Трояны-шифровальщики. Насколько защищены ваши данные

Цитата (Modigar @ 30.06.2016 - 22:50)

Linux - Тест пройден!

Если постараться, можно это чудо и под линем запустить
Ставим wine, скорее всего понадобится еще установить mono или dotnet.
Запускаем и радуемся

Цитата

Слева направо представлены: два образца Trojan.Packed.62527, данный вредонос наиболее продуман и даже внешне маскируется под офисный документ, за ним следует BackDoor.Andromeda22, данный экземпляр судя по описанию не является шифровальщиком, представляя бекдор-загрузчик, однако в данном случае он оказался сразу "заряжен" шифрующим модулем, и наконец Trojan.Encoder.3470, который маскировался под Акт сверки от реально существующего контрагента.

Вот после этого абзаца можно даже не читать, обзор делали самоучки, кстати хренового уровня, объясню:
1. Сигнатура "Packed" - означает, что исполняемый файл был упакован с помощью обычного, вполне легального pe packer'a, например UPX. Данная сигнатура не значит вообще ничего, она полностью неинформативна!
Кстати, эвристики часто вешают на вполне легальный и законопослушный софт такие сигнатуры только из-за использования упаковщиков (лечится/обходится подписыванием исполняемых файлов);
2. BackDoor.Andromeda22 - это самый обычный Trojan-Downloader, то есть трой, который сам ничего не делает, а только качает и запускает из сети другие вирусы Нормальный эвристический анализ палит даунлодеров на раз (комбинация системных апи). Так что так же - мимо!

Как минимум выбор "зверинца" уже мимо, про выбор "защитников" я вообще молчу...

Далее, сложность эвристического анализа шифровальщиков заключается в том, что алгоритмы всегда разные
К примеру, упомянутый выше даунлодер, в его случае все более или менее понятно, алгоритм:
1) Постучаться в сеть за ссылкой на скачивание другого файла;
2) Скачать файл из сети используя стандартные компоненты среды разработки или винапи (вот тут его и ловят );
3) Запустить файл (тут возможны извращения с винапи, cmd.exe, скриптовыми языками и даже подделкой ярлыков на рабочем столе пользователя )
Как видите - все просто (ну относительно), нужно просто выловить комбинацию функций - обращений к cети + скачивание файла + (опционально) запуск.
В случае с шифровальщиком, он может вообще не использовать апи и стандартных компонентов сдк Алгоритм шифрования (например rc4) хер расшифруешь без мейнфрейма, реагировать эвристик на него конечно сможет, но ведь можно сделать код полиморфным, нет привязки к винапи и компонентам, в этом вся соль...

Имхо статью создавали люди, далекие от ИБ...

Это сообщение отредактировал bimb0 - 30 июн. 2016 г. в 23:00

Цитата (kredetz @ 30.06.2016 - 22:46)

Выводы

Вывод тут один. Хотите сохранности данных - делайте бэкапы )

Цитата

Линуксоиды идут на хер

Пока видим, что нахер ходят пользователи альтернативной ОС, со своими шифровальщиками )))

Доктор Ёб и 25-ё кадр, старые песни о новом. Перелогиньтесь блять. Еще и ценник незаметен шопездес.

Цитата

Если постараться, можно это чудо и под линем запустить gigi.gif Ставим wine, скорее всего понадобится еще установить mono или dotnet. Запускаем и радуемся

А где его скачать можно? Я б попробовал...

У Каспера есть kaspersky free antivirus.
На мой взгляд прекрасный продукт. Пользуюсь как бесплатной, так и платной версиями.

Цитата (Modigar @ 30.06.2016 - 22:59)

Цитата Если постараться, можно это чудо и под линем запустить gigi.gif Ставим wine, скорее всего понадобится еще установить mono или dotnet. Запускаем и радуемся А где его скачать можно? Я б попробовал...

273 и 274 УК РФ, вроде, но можно спросить секретарей и отдел кадров - им часто шлют.

