| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 17 лет 6 мес.
Сообщений: 5080
Ratio: 25.179
Поблагодарили: 13236
100%
|
В прошлый четверг исследователи MalwareHunter, которые стоят за сервисом ID-Ransomware, обнаружили новый вирус-вымогатель (ransomware) XData. Активность этого крипто-вымогателя пришлась на середину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Из 135 случаев инфицирования, которые были обнаружены на 19 мая текущего года, 95% случаев пришлось на украинских пользователей. (в реальности массштабы заражения намного выше)Если сравнивать темпы распространения вымогателя XData с нашумевшим WannaCry, то окажется, что в Украине он распространяется вчетверо быстрее (в ID-Ransomware зафиксировали только 30 пострадавших от WannaCry украинцев из 200 тыс. жертв по всему миру). WannaCry уже заразила сотни тысяч систем по всему миру, но если учесть текущий уровень распространения XData-инфекции в Украине, России и Германии, глобальное влияние XData значительно превосходит WannaCry. Зловред-вымогатель XData шифрует все файлы с помощью алгоритма AES, при этом рабочего способа расшифровки без оплаты выкупа пока не найдено. Злоумышленники запрашивают от 0,1 до 1 биткоина в зависимости от объема зашифрованных данных и того, пострадал отдельный компьютер или сеть компании. На данный момент курс биткоина составляет более $2100. После шифрования все файлы имеют расширение .~xdata~Вирус не меняет фон рабочего стола, не показывает уведомления, а лишь располагает в основных директориях текстовый файл How Can I Decrypt My Files.txt, объясняется, что чтобы расшифровать файлы необходимо отправить специальный ключ по одному из email-адресов. «Не волнуйтесь, если вы не можете найти файл ключи. В любом случае свяжитесь с поддержкой», — заботливо пишут злоумышленники.
 | Цитата: | Your IMPORTANT FILES WERE ENCRYPTED on this computer: documents, databases, photos, videos, etc. Encryption was prodused using unique public key for this computer. To decrypt files, you need to obtain private key and special tool. To retrieve the private key and tool find your pc key file with '.key.~xdata~' extension. Depending on your operation system version and personal settings, you can find it in: 'C:/', 'C:/ProgramData', 'C:/Documents and Settings/All Users/Application Data', 'Your Desktop' folders (eg. 'C:/PC-TTT54M#45CD.key.~xdata~'). Then send it to one of following email addresses: begins@colocasia.orgbilbo@colocasia.orgfrodo@colocasia.orgtrevor@thwonderfulday.combob@thwonderfulday.combil@thwonderfulday.comYour ID: [PC-NAME]#[VICTIM_ID] Do not worry if you did not find key file, anyway contact for support. |
Ваши важные файлы были зашифрованы на этом компьютере: документы, базы данных, фото, видео и т.д. Шифрование сделано с уникальным открытым ключом для этого компьютера. Чтобы расшифровать файлы, вам надо получить закрытый ключ и специальный инструмент. Чтобы получить закрытый ключ и инструмент, найдите ключевой файл вашего ПК с расширением '.key.~xdata~'. В зависимости от версии вашей операционной системы и личных настроек вы можете найти его в папках: 'C:/', 'C:/ProgramData', 'C:/Documents and settings/All Users/Application Data', 'Your Desktop' (напр. 'C:/PC-TTT54M#45CD.key.~xdata~'). Затем отправьте его на один из следующих email-адресов: beqins@colocasia.orgbilbo@colocasia.orgfrodo@colocasia.orgtrevor@thwonderfulday.combob@thwonderfulday.combil@thwonderfulday.comВаш ID: ****** Не беспокойтесь, если вы не нашли ключевой файл, обратитесь в службу поддержки. Отметим, что способ распространения и заражения компьютеров зловредом XData пока неизвестен, но скорее всего он попадает на компьютеры жертв путем фишинговых атак через электронные письма с зараженными вложениями, использование эксплойтов ОС, веб-инжектов, фальшивых рекламных ссылок, зараженных инсталляторов и т.д. Среди украинских пострадавших в основном компьютерные сети компаний. Файлы, подвергающихся шифрованию:Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware:msaddc.exe mscomrpc.exe msdcom.exe msdns.exe mssecsvc.exe mssql.exe HOW_CAN_I_DECRYPT_MY_FILES.txt .key.~xdata~ Расположения:C:/ C:/ProgramData C:/Documents and settings/All Users/Application Data /Desktop (в реальности известно что такие файлы остаются и во многих других папках, где были файлы и даже в пустых)Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: См. ниже результаты анализов. Результаты анализов: Гибридный анализ, VirusTotal анализ Источники: BleepingComputer, ain.ua, itc.ua, id-ransomware.blogspot.com, blog.emsisoft.comПолезные ссылки: ID Ransomware |
_________________
«Если ты ненавидишь, значит тебя победили» – Конфуций
|
|
 |
kkksss1984
Стаж: 9 лет 4 мес.
