WannaCry, Petya.A ...

[SolarW]

Туфта. МФТ тоже шифруется. Т.е файлов нет, пока МФТ не расшифрована. МФТ могла зашифроваться не полностью. "Хакер" будет в ручном режиме в дисковом редакторе смотреть, что зашифровано, а что нет?
Плюс шифруются не все файлы по маске даже в одном каталоге.
Потому - туфа.

https://pastebin.com/xP3rpaWU

Send me 100 Bitcoins and you will get my private key to decrypt any harddisk (except boot disks)

А как кстати вирус вел себя с не системными дисками? Вроде на них MFT не трогал?

[YurikM]

https://pastebin.com/xP3rpaWU

А как кстати вирус вел себя с не системными дисками? Вроде на них MFT не трогал?

Мне не попадались пока случаи с двумя винтами, потому не скажу. МФТ на разных разделах в пределах одного (единственного) винта шифровались.
Более одного винта в системе есть далеко не у каждого юзера, поэтому странно выглядит сама схема.
Может, имелся ввиду бутовый раздел? Но и сие тоже непонятно.
PS. Но судя по всему (если делать выводы), до 2-3...n носителей не добирается для шифрования МФТ.

[Funeral director]

Прикладная программа на x-системе в принципе не может навредить системе. Никак. Ни файлы поломать, ни диск шифровать, ни конфиг поменять. Она может навредить исключительно сама себе, не более того.

линуксы пока ещё ограничены в бизнес-применении,
как бы "неполноценный" что-ли,

К описанному выше случаю с "Буфер-ПК":

контора риэлторская,
использует штук 5 риэлторских своих каких-то программ,
и 3 бухгалтера у них:
у одного "Медок",
у второго "Спирток",
у третьего ещё что-то,

Медок для линуксов не предназначен,
не говоря уже про самописный софт
/риэлторский, для автомойки и т.п.\,

А так админ просто будет крутить на своём "Буфер-ПК"
в отдельных виртуальных машинах
отдельный софт и обновления,

пока не увидит,
что бухгалтерская виртуальная система зашифровалась,
/а риэлторская работает\
при этом сам "Буфер-ПК" не пострадает,
и копии файлов обновлений
можно будет выслать на проверку

Вывод:

1/ использовать "Буферный-ПК"
для закачки и проверки обновлений
/и хранения их копий для анализа если что\

2/ использовать песочницы на том же "Буфер-ПК" -
виртуализацию,
для первичного запуска в них этих обновлений,
с 2-3 дневной выдержкой.

[Gobzavr]

Если мне помнится, винду тоже пытались делать на разделяемой архитектуре (Win NT), и где она сейчас?

ну какбе 10ая венда NT6.6 актуальное ядро
Очень даже кстати разделяемая среда
С 8.1 (NT6.3) очень даже кошерно зафигарили разделяемые среды и кернел от юзера и от драйверов разнесли
Даже сиспреп при миграции почти не нужен

Вирусня тут то причем?

[Gobzavr]

и держит саму программу Медок открытой с 8-17,
автоматически симулируя действия сотрудника -
в 17-00 этот Буфер-ПК отключается,
в 8 утра включается,

Да, только дыра была первый раз задетекчена (это уже потом выяснили) 15 мая, а атака в начале июля. Это чего - полтора месяца медком не пользоваться?

чтоб размер и хеш-сумма была всегда одна и та же,

Не будет. Обновления содержат разную информацию. И если до 20 мб положим добить нулями можно, что бы было красиво, то с хешем - увы никак.

[Пал Степаныч]

-/ну и чисто визуально -
если вместо 20 Мб, файл будет 19 или 21 -
то скорее всего,
в нём ковырялся уже какой-то чкольник\.

Весь мир уже давно использует механизм контрольных сумм и электронной подписи
с заверенным сертификатом издателя

И только Украина "изобретает лисапеты"

[vop]

Так чому усе видохлося на Ubuntu?
Чому не пішло в маси?


Тільки не потрібно про змову.
Насправді ми усі знаємо, що хто перший візьме ідею, той і на конях.


