LINUX.ORG.RU
решено ФорумTalks

Что думаете о малваре шифровальщиках?

 , ,


0

2

Как известно, на винде уже лет 8 длится эпидемия малвари шифровальщиков. Кто не знает - софт запускается на машине, шифрует каким-то криптостойким алгосом все файлы и требует выкуп. Если раньше это были поделки школьников, то последние годы в игру включились игроки покрупнее, а суммы выкупов давно превысили и миллион и более (в СМИ фигурируют требования и по 50лямов).

И вот уже с полгода в тренд выходит новое направление - шифровальщики под Vmware esxi / NAS, т.е. под линуксы. Что думаете на эту тему? Понятно что это все направлено на крупные конторы, но все же, малварь для линуксов всегда считалось чем-то мифическим, а тут вполне реальное.

Образца такой малвари на руках нет, чтобы потестить. Но они есть.

у местных админов есть бекапы. им плевать на шифровальщики. Поэтому они не рассматривают это как угрозу. Тут уже были подобные темы, искать ссылки на них лень…

fsb4000 ★★★★★
()

шифрует каким-то криптостойким алгосом все файлы и требует выкуп

Я работаю на опережение, шифрую свои диски сам!

aquadon ★★★★★
()

Надо эту жабу натравить на гадюку. Пускай у майнеров кошельки шифруют. А если пул какой попадёт - ваще красота будет

TooPar
()

малварь для линуксов всегда считалось чем-то мифическим, а тут вполне реальное.

Дык, линукс постепенно распространяется. Даже если процент пользователей во всех сегментах и не меняется, то общее количество машин и пользователей - растёт. Вероятно, экономический выхлоп от написания малвари под линукс - тоже увеличивается.

Ну а в серверном сегменте всякие малвари под линукс вообще были уже лет 20, не меньше. А то как вы думаете всякие ботнеты появляются, корпоративные данные похищаются и вот это вот всё ?

DawnCaster ★★
()
Ответ на: комментарий от TooPar

Думаю, учитывая общую дырявость современного софта, что-то подобное обязательно произойдет рано или поздно, и мы ещё прочтём об этом в новостях.

DawnCaster ★★
()
Ответ на: комментарий от WitcherGeralt

За те бабки, что в этих письмах просят, я сам троянца себе на комп поставлю.

lenin386 ★★★★
()
Ответ на: комментарий от DawnCaster

А то как вы думаете всякие ботнеты появляются, корпоративные данные похищаются и вот это вот всё ?

по классике, чуть более чем в половине случаев, изнутри оно случается. а не внаружии.

n_play
()

Я думаю что к великому сожалению таких вещей очень мало. Хотелось бы чтобы на каждую найденную RCE дырку появлялся червь максимально быстро распространяющийся и наносящий максимум ущерба. Файлы должны не только шифроваться, но и выкладываться в торренты. При выплате выкупа ничего не должно расшифровываться и убираться из раздачи.

slovazap ★★★★★
()

Все что после ванхалфа — эпигонство жадных детей :)

slackwarrior ★★★★★
()
Ответ на: комментарий от fsb4000

С разморозкой. Уже давно, помимо шифрования, практикуют скачивание данных на свои сервера, и шантаж «а то всем расскажем»

Ну и да, operational disruption - это тоже не бесплатно. ЕМНИП, в Англии уже был случай, когда скорую перенаправляли в другую больницу, так как целевую пошифровали. Пациент не доехал.

CaveRat ★★
()
Последнее исправление: CaveRat (всего исправлений: 1)

Нужно не про малваре думать, а про то, как это малваре попадает в сеть. И стараться перекрывать каналы.

Если что, основной канал компрометации - фишинговые письма.

CaveRat ★★
()
Ответ на: комментарий от n_play

По классике, у тебя есть какие-то подтверждения этого утверждения? А то verizon dbir за 2020 с тобой не согласен.

CaveRat ★★
()

Ничего, а должен ли? На десктоп они просто не попадут, а на сервере есть бэкапы (так-то, и на рабочем компьютере можно).

fernandos ★★★
()
Ответ на: комментарий от CaveRat

И вот уже с полгода в тренд выходит новое направление - шифровальщики под Vmware esxi / NAS, т.е. под линуксы

Если что, основной канал компрометации - фишинговые письма.

