Что думаете о малваре шифровальщиках?

у местных админов есть бекапы. им плевать на шифровальщики. Поэтому они не рассматривают это как угрозу. Тут уже были подобные темы, искать ссылки на них лень…

У меня тоже образца нет. И я вендузятник. Так может это, и эпидемии никакой нет?

Ничего не думаю. А ты?

шифрует каким-то криптостойким алгосом все файлы и требует выкуп

Я работаю на опережение, шифрую свои диски сам!

Надо эту жабу натравить на гадюку. Пускай у майнеров кошельки шифруют. А если пул какой попадёт - ваще красота будет

Ты тот ещё «не мамонт», маллварь попросту оверкилл, достаточно нигерийского письма.

малварь для линуксов всегда считалось чем-то мифическим, а тут вполне реальное.

Дык, линукс постепенно распространяется. Даже если процент пользователей во всех сегментах и не меняется, то общее количество машин и пользователей - растёт. Вероятно, экономический выхлоп от написания малвари под линукс - тоже увеличивается.

Ну а в серверном сегменте всякие малвари под линукс вообще были уже лет 20, не меньше. А то как вы думаете всякие ботнеты появляются, корпоративные данные похищаются и вот это вот всё ?

Думаю, учитывая общую дырявость современного софта, что-то подобное обязательно произойдет рано или поздно, и мы ещё прочтём об этом в новостях.

За те бабки, что в этих письмах просят, я сам троянца себе на комп поставлю.

А то как вы думаете всякие ботнеты появляются, корпоративные данные похищаются и вот это вот всё ?

по классике, чуть более чем в половине случаев, изнутри оно случается. а не внаружии.

Я думаю что к великому сожалению таких вещей очень мало. Хотелось бы чтобы на каждую найденную RCE дырку появлялся червь максимально быстро распространяющийся и наносящий максимум ущерба. Файлы должны не только шифроваться, но и выкладываться в торренты. При выплате выкупа ничего не должно расшифровываться и убираться из раздачи.

Все что после ванхалфа — эпигонство жадных детей :)

С разморозкой. Уже давно, помимо шифрования, практикуют скачивание данных на свои сервера, и шантаж «а то всем расскажем»

Ну и да, operational disruption - это тоже не бесплатно. ЕМНИП, в Англии уже был случай, когда скорую перенаправляли в другую больницу, так как целевую пошифровали. Пациент не доехал.

Нужно не про малваре думать, а про то, как это малваре попадает в сеть. И стараться перекрывать каналы.

Если что, основной канал компрометации - фишинговые письма.

По классике, у тебя есть какие-то подтверждения этого утверждения? А то verizon dbir за 2020 с тобой не согласен.

Ничего, а должен ли? На десктоп они просто не попадут, а на сервере есть бэкапы (так-то, и на рабочем компьютере можно).

И вот уже с полгода в тренд выходит новое направление - шифровальщики под Vmware esxi / NAS, т.е. под линуксы

Если что, основной канал компрометации - фишинговые письма.

А каков основной канал компрометации линуксов и всяких NASов? Расходимся, или таки есть устойчивые каналы?

Учетки пользователей и админов, которые малваре собирает, перемещаясь по сети.

Если бэкапы хранятся не на катушках в коробке, то так-то риск всегда есть. Вот вероятность этого риска это конечно курам на смех если холодные и горячие находятся хотя бы в разных периметрах которые изолированы друг от друга.

у местных админов есть бекапы. им плевать на шифровальщики.

Это если не окажется, что бекапы тоже пошифрованы.

Если бэкапы хранятся не на катушках в коробке, то так-то риск всегда есть.

Шифровальщики они ведь обычно не сразу вымогать бабло начинают. Сначала стараются дотянуться куда только можно. Так что бекап на катушку уже мог писаться кодированным.

А как эта зараза может на целевой компьютер проникнуть? Или, как обычно, понадобится установить пару библиотек, пропатчить малварь, скомпилять и потом от рута запустить? =D

ну вообще да; виндовс админы тоже ведь не все дураки (хотя мб кто-то и так думает). Люди делают бекапы, а потом оказывается, что пошифровано всё. Но в винде есть антивирусы - какие-никакие, но 99% малвари они ловят, имею ввиду не аваст_фри и подобное, а корпоративные неотключаемые.

ну это популярные шутки про скомпилить установить либы. Я не видел софт, но уверен на 100%, что там все идет как standalone прога. Касаемо рута - хз, с vmware esxi знаком плохо. Что там вообще за линукс?

Ну так даже если это будет статически слинкованный бинарь, его нужно запустить. А кто будет запускать непонятный бинарник, скачанный из сети? Это могут делать только вендузятники/бубунтышки.

Так на винде тоже атака не идет по принципу «вот вам письмо_со_сбербанка.тхт.ехе, запустите его». Атакующие проникают в сеть (брутят рдп, юзают рце или еще что), и постепенно там все изучают, повышают привилегии и шифруют.

Хм, оказывается такая фишка реально давно уже есть Вирус-шифровальщик

но хостинги шифровать это такое, обычно там даже если юзер полный даун, есть бекап у хостера.

Учетки пользователей и админов, которые малваре собирает, перемещаясь по сети.

Наверное надо как-то уж очень специально постараться, чтобы перемещаясь по сети насобирать учёток админов. Выражаю некие сомнения.

Не, ну можно конечно тут сказать, что пользователь заранее зашифрованную систему просто уже поставил…

У жены на рабочем ноуте такое было (семёрочка, аутлук). Приходит письмецо типа «Добрый день, вот отчёт» и ссылка. Главное, она что-то такое от кого-то ожидала и не прочитала внимательно, не проверила адрес. Нажала и всё, привет. Хорошо, что файлы Indesign не зашифровало, в котором было много сделано и не сохранено, но пропали все вордовские документы. Бекап был, на внешнем винте. Хорошо, что он был не подключен.

малварь для линуксов всегда считалось чем-то мифическим, а тут вполне реальное.

Всегда была и есть в дикой природе. О чём тут говорить, если половина инстансов — эта штука с кучей незакрытых уязвимостей.

Но админу локалхоста смысл об этом думать? Разве, что если запускаешь всякие васяно репаки игр (да, встроить мэлварь в такую игру под линуксами — это первокурсник сможет).