Так чому ніхто не бере?

Дубилет взял. И он - на коне. Не?

Если хотите моего мнения - то обычная боязнь "чего-то сложного". Почему-то домохозяйкам юниксы кажутся сильно сложными, ибо работают не так, как привычная винда. Программерам тоже он кажется сложным. Конторы, которые пишут разные виндовые приложения, руководятся начальниками, достаточно тупыми и амбициозными, которые "знают винду, поэтому пишут под винду". Вы просто задайте вопросы этим конторам, почему они не пишут свои продукты под лин, и они накидают вам целую кучу проблем, которую они не могут или не хотят решить.

А реально - под винду писать намного сложнее, нежели под юниксы.

[vop]

линуксы пока ещё ограничены в бизнес-применении,
как бы "неполноценный" что-ли,

Это претензии к разработчикам софта. Похоже, что это они неполноценные.

К описанному выше случаю с "Буфер-ПК":

Случай с медком вообще не из той оперы - поставщик дистрибутива своим невежеством поставил страну раком.

[vop]

ну какбе 10ая венда NT6.6 актуальное ядро
Очень даже кстати разделяемая среда
С 8.1 (NT6.3) очень даже кошерно зафигарили разделяемые среды и кернел от юзера и от драйверов разнесли
Даже сиспреп при миграции почти не нужен

Вирусня тут то причем?

Причем? Наверно при том, что какая-то поытка быть полубеременной, винда так и не стала x-системой, и каждый медок или голая баба может положить систему. Только одна надежда, что код из голой бабы будет в каком-нибудь антивирусе.

[Шурик Г. (гость)]

Дубилет взял. И он - на коне. Не?

Если хотите моего мнения - то обычная боязнь "чего-то сложного". Почему-то домохозяйкам юниксы кажутся сильно сложными, ибо работают не так, как привычная винда. Программерам тоже он кажется сложным. Конторы, которые пишут разные виндовые приложения, руководятся начальниками, достаточно тупыми и амбициозными, которые "знают винду, поэтому пишут под винду". Вы просто задайте вопросы этим конторам, почему они не пишут свои продукты под лин, и они накидают вам целую кучу проблем, которую они не могут или не хотят решить.

А реально - под винду писать намного сложнее, нежели под юниксы.

А Кашпировский на странице авторизации... это уже даже не издевательство...

[Александр_L]

Funeral director Таки с одного раза до Вас не дошло.
03.07.17 Утро, программа "Соната", последнее обновление 21.10.3 выпущенное 30.06.17. Обновление содержит новые бланки акцизных накладных, деклараций плательщика единого налога и т.д.
03.07.17 Чуть позже. Выясняется что ДФС не подготовилась к введению новых бланков и сдаваемые из "Сонаты" отчеты бракуются налоговой, по причине отсутствия схемы файла.
Разработчики "Сонаты" обещают обновление в котором откатят отчеты до принимаемых налоговой версий.
03.07.17 День. Разработчики держат свое слово и появляется обновление 21.10.4 откатывающее версии отчетов.
05.07.17 Утро. На Сайте появляется обновление 21.10.5 исправляющие некоторые ошибки
06.07.17 День. Очередное обновление 21.11.
Каким образом Вы собираетесь это все держать в "песочнице"? Кто будет платить по 1020 за не сданные отчеты?

[_pavel]

Дубилет взял. И он - на коне. Не?

Если хотите моего мнения - то обычная боязнь "чего-то сложного". Почему-то домохозяйкам юниксы кажутся сильно сложными, ибо работают не так, как привычная винда. Программерам тоже он кажется сложным. Конторы, которые пишут разные виндовые приложения, руководятся начальниками, достаточно тупыми и амбициозными, которые "знают винду, поэтому пишут под винду". Вы просто задайте вопросы этим конторам, почему они не пишут свои продукты под лин, и они накидают вам целую кучу проблем, которую они не могут или не хотят решить.

А реально - под винду писать намного сложнее, нежели под юниксы.