Сообщений: 1509
Ratio: 4.098
Раздал: 4.575 TB
Поблагодарили: 1
100%
|
Пользуюсь Я.Браузером - и не парюсь  |
|
|
|
|
Tets
Uploader 500+
Стаж: 16 лет 6 мес.
Сообщений: 1768
Ratio: 241.207
Раздал: 544.1 TB
Поблагодарили: 4568
100%
|
Flying_cat писал(а):  | Ссылочку плиз на описание заражения роутеров Mikrotik. |
А что только лишь Микротик? RouterOS принципиально отличается от всех остальных? Заражаются все одинакого и пингвин их не спасает, как и медиаплееры и смартТВ становятся частью ботнета, про мобилы уж молчу - а там тоже ядро пингвина. Кстати о вирусне для микротиков сразу вспомнился один из Ну а прошивка в них конечно же сама по себе, а вовсе не линукс -)) И я не сижу тут целый день, чтоб твои хотелки выполнять - в гугле бы сам нашёл за минуту. | epuckop писал(а): |
так большинство взломов из за дефаулт пароля. Реже из за бэкдора в прошивке.
|
Но речь не о взломах, а о заражении, когда роутер пихает пользователям рекламу, перенаправляет трафик, запускает прокси, через которые потом идёт запрещённый порнотрафик (а потом полиция приезжает и устраивает обыск). Пусть нечасто, но всё это бывает. Даже у меня был случай заражения провайдерского ONT, но там конечно прошивка печальная, на хабре их кляли за пару лет до таких прецедентов. | Flying_cat писал(а): | Напоминает анекдот про линуксовый вирус: Скачайте меня, дайте мне атрибут x, рутовые права и запустите на исполнение... |
Ты просто не представляешь, сколько недоадминов с работ повылетало из-за таких вот нелепых поверий. |
_________________
В високосном Байте 9 бит.
|
|
|
|
energix
Стаж: 13 лет 1 мес.
Сообщений: 1885
Ratio: 6.105
Поблагодарили: 1218
100%
Откуда: СССР
|
| kkksss1984 писал(а): | Пользуюсь Я.Браузером - и не парюсь |
Ну да....Он конечно и порты закроет и от ZeroDay спасет....  Блажен, кто верует... |
|
|
|
|
rom32
Стаж: 12 лет 6 мес.
Сообщений: 340
Ratio: 25.737
100%
|
Господа, что вы прицепились к этому вирусу, их только майских известных 44 штуки |
|
|
|
|
Gladius333
Стаж: 8 лет 2 мес.