А каков основной канал компрометации линуксов и всяких NASов? Расходимся, или таки есть устойчивые каналы?

Brillenschlange
()
Ответ на: комментарий от fsb4000

Если бэкапы хранятся не на катушках в коробке, то так-то риск всегда есть. Вот вероятность этого риска это конечно курам на смех если холодные и горячие находятся хотя бы в разных периметрах которые изолированы друг от друга.

pon4ik ★★★★★
()
Ответ на: комментарий от fsb4000

у местных админов есть бекапы. им плевать на шифровальщики.

Это если не окажется, что бекапы тоже пошифрованы.

praseodim ★★★★★
()
Ответ на: комментарий от pon4ik

Если бэкапы хранятся не на катушках в коробке, то так-то риск всегда есть.

Шифровальщики они ведь обычно не сразу вымогать бабло начинают. Сначала стараются дотянуться куда только можно. Так что бекап на катушку уже мог писаться кодированным.

praseodim ★★★★★
()

А как эта зараза может на целевой компьютер проникнуть? Или, как обычно, понадобится установить пару библиотек, пропатчить малварь, скомпилять и потом от рута запустить? =D

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от praseodim

ну вообще да; виндовс админы тоже ведь не все дураки (хотя мб кто-то и так думает). Люди делают бекапы, а потом оказывается, что пошифровано всё. Но в винде есть антивирусы - какие-никакие, но 99% малвари они ловят, имею ввиду не аваст_фри и подобное, а корпоративные неотключаемые.

zer0cat
() автор топика
Ответ на: комментарий от Eddy_Em

ну это популярные шутки про скомпилить установить либы. Я не видел софт, но уверен на 100%, что там все идет как standalone прога. Касаемо рута - хз, с vmware esxi знаком плохо. Что там вообще за линукс?

zer0cat
() автор топика
Ответ на: комментарий от zer0cat

Ну так даже если это будет статически слинкованный бинарь, его нужно запустить. А кто будет запускать непонятный бинарник, скачанный из сети? Это могут делать только вендузятники/бубунтышки.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Eddy_Em

Так на винде тоже атака не идет по принципу «вот вам письмо_со_сбербанка.тхт.ехе, запустите его». Атакующие проникают в сеть (брутят рдп, юзают рце или еще что), и постепенно там все изучают, повышают привилегии и шифруют.

zer0cat
() автор топика

Хм, оказывается такая фишка реально давно уже есть Вирус-шифровальщик

но хостинги шифровать это такое, обычно там даже если юзер полный даун, есть бекап у хостера.

zer0cat
() автор топика
Ответ на: комментарий от CaveRat

Учетки пользователей и админов, которые малваре собирает, перемещаясь по сети.

Наверное надо как-то уж очень специально постараться, чтобы перемещаясь по сети насобирать учёток админов. Выражаю некие сомнения.

Brillenschlange
()
Ответ на: комментарий от praseodim

Не, ну можно конечно тут сказать, что пользователь заранее зашифрованную систему просто уже поставил…

pon4ik ★★★★★
()

У жены на рабочем ноуте такое было (семёрочка, аутлук). Приходит письмецо типа «Добрый день, вот отчёт» и ссылка. Главное, она что-то такое от кого-то ожидала и не прочитала внимательно, не проверила адрес. Нажала и всё, привет. Хорошо, что файлы Indesign не зашифровало, в котором было много сделано и не сохранено, но пропали все вордовские документы. Бекап был, на внешнем винте. Хорошо, что он был не подключен.

WerNA ★★★★★
()

малварь для линуксов всегда считалось чем-то мифическим, а тут вполне реальное.

Всегда была и есть в дикой природе. О чём тут говорить, если половина инстансов — эта штука с кучей незакрытых уязвимостей.

Но админу локалхоста смысл об этом думать? Разве, что если запускаешь всякие васяно репаки игр (да, встроить мэлварь в такую игру под линуксами — это первокурсник сможет).

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.