полнейшая красноглазая ересь
1) коммерческому приложению нужна экосистема , интеграция с другими стандартными приложениями (офисом как
пример) и главное - им нужен рынок сбыта. Основное премущество линукс (его открытость) играет против него же в этом аспекте.
2) писать пофиг под что , продавать GUI приложения/игры проще/прибыльнее по вин32/64. Про саппорт и депенденси либ можно даже не заикаться.
3) начальники да, они "тупые" осталось мелочи , стать начальником и привернуть мир

А так, у линукса все отлично . Его основная ветвь развития - работать на каждом утюге и вытеснить все в ембедед. Там у него в е отлично и начальники , почему-то , не тупые

[SergOv]

Мне не попадались пока случаи с двумя винтами, потому не скажу. МФТ на разных разделах в пределах одного (единственного) винта шифровались.
Более одного винта в системе есть далеко не у каждого юзера, поэтому странно выглядит сама схема.
Может, имелся ввиду бутовый раздел? Но и сие тоже непонятно.
PS. Но судя по всему (если делать выводы), до 2-3...n носителей не добирается для шифрования МФТ.

А что, твердотельный и магнитный диск в одном флаконе - экзотика ?
Или они "выглядят" с точки зрения машины как один физический ?

[vop]

полнейшая красноглазая ересь
1) коммерческому приложению нужна экосистема , интеграция с другими стандартными приложениями (офисом как
пример) и главное - им нужен рынок сбыта. Основное премущество линукс (его открытость) играет против него же в этом аспекте.

Ну если навязаный медок считать коммерческим софтом, то да. Так оно и есть. Если касаться обработки звука, изображения, видео, научных расчетов или финансовой сферы и обработки данных - то тут давно первенство юниксов.

2) писать пофиг под что , продавать GUI приложения/игры проще/прибыльнее по вин32/64. Про саппорт и депенденси либ можно даже не заикаться.

Вот вы и "забоялись" депенсов. Это не проблема. Прсото ни разу.

3) начальники да, они "тупые" осталось мелочи , стать начальником и привернуть мир

Например, Дубилет - очень украинский пример нормального начальника.

А так, у линукса все отлично . Его основная ветвь развития - работать на каждом утюге и вытеснить все в ембедед. Там у него в е отлично и начальники , почему-то , не тупые

Ну, или в серьезной технике, типа Cisco. в сетевых приложениях, и в многопользовательских системах. Вот вы сидите в интернете, а на какой системе построен интернет? Или тот же гугль на чем сидит?

[_pavel]

Ну если навязаный медок считать коммерческим софтом, то да. Так оно и есть. Если касаться обработки звука, изображения, видео, научных расчетов или финансовой сферы и обработки данных - то тут давно первенство юниксов.



Вот вы и "забоялись" депенсов. Это не проблема. Прсото ни разу.



Например, Дубилет - очень украинский пример нормального начальника.



Ну, или в серьезной технике, типа Cisco. в сетевых приложениях, и в многопользовательских системах. Вот вы сидите в интернете, а на какой системе построен интернет? Или тот же гугль на чем сидит?

Я уже ничего давно не боюсь , кол-во коммерческого софта (включая kernel mode) написанного мной под Linux раз в 10 больше чем под win32/64.
Я лишь заметил, что ваша лекция для колхозникоа не выдерживает критики со стороны тёх же тупых начальников и "слегка" абсурдна.
В остальном , никто не мешает Вам дальше строить замки на песке. Но чем раньше вы признаете проблемы проблемами , тем меньше времени будите тратит на фантазии не приносящие денег.

[SergOv]

4 июля департамент киберполиции, вместе со специалистами СБУ и прокуратуры Киева прекратили второй этап кибератаки Petya.

О как !