Сообщений: 27
Ratio: 8.043
0.25%
|
| AlexiSSG писал(а): | | Kpacotka9 писал(а): | Maximus WannaCry разве нашумевший вирус? |
Нашумевший, если даже на NNM (который многие в основе пользуют для скачки фильмов) идет обсуждение и некоторые варианты превентивной защиты озвучиваются. (имхо) P.S. Я говорю только про накал обсуждения, не затрагивая квалификацию и предпочтения одноклубников  |
Нашумевший потому как использовал експлойты анб, да и 0дей, то есть заражение происходило из вне. Заплатки маикрософт сделал давно просто многие не обновили+они заплатки к XP-W7 держали и не выпускали, хотели денег за поддержку. Из за шумихи криптора они его так отдали всем только недавно. Мало того что смб там+2 софта с арсенала, над которыми работали несколько человек, и затраченно много ресурсов. Нашумело еще из за быстрого распространения, пару дней и пол мира уже знало о ней. Точнее ощутило на себе. Експлойты слили хак. которые не смогли продать их, по идее слили данные на много лимонов. Но ведь слили не все? кто знает себе самое вкусное наверно оставили -_- И да сколько вирей которые сидят тихо? Говорят хак.группа Лазарус выпустила WannaCry, которые чуть миллиард не забрали у банка Бангладеша, но забрали 81лимонов. Насчет Мирай основной путь заражения брут. +Пара других. Брутит интернет веши. Мирай прославился после крупного ддоса, после чего автору начились видеться шпионы вокруг, и он отвел от себя опасность выложив исходники, теперь модификаций много, и типа он не причем, ведь он мог просто скачать. Это так к раздумью, и да кто знает какой арсенал у них сейчас, анб всегда скрывает 0дей для свой нужд и использует по несколько лет, или их сами не закрывают майкрософт. Если вспомнить ту почту которой пользовался Сноуден, то там его прикрыли, так как админ отказал анб отдать шифры вроде, от всех писем. Был закрытый суд как к врагу гос.. Это то что я помню. Он оказался честным+его засветили поэтому он просто прикрыл, а так все крупные сотрудничают так или иначе. Хотя закон что гр.Америки нельзя после Сноудена. |
|
|
|
|
AlexiSSG
Uploader 100+ Реставратор
Стаж: 13 лет 7 мес.
Сообщений: 8079
Ratio: 159.503
Поблагодарили: 13446
100%
|
| energix писал(а): | Блажен, кто верует... |
НетроЖь "надежду"  Gladius333Я не спорю. |
|
|
|
|
Пуговка21
Стаж: 13 лет
Сообщений: 8
Ratio: 6.152
0.64%
|
Пора почистить комп диск с формат |
|
|
|
|
ded-fed
Стаж: 10 лет 1 мес.
Сообщений: 25
Ratio: 104.686
100%
|
| Цитата: | сервер стоит у меня дома |
| Цитата: | уже почти собрал средства на покупку дополнительного бэкапного сервера, который красиво встанет в мою стойку в прихожей |
Сервер с данными организации стоит дома? Это какой то прикол? Или информация не уникальна? Или у Вас прихожая как минимум Tier1 ? Посмотрите лучше в сторону VipNet coordinator - забавная штучка |
|
|
|
|
Flying_cat
Стаж: 13 лет
Сообщений: 127
Ratio: 11.308
100%
Откуда: СССР
|
| ded-fed писал(а): | | Цитата: | сервер стоит у меня дома |
Сервер с данными организации стоит дома? Это какой то прикол? |
Мой сервер (3 штука). Купил. Где хочу, там и ставлю  | Цитата: | Или у Вас прихожая как минимум Tier1 ? |
У меня прихожая 6х2 метра, так что стандартная 19" стойка там нормально стояла, но теперь уже перетащил в кладовку Домашняя серверная для сисадмина - абсолютно нормальное явлениеНа самом деле я с большим уважением отношусь к своим коллегам у которых "IIS работает, Windows не падает, ёжики ели кактус, RouterOS и pfSense может сломать любой вирус (или школьник)" и т.д. и т.п. Только вчера одного коньяком отпаивал... Потому, что кто-то премии лишился в размере неслабого оклада а кто-то заработал. Если бы не они - я бы с голоду давно умер...  |
|
|
|
|
iiyiiok-69
Стаж: 13 лет 1 мес.
Сообщений: 757
Ratio: 41.336
Поблагодарили: 25
100%
Откуда: ПЕНЗА
|
 За буйки не заплывайте и всё будет пучком. |
_________________
|
|
|
|
ded-fed
Стаж: 10 лет 1 мес.