Цитата (Modigar @ 30.06.2016 - 22:59)

Пока видим, что нахер ходят пользователи альтернативной ОС, со своими шифровальщиками )))

С дуру и хуй можно сломать. Так что линукс не панацея

Цитата (slikrick @ 30.06.2016 - 22:51)

Цитата (75nizz @ 30.06.2016 - 22:49) Я письма (вложения) открываю только с адресов из записной книжки, все остальное в утиль. не у всех такая работа, мне вот много писем приходит.

На работе пользуюсь Громоптицей, она блокирует все ссылки в письме.

Ни разу проблем не было.

Дома через Огнелиса с плагинами для суицида пользуюсь и тоже без проблем.

Самую большую опасность представляют шифровальщики, которых нет в базах. Обычно как раз на них и попадаются офисные работники. Как раз - когда начинает идти рассылка по всему рунету. Тут то и должен спасать антивирус с поведенческим модулем. В организациях на антивирусных серверах настраивают как раз так, чтобы работала расширенная эвристика. А вот при установке на комп локально, так сказать из коробки, как раз и должно работать так как надо. И антивирус должен подобного рода ересь выкашивать без изменения дополнительных настроек.

Это сообщение отредактировал Jamski - 30 июн. 2016 г. в 23:06

Цитата (Modigar @ 30.06.2016 - 22:59)

Цитата Если постараться, можно это чудо и под линем запустить gigi.gif Ставим wine, скорее всего понадобится еще установить mono или dotnet. Запускаем и радуемся А где его скачать можно? Я б попробовал...

Фиг знает. Не попадались еще шифровальщики.
Хотя нет, было дело OneHalf когда-то притаскивали

Цитата (mrBubuka @ 30.06.2016 - 22:56)

Цитата (Modigar @ 30.06.2016 - 22:50) Linux - Тест пройден! Если постараться, можно это чудо и под линем запустить Ставим wine, скорее всего понадобится еще установить mono или dotnet. Запускаем и радуемся

оно дальше вайна не пойдет.

Был у нас спец по линуксу, показывал как вирусы под вайном копошатся.

Полезная инфа, спасибо.

Цитата (awolfman @ 30.06.2016 - 23:05)

Цитата (mrBubuka @ 30.06.2016 - 22:56) Цитата (Modigar @ 30.06.2016 - 22:50) Linux - Тест пройден! Если постараться, можно это чудо и под линем запустить Ставим wine, скорее всего понадобится еще установить mono или dotnet. Запускаем и радуемся оно дальше вайна не пойдет. Был у нас спец по линуксу, показывал как вирусы под вайном копошатся.

В /home в теории может залезть. Но не дальше.

Цитата (BattlePorQ @ 30.06.2016 - 22:59)

Цитата (kredetz @ 30.06.2016 - 22:46) Выводы Вывод тут один. Хотите сохранности данных - делайте бэкапы )

Можно даже встроенное средство архивации. Однако проблема всегда упирается в дополнительные затраты и непонимание домашними пользователями необходимости регулярных бекапов (пока жареный петух не клюнет).

Цитата (Jamski @ 30.06.2016 - 23:04)

Самою большую опасность представляют шифровальщики, которых нет в базах. Обычно как раз на них и попадаются офисные работники. Как раз - когда начинает идти рассылка по всему рунету. Тут то и должен спасать антивирус с поведенческим модулем. В организациях на антивирусных серверах настраивают как раз так, чтобы работала расширенная эвристика. А вот при установке на комп локально, так сказать из коробки, как раз и должно работать так как надо. И антивирус должен подобного рода ересь выкашивать без изменения дополнительных настроек.

Какая расширенная эвристика на серверах?0_о На серваны ставят анализаторы трафа, то есть пользователь сети еще только пытается скачать вирус, а серверный авер уже его режет, еще до поступления пакетов на машину

Эврестический анализ с шифравальщиками, как и блокерами - миф, выше указал почему...