[Funeral director]

Funeral director Таки с одного раза до Вас не дошло.
03.07.17 Утро, программа "Соната", последнее обновление 21.10.3 выпущенное 30.06.17. Обновление содержит новые бланки акцизных накладных, деклараций плательщика единого налога и т.д.
03.07.17 Чуть позже. Выясняется что ДФС не подготовилась к введению новых бланков и сдаваемые из "Сонаты" отчеты бракуются налоговой, по причине отсутствия схемы файла.
Разработчики "Сонаты" обещают обновление в котором откатят отчеты до принимаемых налоговой версий.
03.07.17 День. Разработчики держат свое слово и появляется обновление 21.10.4 откатывающее версии отчетов.
05.07.17 Утро. На Сайте появляется обновление 21.10.5 исправляющие некоторые ошибки
06.07.17 День. Очередное обновление 21.11.
Каким образом Вы собираетесь это все держать в "песочнице"? Кто будет платить по 1020 за не сданные отчеты?

Каким образом Вы собираетесь это все держать в "песочнице"? Кто будет платить по 1020 за не сданные отчеты?

Я далёк от этих тем,
но походу вы описываете работу
чисто бухгалтерской конторы,
в которой,
100 бухгалтеров
обслуживают 1000500 клиентов,
и ежечасно строчат эти отчёты
жалуясь на чехарду версий и т.п.

Зачем рядовому бизнесу
/индивидуальный ЧП, Киевстар, Южмаш, АТБ\
такая чехарда с днями?

Вроде ж есть налоговая отчётность:
годовая, квартальная, ну и месячная,
но зачем дни-то?

-----------
В любом случае рассматривайте мои примеры
как обобщённые,
потому что считаю это не правильным,
когда в конторе из 100 Пк,
каждый ПК сам закачивает обновление из интернета,
и в итоге каждый комп вырубается,
начальника топает и рвёт волосы на голове и т.д.

Имеем факт -
на ПК пришло нечто вместе с обновлением,
на каждый ПК сразу,
причём не оставив улик -
следов этого обновления,
да ещё и уничтожив их зашифровав диски,

В итоге у жертв нет улик - заражённых образцов обновления,
а значит крайних подозреваемых - как бы тоже нет!

В случае же с "песочницей" -
максимум что пострадало бы,
так это виртуальная машина с этим "Медком" ,
зашифровавшаяся через 1 час после обновления,
при этом у админа были бы улики -
копии обновлений с вирусом,

И затраты админа будут = 15 минут,
чтоб снести её и скопировать новую заливку
в виртуальную эту машину,
с "Медком" и прочим ПО,
своего рода бекапчик.

А так получается совсем не "дело на 15 минут" -
вылетел один продукт,
сервера изъяты,
и нет гарантии что по той же схеме
/сразу все ПК в конторе закачивают что-то из интернета\
вылетит так же и другой продукт:

По сообщению Разработчика "M.E.Doc",

впервые за историю существования ПО "M.E.Doc" произошел беспрецедентный факт взлома, в результате которого к продукту был внесен вредоносный программный код в пакет обновления. Понимая всю ответственность, разработчики "M.E.Doc" приложили максимум усилий, чтобы исправить ситуацию и создали обновление, которое гарантированно исключает угрозы для пользователей.

Однако в ходе проведения следственных действий сервера компании временно изъяты для анализа проникновения. Таким образом, Разработчик лишен возможности выпустить обновление с повышенной степенью безопасности.

Работа над выпуском обновления ведется под четким контролем и с участием представителей правоохранительных органов, с применением дополнительных методов защиты при сборке и распространении обновления, а именно размещение его на защищенных серверах. Как только обновление будет доступно, оно сможет исправить ситуацию и предотвратить повторные атаки вируса.

[Abyss]

An unknown actor had stolen the credentials of an administrator at M.E.Doc. They logged into the server, acquired root privileges and then began modifying the configuration file for the NGINX web server. We were unable to recover the nginx.conf file, as it was subsequently overwritten, but additional log files were important in understanding what was changed. What we found were thousands of errors that looked like this:


http://blog.talosintelligence.com/20...onnection.html

[Marko]

[YurikM]

А что, твердотельный и магнитный диск в одном флаконе - экзотика ?
Или они "выглядят" с точки зрения машины как один физический ?

В классическом (недорогом) SSHD нанд используется как кэш. В дорогом решении от ВД SSD часть мапится в начало общего логического пространства.
Т.е всё равно один диск.