LINUX.ORG.RU
ФорумTalks

неуловимый джо

 ,


1

4

прихожу я значит на работу, наливаю кофеек, открываю свою поделку и.... и ее нет. сервант молчит, хомяки пустые, файлов нет, cat /root/READ_THIS.txt:

View here: https://pastebin.com/raw/VyU4HQns for information on how to obtain your files!

и далее, по линку:

Hi,

Your server has been hacked, your files have been backed up to a server that we control and finally deleted from your server.

We are happy to inform you that you have two weeks starting from now to get your files back, at the end of the two weeks, all files are removed from our server after they have been leaked through various networks if you have not paid.

When you pay, the files are not leaked and they are removed.

We want 0.1 BTC in return for your files, send the BTC here: 14z9Rbpw5SozMuMRRrdwcKaSs4PsxiEHRE

When you have sent the requested payment, e-mail aariz@airmail.cc with the transaction ID and you will receive a compressed file with your files inside.

You can e-mail us with custom requests, but we won't give any files before payment.

FBI SUGGEST TO JUST PAY: https://www.tripwire.com/state-of-security/latest-security-news/ransomware-vi...

aariz

--

внимание вопрос: это успех, да? :)

внимание вопрос: это успех, да? :)

Ну да, успех. Теперь и ты будешь выполнять регулярное резервное копирование и ставить секьюрити фиксы

af5 ★★★★★ ()
Ответ на: комментарий от af5

у меня есть бекапы, более того, ничего критичного-то и не ушло вроде.

Rastafarra ★★★ ()

Что за ОС была?

d_a ★★★★★ ()

You have just been aariz'ed!!!!111

PS я до сих пор не получил письмо с транзакцией, тебе ваще твои файлы нужны?

DELIRIUM ★★★★★ ()

Впиши это в резюме

imul ★★★★★ ()
Ответ на: комментарий от DELIRIUM

оставь пока себе, у меня еще есть.

ты мне лучше расскажи «как?» ;)

Rastafarra ★★★ ()

а поделка на пыхыпы? иначе не trueЪ

moot ★★★★ ()
Ответ на: комментарий от d_a

Конечно же венда. Под Линукс такое не возможно, ты ч0.

lenin386 ★★★ ()

/root/READ_THIS.txt:

И под рутом линуксоеды не сидят. Нет, никогда.

lenin386 ★★★ ()

When you have sent the requested payment, e-mail aariz@airmail.cc with the transaction ID and you will receive a compressed file with your files inside.

Настаивай, чтоб вернули /dev/urandom. Весь.

af5 ★★★★★ ()
Ответ на: комментарий от af5

You can e-mail us with custom requests, but we won't give any files before payment.

У них только /dev/urandom и есть.

aplay ★★★★★ ()

Всё, швандец... Это мельтдаун :)))

trueshell ★★★★★ ()
Ответ на: комментарий от Rastafarra

Запускать редис под рутом

Повесить его на 0.0.0.0

Хорошо, что хоть бэкапы были.

Deleted ()
Ответ на: комментарий от Rastafarra

ты мне лучше расскажи «как?»

Ты как-будто из бункера вылез. И при чём тут Джо, если линуксовых серверов как грязи.

Что стоит на сервере, то и использовалось. Тебе виднее. Вариантов тьма тьмущая.

fornlr ★★★★★ ()
Ответ на: комментарий от Rastafarra

Так запущен был под рутом или нет? В приложении на пхп может быть remote code execution, после чего уже совершенно неважно, что он слушал.

Deleted ()

внесите картинку с двумя гопниками, поражёнными неудачей топикстартера

Harald ★★★★★ ()

ты там как, сеппуку собираешься делать, чтобы смыть позор?

Harald ★★★★★ ()

каминг аут.

а у меня несколько недель vsftpd был запущен с включённым local_users, а у root стоит пароль toor, — почему китайские боты брутфорсят ssh, но не брутфорсят ftp, так и осталось загадкой.

а ещё была включена регистрация на жаббер сервере, в итоге мой ылитный домен спфнг.ком использовался для спама.

