Comments 38
Я думаю, всем должно быть очевидно, что платить нельзя. Нужно делать бэкапы, если деликатная информация — шифровать. А платить — это как уступать террористам: положительный результат не гарантирован, и больше людей получают стимул заниматься вымогательством — платят же!
Надо искать плюсы. Чем больше подобных случаев и даже просто новостей, тем быстрее пользователи приходят к пониманию важности бэкапов и защиты собственной информации в целом.
Знаете ли вы притчу о хакере, директоре столовой и солонках?
О да.
Возможно я действительно неправ в своем предположении. По крайней мере вижу, что многие со мной не согласны.
Новостной фон создает впечатление, что криптовирусы становятся широко распространены. В каждой из новостей рекомендуется (прямо или косвенно) заплатить вымогателям. Плохо, что проблема не решается обращением в правоохранительные органы, хотя уверен, что возможности у них есть.
Возможно я действительно неправ в своем предположении. По крайней мере вижу, что многие со мной не согласны.
Новостной фон создает впечатление, что криптовирусы становятся широко распространены. В каждой из новостей рекомендуется (прямо или косвенно) заплатить вымогателям. Плохо, что проблема не решается обращением в правоохранительные органы, хотя уверен, что возможности у них есть.
Зашифрованный бэкап не чем не лучше, зашифрованных оригиналов. Где и как хранить бэкапы, что бы их не зашифровали?
Ну и вопрос. Конечно же бэкапы нельзя хранить на той же системе. У меня лично внешний жесткий диск для бэкапов.
Если бэкапы не защищены от записи, ничто не мешает зловреду их зашифровать, как только вы подключите диск для очередного бэкапа. Достаточно просто не проявлять себя несколько дней.
Защита должна быть адекватной существующей угрозе. Пока про такие вирусы я не слышал.
Ответил ниже
Для бэкапов отдельный инстанс ОС.
Для бэкапов отдельный инстанс ОС.
Как вариант, но уж очень и очень муторно для обычного пользователя.
В голове крутится, не монтируемый в ОС диск с своей ФС отличной от понимаемой Windows и записываемый только из бэкап софта.
Для трояна не будет проблемой обратится к диску напрямую, без монтирования. Тут нужно только одностороннее решение — записать можно а читать и менять существующее нельзя. Таким образом покоцать можно только текущий бэкап. С непременным аудитом попыток доступа к данным на защищённом диске.
Такое в принципе можно реализовать на базе FTP-сервера.
Такое в принципе можно реализовать на базе FTP-сервера.
Пользую отдельную Linux-машину, на которую скидываю данные по SFTP/SCP (доступно из коробки практически на любом дистрибутиве Linux).
Доступ на перезапись файлов там есть? Если есть на перезапись, и пароль доступа непременно хранится на самой машине(бэкап ведь по расписанию, в автоматическом режиме) то троян потенциально может получить пароль а вместе с ним и доступ к хранилищу резервных копий, где наделает делов с правами на изменение файлов.
Именно, что потенциально. Трояны научились лезть на диски, доступные из «Мой компьютер» (в т. ч. сетевые). А задача поиска пароля или ключа для доступа по SSH во всевозможных «велосипедах» не столь тривиальна. Кроме того, никто не мешает уже на целевой машине по окончании процесса копирования скриптом перемещать готовые бэкапы в каталог, недоступный извне для перезаписи. Разумеется, всё это не отменяет необходимости держать несколько бэкапов и контролировать их целостность. Также в принципе не мешало бы как-то мониторить состав файлов и экстренно предупреждать пользователя и (или) админов о массовом переименовании или удалении файлов на машине (или даже её выключать), чтобы минимизировать ущерб от действий подобных зловредов.
Пока они получают доход более лёгким способом тяжёлую артиллерию применять не будут. Но когда эффективность упадёт — начнут искать новые способы насолить, в том числе искать пароли на доступ к дискам в наиболее распространённых программ резервного копирования, либо просто дождутся когда они полезут на удалённое хранилище и воспользуются установленным соединением, независимо от его сложности и криптостойкости.
