Нови кибергадости

Криптиращите вируси не са от вчера. Философията им е проста: гадинката шифрова всичките ви ценни данни и ви оставя подсетка колко и как трябва да платите, за да ви бъдат разшифровани. Ако киберкримките са в настроение и вместо това не ви поискат още пари. Случва се – която крава дава мляко, се дои повече от веднъж, нали?

Подобен вирус се разпространи доста из България напоследък, въпреки антивирусите. Само за последните две седмици съм спасил към три терабайта данни. Естествено, където са си правили редовни бекъпи на информацията, и то както трябва. Като минимум, вируси има отвреме-навреме, а дискове гърмят редовно.

Хората се делят на два типа. Едните са, на които им е гръмвал харддиск или вирус им е шифровал данните. Другите са, на които това тепърва ще се случи. И в двата варианта си струва да имате резервни копия на информацията.

Особеното в среда на шифроващи вируси е как си струва да правите резервните копия. А именно: включвате към компютъра страничния носител (примерно преносим харддиск), копирате новите данни и го изключвате колкото се може по-бързо. Така дори компютърът ви да е заразен с шифроващ вирус, който не сте забелязали до момента, шансът да успее да шифрова информацията и на страничния носител спада почти до нулата.

НЕ работят, поне срещу този вирус, следните идеи:

– да бекъпвате информацията си на споделена директория на друг компютър или на сървър, или на постоянно включен преносим харддиск (вирусът ги открива и шифрова всичко и там)
– да архивирате информацията (вирусът шифрова и архивни файлове)

Най-лошата възможна идея, естествено, е да платите на киберкримките. Гаранцията, че ще ви разшифроват информацията, е думата на престъпника. А дори да го направят, спонсорирането на кибепрестъпността е инвестиция в още по-големи ядове утре. Отказал съм се вече от идеята, че мога да накарам хората да спрат да си вредят, но все пак съм длъжен да пробвам.

Предупреденият е въоръжен. Ако има акъл. Бъдете предупредени и имайте акъл.

17 thoughts on “Нови кибергадости

  1. тони

    Бекъпваш на споделена директория на сървър, който ползва файлова система, която поддържа snapshots, които да се правят често (няколко пъти на ден). Така дори вирус да криптира данните, ще може промените да се ролбекнат на ниво файлова система за няколко секунди.

    Reply
  2. Григор Post author

    @тони: Някъде наистина е добро решение. Другаде обаче често правят мънички промени по голям брой големи файлове – на такива места съм препълвал 4 терабайта RAID масив за по-малко от година, при под 1 терабайт основни данни. Специфики…

    Reply
  3. ~!@#$%^&*()_+

    тфа си е направо облачна реклама, ако си пада човек по конспирациите право в десетката

    Reply
  4. Виктор

    Май и аз го получих този вирус по имейла, обаче за да го пусна бая труд трябва да си направя. Прикаченият към писмото файл е с непознато разширение, а май без разширение беше, трябва да се сети човек (или компютърът), че това е zip архив, после да се разархивира каквото има в него и да се стартира. Но ако са го получили няколко милиона човека, що пък да не се намери и такъв, който ще си го разархивира и стартира. 🙂 Между другото така файлът минава и през пощата на Гугъл, която иначе не би пуснала изпълним файл, та и в zip да е.

    Reply
  5. growchie

    Скоро четох за Cryptowall 4 http://arstechnica.com/security/2015/11/booming-crypto-ransomware-industry-employs-new-tricks-to-befuddle-victims/ . Нещата които дискутирате тук няма как да предпазят данните ако примерно заразата престои 2-3 месеца без да се активизира. Дори да се прави бекъп през това време, ще се архивират вече повредените файлове и на практика след поискането на откупа загубата ще е данни от последните месеци. Като начин да се разбере какво става е веднага след архив, архивното копие да се тества на друга машина за четимост на данните. Не знам колко е практично това, особено при архив на няколко компютъра. С хората които говоря най-често ми препоръчват бекъп сървър решение което да дърпа данните от компотите, без той да е достъпен. За съжаление този вариант не работи в домашни условия. Просто не се сещам какво може да се направи без отделна машина. Облачните услуги пак не са гаранция.