Про антивирус Попова ни слова, непорядок!
Кстати, кто в курсе, отчего кряки в некоторых случаях определяются как вирусы, какие компоненты или что там антивирус считает зловредом?

Благодарю модеров!
Повторюсь:
1 Снимайте резервные копии.
2 Используйте менее уязвимое ПО - обновлённый офис, винду, в идеале - линукс\макось-бсд.
3 правильно прописывайте политики - нечего обычному буху делать в одноклассниках, вк, и прочей порнухе - есть у них "главбух", консультант - и хватит.
4 учить людей надо - ведь моют руки перед едой, после туалета (большинство) - так и пусть исполняемые не открывают из почты.
5 Серваки нормальные всё сами обрезают.

Если лениться, не задумываясь открывать всё - то и bat файл устроит fdisk)

Это сообщение отредактировал СироИсии - 30 июн. 2016 г. в 23:12

Цитата (barrakuda9111 @ 30.06.2016 - 23:11)

Про антивирус Попова ни слова, непорядок! Кстати, кто в курсе, отчего кряки в некоторых случаях определяются как вирусы, какие компоненты или что там антивирус считает зловредом?

имя\пакеры\ способ внедрения в исп. файл игры.

Цитата (awolfman @ 30.06.2016 - 23:05)

Цитата (mrBubuka @ 30.06.2016 - 22:56) Цитата (Modigar @ 30.06.2016 - 22:50) Linux - Тест пройден! Если постараться, можно это чудо и под линем запустить Ставим wine, скорее всего понадобится еще установить mono или dotnet. Запускаем и радуемся оно дальше вайна не пойдет. Был у нас спец по линуксу, показывал как вирусы под вайном копошатся.

Фишка в том, что современные шифровальщики успешно шифруют и сетевые ресурсы (винда имеется в виду). А на работе мало кто работает исключительно с локальными дисками.

better call saul, в годичной версии модификации, использует штатные механизмы винзипа виндового.
Ни каспер, ни аваст, ни авира, ни авг, ни 360. В самых навороченных версиях- ни ухом, ни рылом не повели. ХУИТА- ваша реклама.

Цитата

Можно даже встроенное средство архивации. Однако проблема всегда упирается в дополнительные затраты и непонимание домашними пользователями необходимости регулярных бекапов (пока жареный петух не клюнет).

Все пользователи делятся на два типа - те, кто еще не делает бэкапы...

от упоротой бухгалтерши ни один антивирь не спасет

Цитата (barrakuda9111 @ 30.06.2016 - 23:11)

Про антивирус Попова ни слова, непорядок! Кстати, кто в курсе, отчего кряки в некоторых случаях определяются как вирусы, какие компоненты или что там антивирус считает зловредом?

Да потому что к крякам клеют вирусы
Есть специальный класс хактулз под названием binders/joiners, то есть, дословно объединяльщики, берутся n исполняемых файла и клеются в один в формате:
Ядро (stub) джоинера + разделитель + упакованный файл #1 + разделитель + упакованный файл #n + разделитель и в конце энд файл. при запуске данного пакета стаб просто поочереди вытаскивает исполняемый код (через раздилитель) и выполняет его...

Цитата (СироИсии @ 30.06.2016 - 23:13)

Цитата (barrakuda9111 @ 30.06.2016 - 23:11) Про антивирус Попова ни слова, непорядок! Кстати, кто в курсе, отчего кряки в некоторых случаях определяются как вирусы, какие компоненты или что там антивирус считает зловредом? имя\пакеры\ способ внедрения в исп. файл игры.

Самовнедрением занимаются только черви В 99% случаев его просто клеют, ибо 0-day на всякие шифровальщики палить не будут, а вот для червячка - в самый раз, ботнеты от червей достигают реально сотен миллионов устройств!
P.S. Конфикера все помнят?

Это сообщение отредактировал bimb0 - 30 июн. 2016 г. в 23:20