Это вы про MSVS?

Линух стоит у 3% пользователей и писать что то вредоносное под него не выгодно. Так как 1.5% это нищеброды, у которых снега зимой не дождёшься, не то что денег шифрованием вымогать. Вторые 1.5% это параноики, которые сами всё зашифровали, понаотключали «лишнее» и кастрировали в правах, да так удачно, что запустить что-то случайное кроме как с помощью божьего проведения нереально. И те и другие сидят на разных дистрах и разном железе, кишки которых могут таки сильно различаться. Начиная от железа времён цара гороха и драйверов, которые ещё более древние аки говно мамонта, так что не каждый зловредный вымогатель не то что вспомнит, но даже найдёт. Или те, которые только вчера вышли в продакшен, и пока непонятно как оно вообще работает так как кроме полутора прибитых костыля ещё толком ничего не успели написать, а то что успели падает после каждого второго пука. Так что чтобы можно было запустить шифровальщик ещё нужно поставаться найти рабочий для твоего железа, дать ему права и постораться запусить. Такие дела.

Вирусы под линукс возможны, но жертве самой придется качать исходники этих вирусов, компилировать и править конфиги.

Зачем жертве? Сервер тоже может это делать, компиляторы много где стоят, хотя это и не кошерно :D

...

Я дважды ловил серверных червей. Один раз через дыру в Apache (я даже так и не узнал, что это за вирус был, исходники остались, а как называется — х.з.), второй — через дыру в SSL («Slapper»). Правда, последний раз это было лет 15 назад.

Уязвимость SMB1 была и в Samba, так что чисто теоретически новый wcrypt может быть и для линукса тоже. Но я не знаю ни одного дистра, в котором Samba смотрит в веб: в линуксе - промышленный Firewall бесплатно и «из коробки». И кроме того, здесь только я - любитель старых линуксов, а остальным никто и ничто не мешает обновлять систему. Никакие лицензионные ключи не нужны

поделка почти была, но работала, к счастью, криво.

Поэтому под линуксы вирусы и не делают, потому что у всех свой зоопарк на дисках.

обный рабочий дистрибутив типа ArchLinux

Это не обычный рабочий дистр. Это дистр, который ты собрал на коленке, пусть и не компилил ядро как гентушники и не собирал ПО их исходников. Для вирусописателя не понятен тот рецепт борща, который у тебя в твоем арче, а если ты еще в борщ и майонез с изюмом добавишь (а это норма для подобных дистров), то это вообще ад и не один вирусняк даже с 60% вероятностью у тебя не заведется.

Линух стоит у 3% пользователей и писать что то вредоносное под него не выгодно. Так как 1.5% это нищеброды, у которых снега зимой не дождёшься, не то что денег шифрованием вымогать. Вторые 1.5% это параноики, которые сами всё зашифровали, понаотключали «лишнее» и кастрировали в правах, да так удачно, что запустить что-то случайное кроме как с помощью божьего проведения нереально. И те и другие сидят на разных дистрах и разном железе, кишки которых могут таки сильно различаться. Начиная от железа времён цара гороха и драйверов, которые ещё более древние аки говно мамонта, так что не каждый зловредный вымогатель не то что вспомнит, но даже найдёт. Или те, которые только вчера вышли в продакшен, и пока непонятно как оно вообще работает так как кроме полутора прибитых костыля ещё толком ничего не успели написать, а то что успели падает после каждого второго пука. Так что чтобы можно было запустить шифровальщик ещё нужно поставаться найти рабочий для твоего железа, дать ему права и постораться запусить. Такие дела.

Два чая этому господину!
Сколько сижу на Linux системе, ни разу ни одного вируса так и не увидел.
Хотя помню, кто-то давно кидал ссылку на исходник вируса. Только он собака не компилировался, версии библиотек требовались слишком старые.

