конченные мудаки, которые не отключают старые версии протоколов и не апдейтят системы), но гораздо интересней ОТКУДА стало известно про уязвимость. По некоторым данным, проблему нашли в АНБ (Агентство Национальной Безопасности США) много лет назад и даже написали исполняемый код, который благополучно у них сперли и выложили в Сеть. Как вы понимаете, дырку в древнем протоколе использовали не для вымогательства денег. И вот этот аспект взаимодействия общества с государством уж гораздо интересней... Возможно, Сноуден и не был столь уж неправ...
Оригинал взят у![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif)
atelman в Про вирус-вымогатель. Читать внимательно
Даже не вникая в суть проблемы и не разбираясь в точных механизмах работы конкретного шифровальщика, я уверенно могу сказать, что в 99 из 100 случаев, причина заражения одна: админы конкретной организации - мудаки. Без вариантов. Я встречал даже программистов, которые на полном серьезе говорили, что антивирус "только тормозит компьютер и если уметь им пользоваться, то ничего страшного не произойдет", а поскольку уж они то уверены в том что они умеют пользоваться компьютером, то как правило антивирус не ставят. Но повторюсь, программистам простительно быть мудаками (разве что их не делают начальниками, тогда жопа конечно), а вот админам и безопасникам - нет.
Дело в том, что методы работы шифровальщиков ВСЕГДА одинаковы и включают в себя несколько этапов: скрипт, скачивающий из Интернета зашифрованный бинарный код, распаковщик кода и потом уже запуск. Опасность в том, что антивирусы не видят ничего страшного во внедренном в, например, Wordовский документ скрипт (это действительно уже стало нормой), да и сигнатура скачиваемого бинарника не всегда вызывает опасения ведь он зашифрован, а мало ли кто чего качает. Отсюда и основная масса проблем.
Другое дело, что вовсе не обязательно открывать пришедшие по почте вордовские документы не глядя откуда они пришли. Вовсе не обязательно давать прямой доступ к Wild Internet тем, кто работает с важными документами Компании. Вовсе не обязательно разрешать определенного рода скрипты в документах. Лет 10 назад, я курировал направление информ. безопасности в одной смешной конторе, занимающейся таможенными делишками. И после одного такого случая массового заражения, я просто закрыл часть данных от пользователей. После чего контора много лет живет и здравствует.
Вторая основная беда крупных контор (кроме мудаков-программистов конечно же) - это нежелание вести политику регулярных обновлений ПО. Как бы не ругали Микрософт, но в плане безопасности эти ребята работают вполне оперативно и патчи выходят более чем оперативно. Конечно, против вирусов Zero Day они не помогут, но по крайней мере можно будет избежать волны эпидемии. Вероятно, в данном случае именно это и произошло. Раздолбайство, нелицензионное ПО, открытый доступ в Интернет и отсутствие бекапов. Что ж, каждый платит либо ДО, либо ПОСЛЕ. Но платит.
УПЯЧ. Небольшое техническое дополнение с привкусом шпионства. Как выяснилось, огромное распространение вируса получилось в силу применения ОЧЕНЬ древней уязвимости в протоколе SMB v1, разработанного компанией Микрософт. Вирус прослушивает открытый 445 порт и если там есть признаки наличия дыры, то стучится туда, перехватывает управление и внедряет вредоносный код. Как я писал вначале, Микрософт отреагировала крайне быстро и закрыло дыру очередным патчем (что, кстати, еще раз доказывает тезис, что админы всех зараженных контор - конченные мудаки, которые не отключают старые версии протоколов и не апдейтят системы), но гораздо интересней ОТКУДА стало известно про уязвимость. По некоторым данным, проблему нашли в АНБ (Агентство Национальной Безопасности США) много лет назад и даже написали исполняемый код, который благополучно у них сперли и выложили в Сеть. Как вы понимаете, дырку в древнем протоколе использовали не для вымогательства денег. И вот этот аспект взаимодействия общества с государством уж гораздо интересней... Возможно, Сноуден и не был столь уж неправ...
Оригинал взят у
atelman в Про вирус-вымогатель. Читать внимательно
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2017-05-16 08:33 am (UTC)локалка
Date: 2017-05-16 02:46 pm (UTC)