не сцы, всех ломают. рано или поздно. так или иначе. ничего постыдного в этом нет. я считаю, главное не хранить все яйца в одной корзине и чтобы при взломе не утекли какие-то особо важные данные, как у меня например, лежит в корне файлик с паролями от всех сайтов на которых я сижу... да...

печалька. не подпускайте спуфинга к серверам.

Spoofing ★★★★★ ()

у нас была похожая штука на день сисадмина, только там был криптер, который перелопатил доки на компе у девочки-продажника и часть доступной ей шары (небольшую к счастью). девочка правда сама дундук - открыла исполняемый файл из запароленного архива с почты.

там правда все хорошо закончилось - два дня изучали убитые доки и дизасм трояна, после чего написали декриптер.

upcFrost ★★★★★ ()

«неготов, неготов...», ещё как готов!

kott ★★★★★ ()
Ответ на: комментарий от upcFrost

девочка правда сама дундук - открыла исполняемый файл из запароленного архива с почты.

дундук - эникейщик настройщик пэки. отключить исполнение файлов из хомяка и прочих мест дико сложно?

n_play ()
Ответ на: комментарий от n_play

отключить исполнение файлов из хомяка и прочих мест дико сложно

на венде? ну как тебе сказать

upcFrost ★★★★★ ()
Ответ на: комментарий от upcFrost

тобишь всякие там хитрожепые настройки централизованные полисяи всякие и прочее говно толком неработает?

даже исполнение файлов из доступных пользователю помоек нельзя запретить?

(речь именно про самый тупой вариант. когда открываешь прямо исполняемый PE-файл, как делают все дундуки. а не через библиотечную пеньколоду и скриптоговно.)

n_play ()

Вот для чего ваши биткойны придумали. А не было бы их - при передаче денег был бы шанс схватить бы за руку и отпи...

WerNA ★★★★★ ()
Ответ на: комментарий от n_play

Разумеется, можно, просто неосиляторы
https://4sysops.com/wp-content/uploads/2012/02/AppLocker-Group-Policy-Managem...

Странно, что при этом сумели поковыряться в дизасме и сделать декриптор, и создатели трояна дебилы. Им дали асимметричную криптографию - шифруй! Но нет, хочу хранить все ключи с собой, чтобы всякие неосиляторы венды писали декрикторы. Что такое? Это хакеры?

TheAnonymous ★★★★★ ()
Ответ на: комментарий от n_play

конечно работают. вот только запретить продажнику открывать вообще все исполняемые файлы нельзя, в том числе те что по почте приходят (есть оригинальные компании, которые скажем свои презентации делают как исполняемый файл). запароленный архив через почтовый фильтр тоже неплохо пролезает.

вариант только скидывать подобные письма на модерацию, но с модерацией даже на лоре туго, а в конторе на 7000 сотрудников и 15 человек IT-отдела это просто дохлый трюк

upcFrost ★★★★★ ()
Ответ на: комментарий от TheAnonymous

Странно, что при этом сумели поковыряться в дизасме и сделать декриптор, и создатели трояна дебилы. Им дали асимметричную криптографию - шифруй! Но нет, хочу хранить все ключи с собой, чтобы всякие неосиляторы венды писали декрикторы. Что такое? Это хакеры?

я погляжу как ты полноута перешифруешь каким-нибудь AES'ом. думаю успею не только посмотреть, но еще поесть, попить чай и поспать. ясен пень что как только подозрительный шухер на шаре был замечен, то ноут и юзера от шары сразу отрубили.

для такого криптера главное - скорость, а быстрее сдвига по таблице или xor ты вряд ли что-то сделаешь. а что сдвиг, что xor можно достаточно легко отловить.

upcFrost ★★★★★ ()
Ответ на: комментарий от upcFrost

AES сейчас шифруется аппаратно, там гигабайты в секунду.
Хотя для древних кудахтеров да, будет медленнее, но можно использовать и более лёгкие шифры, типа RC4, которые вот так в «домашних условиях» не расшифруешь

TheAnonymous ★★★★★ ()
Последнее исправление: TheAnonymous (всего исправлений: 1)
Ответ на: комментарий от TheAnonymous

аппаратный AES в ноуте 2012 года? не думаю.