    Reply
  6. Иван

    Може ли малко повече технически обяснения? От доста време не съм се занимавал с бъзикане на Windows машини.

    Като начало, доколко е усложнен този софтуер?

    Елементарното ниво е програмка, която се изпълнява с привилегиите на потребителя и криптира всички достъпни за нея файлове. Проблемите са два… първия е че големите масиви с данни отнемат време за да се криптират. Вторият е, че на потребителя може да му потрябват тези файлове, съответно той ще забележи гадинката предварително.

    Тоест, гадинката трябва да предлага прозрачно криптиране/декриптиране. Това може да стане или като се използва вградената в windows система за криптиране или с инсталирането на собствен драйвер, като последното изисква и административен достъп.
    Компромисен вариант е, да се ползват файлови потоци, единият поток на файла съдържа оригиналните данни, другият криптираните. Това позволява бързо изтриване на ненужния поток, но удвоява консумацията на пространство.

    Тези подробности са важни за организирането на правилни backup-и.

    По-горе беше посочено, че ако заразеният терминал монтира мрежов диск, то данните и на двете места може да се окажат криптирани, защото гадинката ще ги криптира все едно са на локалния.

    Но ако сървърът е този който монтира отдалечено диска на терминала, той би могъл да прочете оригиналните данни. Това би му позволило да засече промяна в тези данни (ако гадината няма прозрачно декриптиране) или да архивира некриптираните данни (преди гадината да удари).

    Разбира се, сървърите по принцип са доста натоварени и предпочитат клиентските терминали да вържат сложните неща.

    Reply
  7. Григор Post author

    @Иван: На този етап лично аз не съм виждал гад, която да предлага прозрачно декриптиране. Почти винаги криптират файла без оставяне на оригинално копие, или правят криптирано копие под ново име (съдържащо някакво инфо как да се плати) и изтриване на оригинала. Възможно е за в бъдеще да се появят вируси, които се крият чрез прозрачно декриптиране, или с други хитри техники.

    (На времето имаше вирус, който се разполагаше в първия сектор на файловата система и пренасочваше всички дескриптори на изпълними файлове към себе си. Докато е в паметта, се грижи файловете да се зареждат нормално. Няма ли го, всеки опит за стартиране на изпълним файл стартира вируса. В момента не мога да се сетя как му казваха.)

    Ако сървърът прави инкрементални бекъпи (задължително е той да монтира диска или другояче инициира връзката), положението е спасимо. (На цената на нужда от много дисково пространство.)

    Reply
  8. АдвокатоДеИлетерато

    @Григор: Стига уиндоуса да не е на много слаба система, една нон-стоп пусната виртуална машина с минимални, но читави Linux/BSD и съответни бекъп и инегрити чек скриптове, същевременно “страничен” носител за бекъп-а, форматиран примерно с XFS файлова система (или друга която Уиндоус обичайно не е пригоден да разчита), биха позволили доста по-голяма гъвкавост, без необходимост от постоянното включване и изключване на бекъп медията. Ако се добави и виртуална мрежа, може да се приложи споменатото в коментарите решение за бекъп при който сървър чете диска (в случая, сървър стартиран на виртуалната машина). Файловете на виртуалната машина биха били относително защитени от този тип вирус. Ако тя е нон стоп активна, вируса не би трябвало да може да криптира имидж файла на виртуалния хард диск. Може и автоматично разни снапшоти да се правят, както също бе споменато или пък инкрементал бекъпи от някой вид. Почти като един джобен облак, само да не се чупи локалния сторидж и да има достатъчно системни ресурси.

    Подробностите наистина са важни за организирането, но не само на правилни backup-и, а въобще за въвеждането на що годе ефикасни контрамерки, поне доколкото това е допустимо на типичните уиндоус машини. Може да са мерки, които целят да подлъжат вируса, да го пратят в девета глуха един вид. Може примерно и звънче да се сложи, под формата на апетитен за вируса файл (или множество файлове), хешовете на който да се проверяват начесто и ако не за защита, то поне за “ърли уорнинг” да послужи, ако файла бъде променен от вирус.