одновременно с этим поднимут стоимость разблокировки.
Конечно, всякие там персональные велосипеды пойдут лесом… но если так посмотреть, ведь и сейчас страдают именно самые массовые клиенты которые обладают минимумом знаний по защите своих данных.
Одно и звозможных решений — расстановка т.н. капканов или HoneyPot — привлекательных целей для троянов которые находятся под пристальным контролем, и если что-то тронет хотябы байт из этих файлов — это причина бить тревогу.
одновременно с этим поднимут стоимость разблокировки.
Конечно, всякие там персональные велосипеды пойдут лесом… но если так посмотреть, ведь и сейчас страдают именно самые массовые клиенты которые обладают минимумом знаний по защите своих данных.
Одно и звозможных решений — расстановка т.н. капканов или HoneyPot — привлекательных целей для троянов которые находятся под пристальным контролем, и если что-то тронет хотябы байт из этих файлов — это причина бить тревогу.
Многоие криптовальщики меняют расширения файлов или переименовывают их полностью. В бэкапе-то останутся старые файлы, не тронутые. Или я неправ?
Гром не грянет — мужик не перекрестится. Примеры публиковать не буду, каждый читатель сам может вспомнить с десяток подходящих историй.
Вы сопоставляете действия, которые надо делать в разных ситуациях — до и после появления проблемы в виде зашифрованных файлов. Это довольно странно.
Кроме того, надо учитывать, что бэкапы должен делать админ, а платить скорей всего будет хозяин
Кроме того, надо учитывать, что бэкапы должен делать админ, а платить скорей всего будет хозяин
Бэкапы помогают только отчасти.
Как правило, даже если сделан бэкап и пользователь не заплатил выкуп, его начинают шантажировать публикацией конфиденциальной информации.
В данном случае получается выход один: заплатить шантажистам. Но у пользователя также нет и не будет гарантии, что его данные после оплаты будут расшифрованы и не будут использоваться в дальнейшем преступниками…
Вывод: на входе необходимо установить дополнительную защиту от неизвестных и сложных угроз.
Как правило, даже если сделан бэкап и пользователь не заплатил выкуп, его начинают шантажировать публикацией конфиденциальной информации.
В данном случае получается выход один: заплатить шантажистам. Но у пользователя также нет и не будет гарантии, что его данные после оплаты будут расшифрованы и не будут использоваться в дальнейшем преступниками…
Вывод: на входе необходимо установить дополнительную защиту от неизвестных и сложных угроз.
Есть ли статистика, скольких людей шантажировали публикацией? Как троян (не заказной, а «общего назначения») среди гигабайт информации на компьютере определял конфиденциальные файлы и пересылал их куда не надо?
скольких людей шантажировали публикацией?
В данном случае, под пользователями понимаются — корпоративные пользователи (компании-основная цель криптовымогателей). Открытой статистики нет, т.к. подобные вещи корпоративные клиенты стараются не разглашать.
как троян (не заказной, а «общего назначения») среди гигабайт информации на компьютере определял конфиденциальные файлы и пересылал их куда не надо?
Определять конфиденциальность файлов не нужно. Как правило, если требования шантажистов не выполнены, в открытый доступ размещают все файлы пострадавшей компании.
*.DOC, *.XLS, еще с десяток разных расширений, базы от 1С и т.д. всё это легко обнаруживается, если не защищено.
Налоговые только и ждут чтобы кто-то опубликовал свои базы, а уж нарушений они там найдут сколько надо и инициируют соответствующие проверки.
Налоговые только и ждут чтобы кто-то опубликовал свои базы, а уж нарушений они там найдут сколько надо и инициируют соответствующие проверки.
