Залез тут интереса ради в чумной барак на форум Касперского. Как и ожидалось, схема зашифровки ценных пользовательских данных стойкой криптографией и требование выкупа биткойнами оказалась весьма живучей. Кровавые слёзы пострадавших пользователей затапливают форум уже который год, однако злоумышленники так и не пойманы. Более того — они серьезно автоматизировали свои системы скриптами, а один из таких скриптов даже автоматически постит е-мейлы заплативших выкуп в специально отведённый твиттер:
Наглость, конечно, редкостная.
Записи там лежат с 2014-10-01, и мне стало очень интересно, многие ли заплатили выкуп за свои зашифрованные данные, да и нет ли там каких-либо особо примечательных компаний. Если уже утечка имеет место быть — грех её не поизучать, дабы и самому быть внимательнее, да и коллег предупредить.
Для получения списка емейлов из этого твиттера первая мысль была написать мини-скрипт на перле, пыхе или питоне, который бы работал с твиттером. Но поскольку я скриптов для твиттера никогда не писал, то я не был готов тратить на это сколь-нибудь значительное время. Поэтому сделал я проще — сперва с помощью кнопок [PageDown] и [End] мотаем в самый низ. Твитов не сильно много, промотается быстро. Потом выделяем всё с помощью [Ctrl]-[A], тупо копируем в текстовый файлик, после чего выдираем оттуда адреса вот такой командой на баше:
grep '@*получил' keybtc.txt | grep -v 'CryptoBot @keybtc' | cut -d ' ' -f 4 | sort | uniq
Да, очень грубо и брутально, зато просто и быстро. Дописанный к команде ‘| wc-l’ говорит, что за 24 дня заплатило аж 94 жертвы. Учитывая некислые суммы выкупа — разработчики этой опасной дряни явно не голодают. Правда, если их таки поймают — то против таких злодеев и самосуд могут учинить — слишком уж много страданий они доставили.
Впрочем, оставим их поимку компетентным специалистом, и просто изучим, кто же таки становится наиболее частыми жертвами. Я просто смотрел список и гуглил засвеченные емейлы, оставляя только публично доступные ящики юридических лиц (для которых адрес обнаруживался в контактах, естественно), ибо страна должна знать своих героев (тех, кто поленился озадачиться бэкапами, сэкономил на зарплате админам или просто недооценил IT-риски).
1-fabrika@mail.ru http://1fabrika.ru/ Фабрика ковки
2090460@gmail.com http://www.retailer.ru/profile/id/6456/ Чизберри-Сибирь
2@rgevrutchey.ru http://rgevrutchey.ru/ Ржевский ручеёк
9407477@gmail.com http://asstroi.ru/ Бетонный завод
a.anokhin@mosquitoff.ru Средства от насекомых оптом
ad@fortu.ru Товары для бильярда
advant.ltd@gmail.com «KEMET INTERNATIONAL LTD.» Станки по металлу
/* контора в Британии, злодеи явно претендуют на глобальный охват */
afr222809@yandex.ru Транспортная фирма, международные грузоперевозки
a.kaplin@energotelecom.su Некий «Энерготелеком».
an@comtb.ru Цитата:
/* ООО «Комтехбюро» — динамично развивающаяся компания, работающая в сфере информационных технологий с 2008 года.
Приоритетные направления деятельности — реализация проектов по внедрению, развитию и сопровождению информационно-
коммуникационных решений и сервисов, в том числе облачных, систем информационной безопасности. */
berezina@transmaster.ru На сайте сломан веб-сервер 😀 Автозапчасти ?
chooseme@mail.ru Какие-то муниципалы.
crbpudozh@mail.ru Пудожская центральная районная больница
dorstroy1@gmail.com Строители дорог.
d.slepchenko@nashadmin.ru Цитато:
/* АйТи Решение — молодая и динамично развивающаяся компания, которая занимается комплексным информационным обслуживанием
бизнеса. Наша компания предлагает услуги ИТ аутсорсинга, аудита, сопровождения 1С для малого и среднего бизнеса. */
ech@emre-group.ru Мебель, предметы интерьера.
eholin@elektroprofile.ru Монтаж и ремонт на электроподстанциях
ekb_master@mail.ru Автосервис
epihim-t@yandex.ru ЭпиХим. Продают древесину, покупают ключи к вирусам 😀
favorit-surgut@mail.ru http://new.favorit-surgut.ru/ Металлоконструкции и металлопрокат.
handpro@mail.ru http://www.handpro.ru/ Спецодежда
maria@svyaz.kz Сайт про системы радиосвязи. И — о ужас — про IP-телефонию.
neomarine01@neomarine.su Механизмы для нужд флота.
s.rizina@creative-wine.ru Торгуют вином.
stadis.info@gmail.com Строительно-монтажная фирма
stroyimpyls@yandex.ru Строительная компания
svp@transcargo.ru авто- и авиа- перевозки грузов
swet-ptg@yandex.ru ПсковТехГаз.
tmn.kuzmina@tesgroup.ru Транспортно-эспедиционная сеть.
transoffer@mail.ru Доставка грузов.
vasdou037@spb.edu.ru ДЕТСКИЙ САД № 37 КОМБИНИРОВАННОГО ВИДА
/* На форуме Касперыча я читал, что авторы вируса ещё не до конца растеряли совесть, и в такие учреждения
дешифровщик высылают бесплатно. */
Статистика за 24 дня удручает. Напомню — это только юрлица, заплатившие вымогателям выкуп за последние 24 дня. Тут не представлена ещё куча контактов физлиц (там, насколько я понял, тоже есть заплатившие), жертвы более ранних периодов и те пострадавшие, которым пришлось тихо расстаться со своими данными — их количество и вовсе подсчету не поддаётся. Полно пострадавших из малого и среднего бизнеса.
Наиболее эпичны два контакта от фирм, занимающихся обслуживанием 1С и облачной информационной безопасностью. То ли заказчик очень сильно сэкономил, заказавая услуги, то ли оказываемые услуги совершенно неадекватны современным угрозам.
Я же повторю свой старый тезис — пока на рабочих местах будет стоять такое сраное говно, как виндовс-с-настройками-по-умолчанию, эта печальная статистика никуда не денется. Слишком вкусно для злоумышленников, слишком легко атаковать, заявы в полицию пишет от силы 1 человек на тысячу, а в случае отсутствия бэкапов мошенники могут поставить потерпевшего в любую садомазохистскую позу.
Совет ? Сносите нахх виндовс, делайте бэкапы. 😀 Точнее, сперва делайте бэкапы, а потом сносите виндовс с основной системы, от греха подальше. Не будет там спокойной жизни.
P.S. На мою заметку сослались на хабре: http://habrahabr.ru/company/pt/blog/242027/
Что вызвало вполне заметный рост посещаемости и таки потешило моё самолюбие. Я теперь типа исследователь 😀
Amin 's Blog 