Таки нет, но только из-за малой популярности в основном. А реализовать какой-нибудь криптолокер даже проще будет, наверное, openssl-то у всех есть. А вот систему привести в неработоспособное состояние будет сложнее, но это малоприбыльно.

Зачем тебе вирусы, когда уже есть systemd?

Но я не знаю ни одного дистра, в котором Samba смотрит в веб

Так на венде по-моему тоже.

Линух стоит у 3% пользователей и писать что то вредоносное под него не выгодно.

А зачем писать что-то вредоносное для обычных пользователей? В чём профит для вирусописателя, если у какого-нибудь Васи Пупкина комп заражен будет?

В чём профит для вирусописателя, если

Так обсуждаемый случай про то, что Вася Пупкин может денег перечислить вирусописателю.

Эээ, странный вопрос

1) воровство личных данных, различных аккаунтов

2) участие зараженного компьютера в ботнете - рассылка спама или ddos

3) вымогательство денег

Уверен, что не все уязвимости всяких Outlook пофикшены. Точно помню, что была проблема, что сам почтовик без участия пользователя сам всё скачивал и запускал. Потом это фиксили, потом опять выплывал другой метод.

Аутлук прямо вместе с виндой, мягко говоря, не поставляется. Причем же тут проблемы ОС, даже «философии» ОС, которые мы обсуждали.

Linux.Encoder.1

Если мы все же говорим о линуксе, то блокировать такой путь физически невозможно, потому что команда /lib/linux-ld.so ./virusniak позволяет запустить что угодно, даже без прав на запуск этого бинарника. Точно так же можно запустить любой скрипт, не имея прав на запуск файла скрипта. И как ты забетонируешь щели?

SElinux?

може чё не то скажу, технически не вижу никаких препятствий для написания скриптового локера/шифровальщика под posix-системы.. при распространении мылом вопрос (авто)запуска актуален (преведЪ Perl). при MUA == mutt старт «автоматом» на трезвую голову есть суть «mission impossible»©™. да и смысла корячить маскировку скрипта под текст «памажителюдидобрыя»... кому оно надо хреначить хомяк и /tmp?

p.s.: хотя получить рута с remote login - вот это совсем другая тема :))

SElinux?

Такие же инструменты есть и в винде, что ж они ими не пользуются. А потому, что это влечет за собой большие сложности, плюс нужен грамотный админ, который это все правильно настроит.

То есть, забетонировать щели конечно же можно, но то же самое сделать можно и в винде, но не из коробки, потребуется настройка грамотным человеком.

А бывают ли криптолокеры под линукс, и как их не найти?

Linux/KillDisk.A

А, кстати, как идея написать скрипт, которые добавляет ко всем конфигам расширение .mne_nahimil_vash_vrach_info_ne-****y80@ya.ru.
В том чесле и на системные.

Линух стоит у 3% пользователей и писать что то вредоносное под него не выгодно. Так как 1.5% это нищеброды, у которых снега зимой не дождёшься, не то что денег шифрованием вымогать. Вторые 1.5% это параноики, которые сами всё зашифровали, понаотключали «лишнее» и кастрировали в правах, да так удачно, что запустить что-то случайное кроме как с помощью божьего проведения нереально. И те и другие сидят на разных дистрах и разном железе, кишки которых могут таки сильно различаться. Начиная от железа времён цара гороха и драйверов, которые ещё более древние аки говно мамонта, так что не каждый зловредный вымогатель не то что вспомнит, но даже найдёт. Или те, которые только вчера вышли в продакшен, и пока непонятно как оно вообще работает так как кроме полутора прибитых костыля ещё толком ничего не успели написать, а то что успели падает после каждого второго пука. Так что чтобы можно было запустить шифровальщик ещё нужно поставаться найти рабочий для твоего железа, дать ему права и постораться запусить. Такие дела.

Итак, давай по порядку:
1. Linux стоить не только у пользователей, ну ещё и на роутерах и бордерах.
2. На счёт зловреда: можно просто зашифровать файлы каких нибудь демонов, потом их реставтонуть.