можно использовать и более лёгкие шифры, типа RC4, которые вот так в «домашних условиях» не расшифруешь

не расшифруешь, да, но скорость все равно намного ниже будет чем у тупого сдвига. ты ж понимаешь что почтовая рассылка подобного мусора - это массовая штука, и запариваться о чем-то сложном троянописателю нафиг не надо.

upcFrost ★★★★★ ()
Последнее исправление: upcFrost (всего исправлений: 1)
Ответ на: комментарий от upcFrost

аппаратный AES в ноуте 2012 года? не думаю.

В интелах того времени есть (i5 и выше).

Meyer ★★★☆ ()
Ответ на: комментарий от upcFrost

и запариваться о чем-то сложном троянописателю нафиг не надо.

Можно использовать виндовое CryptoAPI.

Meyer ★★★☆ ()
Ответ на: комментарий от WerNA

Homeland смотрели последний сезон?

!!! SPOILER !!!

главная героиня зашла на 4chan, скачала раржпег под видом фотки, запустила на исполнение, её ноутбук оказался зашифрован и хакер вымогал у неё деньги в биткоинах, но она его вычислила и начистила ему харю.

Spoofing ★★★★★ ()
Ответ на: комментарий от Rastafarra

Если тебе все рассказать, то ты так ничему и не научишься, копай сам!

DELIRIUM ★★★★★ ()
Ответ на: комментарий от upcFrost

вот только запретить продажнику открывать вообще все исполняемые файлы нельзя, в том числе те что по почте приходят (есть оригинальные компании, которые скажем свои презентации делают как исполняемый файл).

слюшай, а сделать сандбокс или какую-нибудь всратую виртуалочку для этих целей, которая будет сбрасываться в ноль тоже нельзя?

а в конторе на 7000 сотрудников и 15 человек IT-отдела это просто дохлый трюк

так какая контора, такое и ит.

темболее что риски чтонибудь просрать или запороть из-за таких вот запускателей слишком велики.

n_play ()

Жалко что тебе пришлось заплатить. 0.1 BTC это дофига.

ZenitharChampion ★★★★★ ()
Ответ на: комментарий от upcFrost

вдобавок можно пойти огранизационными мерами. запретить запускать файлы, без аппрува начальника-менеджера продажников.

тогда it--отдел перестанет быть козлом отпущения.

а дундука, пока it-отдел неторопливо чинит его рабочий инвентарь, отправить на это время в неоплачиваемый отпуск. ибо работать в это время он всё рано несмогёт.

вариантов решений этой проблемы масса. но почему-то выбираются самые отсосные.

n_play ()
Ответ на: комментарий от i-rinat

Есть сайты вроде blockexplorer, туда можно в строку поиска скопировать любой адрес Bitcoin-кошелька

ZenitharChampion ★★★★★ ()
Последнее исправление: ZenitharChampion (всего исправлений: 1)
Ответ на: комментарий от ZenitharChampion

Это понятно. Отследить кошелёк — первая мысль, которая приходит в голову. Но я про другое. Как ты определил, что эта транзакция — от ТС'а? Файлу на pastebin больше двадцати дней, и у него уже за сотню просмотров.

i-rinat ★★★★★ ()
Ответ на: комментарий от i-rinat

Это может быть чья угодно транзакция. Злоумышленники не оставили способа обратной связи. Логично предположить, что всем взломанным они дают разные кошельки, чтобы понять, кто именно произвёл оплату.

ZenitharChampion ★★★★★ ()

плати - не плати, ничего не вернут - более того после оплаты попросят еще это развод для идиотов... в какеров брутильщиков не верю - ваши данные просто слили, напрягитесь и вспомните - кто еще знал ваши логин пароль...

amd_amd ★★ ()
Ответ на: комментарий от upcFrost

Любой алгоритм будет работать в разы быстрей скорости жёсткого диска. Просто таких троянов в основном пишут кулкакеры из 11Г.

Legioner ★★★★★ ()
Ответ на: комментарий от amd_amd

> напрягитесь и вспомните - кто еще знал ваши логин пароль...

Ну, мой через не закрытую уязвимость ломали.

ZenitharChampion ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)