Сообщений: 25
Ratio: 104.686
100%
|
| Цитата: | Мой сервер (3 штука). Купил. Где хочу, там и ставлю |
Дело не в том кому принадлежит сервер, а в том что на нем хранится. Мое мнение: Информация принадлежащая организации должна оставаться в помещениях принадлежащих организации или в арендованной стойке в дата центре(если это необходимо), кроме случаев установленных правилами организации. | Цитата: | Домашняя серверная для сисадмина - абсолютно нормальное явление |
Прошу прощения, для кого нормальное явление? Как можно кладовку или прихожую называть серверной? Я конечно дико извиняюсь, но для меня серверная - помещение которое охраняют, есть пож. сигнализация, хотя бы 2 кондиционера(основной и дублирующий), на случай отключения эл-ва есть хотя бы небольшая ДГУ( с запасом топлива на сутки), и как минимум два конца от разных провайдеров (если нужна устойчивая связь с внешним миром) и это только минимум. | Цитата: | На самом деле я с большим уважением отношусь к своим коллегам у которых "IIS работает, Windows не падает |
Вот не скромный вопрос, а почему IIS не должен работать или windows должен падать? Меня удивляют люди которые доказывают, что та ОС с которой они работают и есть самая лучшая. Причем всегда фигурируют *nix и windows. А как же ос от ibm, где же сравнение с ней? Хотя, наверное, это заразное коль я тоже втянулся ... |
|
|
|
|
Tets
Uploader 500+
Стаж: 16 лет 6 мес.
Сообщений: 1768
Ratio: 241.207
Раздал: 544.1 TB
Поблагодарили: 4568
100%
|
| ded-fed писал(а): | Прошу прощения, для кого нормальное явление? Как можно кладовку или прихожую называть серверной? Я конечно дико извиняюсь, но для меня серверная - помещение которое охраняют... |
Это нормально для людей с чрезмерно завышенным ЧСВ, когда второй комп в домашней сети величают сервером, а спальня, где он стоит, становится "серверной". Вот только шумновато становится в квартире и сервер там в принципе не имеет смысла, т.к. ничего не обрабатывает такого, с чем бы не справился обычный тихий комп. Бывает и реальные серверные железки тащат домой для поддержания ЧСВ, я в юности тоже страдал этой болячкой - для ишака и торрентов держал массивы из десятитысячников на SCSI U320 и на них же расшаренные ресурсы для районной локалки - было у меня альтруическое взаимодействие с админами той сетки, грело моё ЧСВ )) Ну представляете себе уровень шума от пяти таких массивов в спальной комнате, меня хватило почти на год, потом всё же перешёл на SATA и заторможенные винты большого объёма для файлопомойки. Стало на порядки тише, а выхлоп тот же. С возрастом такие болячки сами проходят и перестаёшь заниматься ерундой, предпочитая вложиться в самообразование, чтоб с усмешкой наблюдать за сектами верунов в силу одних производителей над другими. Добавлено спустя 6 минут 24 секунды: | ded-fed писал(а): | Вот не скромный вопрос, а почему IIS не должен работать или windows должен падать? |
Ну если быть таким же слепым фанатом винды, то обрушивал бы на пингвины своё негодование, что там с дровами беда, не дружественный GUI, всё напоминает на коленке состряпанную и недоделанную систему, что игры там не работают и вообще мало что работает без доводки напильником и т.д. И ведь нельзя отрицать с одной стороны, что нет таких проблем, но и на деле они не такие уж и проблемы - такая полуправда, как и про дырявость винды и её падения - нормальные конторы используют на серверах и пингвины и винды, потому что их оптимально использовать для разных задач. И ничего у них не падает. Это лишь вопрос привычки и позиции верующих, а аргументы всегда идентичны. Со временем обычно лечится само, но иногда только стрессом типа увольнения. |
_________________
В високосном Байте 9 бит.
|
|
|
|
online365
Стаж: 15 лет 1 мес.
Сообщений: 175
Ratio: 3.197
Поблагодарили: 78
100%
|
Ребята вот такой "странный" вопрос. А где это вирус можно найти, или любой другой можно и не вымогатель! |
|
|
|
|
veranyon
Стаж: 14 лет
Сообщений: 449
Ratio: 63.471
100%
|
Сервер - не обязательно тонна дисков. достаточно супермикры, да пары, тройки дисков. один по типу tmp/закачки итц. а два остальных под что-то типа zfs. FBSD. делай шару, какую хошь. все равно все со снимками zfs. |
|
|
|
|
aiwalev
Стаж: 12 лет 2 мес.
Сообщений: 9423
Ratio: 3791.295
36.29%
|
| online365 писал(а): | Ребята вот такой "странный" вопрос. А где это вирус можно найти, или любой другой можно и не вымогатель! |
Почему же странный? Может кто раздачу оформить хочет. Были на гитхабе, ключевое слово "fuzzbunch". |
|
|
|
|
|
|
|