Можно например в bgpd.conf записать что-то типо:

printf "0JzQvdC1INC90LDRhdC+0LzQuNC7INCy0LDRiCDQstGA0LDRhyDQodGC0LXQv9Cw0L3QvtCyINCSLtCSLiDQotCw0LrQttC1INC+0L0g0LzQ0LDQt9Cw0LvRgdGPINC+0LHRgdC70YPQttC40LLQsNGC0YwuCg=="|base64 -d >>/etc/quagga/bgpd.conf; service quagga restart

Все самое ценное в хомяке, кто думает иначе странный человек во служении у машины.

Так на венде по-моему тоже.

А откуда тогда 300к заражений?

Там вроде как окошечко всплывает выбора типа сети «домашняя, корпоративная, публичная» и в зависимости от этого разные настройки фаервола. Но могу ошибаться.

В государственных ведомствах сделали «публичную»? Не думаю, вирус явно поразил настройки для корпоративной.

ЕМНИП, не актуально для домена.

Антивирусные базы для ClamAV в формате YARA

Предлагаю свою подборку антивирусных баз имеющую около 3000 правил!

https://filebin.ca/3MsPkqLvTq0o/phpVp19P

Сохранить как обычный текстовый файл, например yara-rules.tar.xz.asc в конце файла пустая строка. Проверить контрольные сумы: SHA512(yara-rules.tar.xz.asc)= 547bc6f571acd0162b8fb33dfe0f2e36489f2a5163d8fca9889a7a25ca486e9073f4c59f58dfc6d0db7298649e84a059c1b575085df61163fd13496bdf1fd196 whirlpool(yara-rules.tar.xz.asc)= b2cd47c5f33032445baa78b3477aacdf8476064451de3259fefc10a8f38ba48401a6733e82b102190cc9c2f424b3db0d95d4f61ea2046ca89ccf6ec9136e3dbc Расшифровать тарбол коммандой: gpg2 -d yara-rules.tar.xz.asc > yara-rules.tar.xz Пароль для расшифровки [ClamAV Yara] без []. И распаковать командой: tar -xJf yara-rules.tar.xz

В зашифрованном архиве есть каталог clamav с двумя файлами: yara-rules.ign2 - список антивирусных правил, которые по моему субъективному мнению, дают cлишĸoм мнoгo лoжныx cpaбoтoĸ. Формируется атоматически, на основе чистых, по моему субъективному мнению, файлов. yara-rules.yara - антивирусная база в формате YARA протестированая с антивирусом ClamAV. Формируется атоматически, на основе общедоступных антивирусных баз в формате YARA. Правила которые не поддерживаются ClamAV-0.99.2 в сборку не включаются, как и правила вызывающие ошибки при загрузки в ClamAV. Правила мною не корректируются. Оба файла надо скопировать в каталог с антивирусными базами для ClamAV, по умолчанию /var/lib/clamav Перезагрузить антивирусные базы.

Wanna_Cry_Ransomware_Generic - даёт слишком много ложных сработок, решил пока не блокировать!!!

PS: Кто СВОБОДНЫЙ и имеет сервак могу дать скрипты для создания этой YARA подборки.

Интересны именно СВОБОДНЫЕ ЛЮДИ ибо в правила входят многие шпионские вирусы и прочая гадость.

Существа которые одни вири будут включать в базу, а другие нет - попрошу не беспокоить!

XData - новый криптолокер

так что чисто теоретически новый wcrypt может быть и для линукса тоже.

http://itc.ua/news/obnaruzhen-novyiy-virus-vyimogatel-xdata-kotoryiy-spetsial...

Существа которые одни вири будут включать в базу, а другие нет - попрошу не беспокоить!
Wanna_Cry_Ransomware_Generic - даёт слишком много ложных сработок, решил пока не блокировать!!!

проиграл