Ну, у налоговых и без этого хватает работы, чтобы ещё заниматься анализом непроверенной и весьма разнородной информации, публикуемой ко всему прочему на крайне сомнительных сайтах, чтобы не «спалиться» при публикации. Конкурентам — да, в принципе что-то может пригодиться. Но и тут, опять же, вопрос в наличии ресурсов на поиск и анализ информации.
Можно ещё хранить важные данные на внешнем жёском диске который подключать только для копирования/сохранения данных с которыми ведется работа. А в остальное время пусть лежит отдельно в сейфе.
Касаемо Chimera есть информация как оно попадает в систему? В статье не нашел таковой. Сейчас популярна всевозможная рассылка арбитражных исков и актов сверок js. Интересно как это работает за бугром.
У нас юзверь поймал похожий, только там не Химера, а какой-то другой. Попался к юзеру через почту, а точнее в отдел кадров прислали резюме. В документе было краткое содержание, а ниже была кнопочка «Посмотреть в PDF». Вот тетенька и посмотрела. Nod32 работает и обновляется. Ничего… Сканировал doc файл всеми антивирусами, и на Virustotal, результатов нет. Однако открыл документ в архиваторе, нашел там этот самый файлик, который запускался при нажатии кнопки «Открыть в PDF». Файл был с расширением .bin.
Случай возник в дочерней конторе, где еще не было контроллера домена с нужными политиками. У нас уже давно политики работают. Политики вот такие: запрет на запуск всех исполняемых файлов отовсюду, кроме Program Files и Windows.
Случай возник в дочерней конторе, где еще не было контроллера домена с нужными политиками. У нас уже давно политики работают. Политики вот такие: запрет на запуск всех исполняемых файлов отовсюду, кроме Program Files и Windows.
При этом сумма, которую требуют у жертвы, значительно выше «среднего по больнице» показателя — $638, в биткоинах.
Меня сейчас люто заминусуют, но именно из-за потока таких новостей я поддерживаю запрет биткоинов и прочих подобных валют — слишком уж удобная лазейка для криминала иметь возможность анонимного получения денег.
Не такая уж и анонимная. Наоборот, все перемещения средств там полностью прозрачны. Огромное количество фиксированных платежей на один кошелёк позволит собрать неплохую статистику по распространённости этого самого криптовымогателя. Да и шанс, что хозяева кошелька как-то засветятся и их удастся деанонимизировать, достаточно велик.
Проблема в том, что такие дела почему-то никогда не пытаются расследовать. Даже когда вымогатели активно пользовались кошельками ЯД, WM и оплатой через SMS, их всё равно не получалось поймать.
Желания бороться с вымогателями у правоохранительных органов не возникло даже после нескольких случаев потери данных на компьютерах полицейских участков. Казалось бы — честь мундира и всё такое, но нет, тоже предпочли заплатить мошенникам, вместо того, чтоб поймать и показательно посадить.
Проблема в том, что такие дела почему-то никогда не пытаются расследовать. Даже когда вымогатели активно пользовались кошельками ЯД, WM и оплатой через SMS, их всё равно не получалось поймать.
Желания бороться с вымогателями у правоохранительных органов не возникло даже после нескольких случаев потери данных на компьютерах полицейских участков. Казалось бы — честь мундира и всё такое, но нет, тоже предпочли заплатить мошенникам, вместо того, чтоб поймать и показательно посадить.
Вброшу инфу про вирус-шифровальщик: www.opennet.ru/opennews/art.shtml?num=43299
Краткое содержание статьи: чтобы вирус на Linux'е запустить, нужнопересобрать ядро с нужными патчами, а затем вручную вирус собрать и установить, не забыв сделать нужные конфиги для sysinit или systemd установить на сервер Magento и не обновлять его. Дырку в его безопасности Linux.Encoder.1 и использует, чтобы выполнить произвольный PHP-код.
Краткое содержание статьи: чтобы вирус на Linux'е запустить, нужно
Sign up to leave a comment.
Криптовымогатели придумывают новые способы шантажа пользователей