    На практика обаче, какви ще са подробностите на вирус, който би сполетял теб или твой клиент, може само да се предполага. Затова е добре да има под ръка някой друг свестен админ за тези, които си ценят повече данните.

    Възможностите за действие на вируса са доста, но “гадинката” вероятно не шифрова всичките ви ценни данни – шифрова нещо, което и е зададено да шифрова по определени признаци. В случай, че търси и шифрова файлве на определени места като “моите документи” и т.н.,проста промяна в настройките по подразбиране на приложенията, да записват някъде, където “гадинката” няма да търси, би могла да излъже вируса. Възможно е малуера да шифрова файловете по признак – разширения, хедъри и други метаданни, в които случаи, запазването им директно в криптиран дисков дял със съответния софтуер би могло да помогне, но със съответните минуси. Възможно е също, рансъмуера да не шифрова папки и файлове, които са маркирани като системни, примерно и една промяна на разрешенията на работната папка да го излъже. Обаче в този случай, според настройките, това може да усложни достъпа до работните файлове до степен, която прави подобно решение непрактично.

    В случай обаче, че вируса се залепи на изхода на приложенията, с които се работи по файловете, горните трикове, ще са безполезни. Тогава файловете биха се запазвали директно като “крипто-отвлечени”. В някои случаи би могъл евентуално да се стъкми скрипт/пач, който да изчисли хешовете на файла в буфера на паметта, преди запазването и да има база за сравнение (което би могло да хване проблема още при запазването на първия крипто-отвлечен файл), но тази мярка би била практична предимно за приложения с отворен код и то при желание да се кихне някоя прилична кинта на програмист, който прилично да изпълни заданието. За затворения код може да се ползват макроси за автоматизация на уиндоус или съответното приложение, които да проверяват доколкото е възможно, дали не се запазва крипто-отвлечен файл.

    П.П.
    Само да уточня, че изброеното по-горе от мен е много далеч от прилично решение, а е по-скоро едно надлъгване с проблема, което в някои случаи би могло да е с ограничено полезен ефект. То е следствие от лични мои впечатления и съответно предположения, за това как реално се ползват днес компютрите в масовия случай. Приличните решеия на проблема изглеждат съвсем различно, но изискват някои основни стъпки, които доколкото мога да преценя са трудно съвместими с принципите на реализация на Уиндоус и масовия хардуер, който е съвместим с него.

    Reply
  9. АдвокатоДеИлетерато

    На принципа на обичайните заподозрени…друго извинение нямам 😉
    Просто шансовете за успех на този вид вирус ми изглеждат доста по-добри при Уиндоус таргет, както е с множеството от вирусите. Иначе, уязвима Линукс, БСД или Мак и т.н. машина, може да си изпати точно толкова и тя. При другите просто е по-трудно да се проектира и разпространи успешно небутиков вирус за масово поразяване от този вид, поне за момента. Дори с множеството виртуални инсталации из дейта центровете.

    Reply
  10. Петър Петров

    А ти, Григор, кога ще пуснеш тоя блог през https? Знам, че подписването на сървърен сертификат е скъпо, но можеш да си го подпишеш и сам. Аз, например, ти вярвам 😀

    Reply
  11. Григор Post author

    @~!@#$%^&*()_+: Някой да го е видял този вирус в реалния свят? Защото аз чета за Линукс вируси вече от 15 години, ама още не съм видял такъв реално да е заразил нещо. И не познавам и човек, който да е видял – само писания в Интернет. Опити за хакване на ръка съм видял колкото щеш, вируси – не. Не че е невъзможно да се направят – просто досега не съм видял.

    @Петър Петров: А защо е нужно? Да не може някой по средата да гледа как ми четеш блога ли?!

    Reply
  12. ~!@#$%^&*()_+

    @григор, същото мога да го кажа и за виндовс, 99% проблема е в задклавиатурното устройство
    факт е, че линухските задклавиатирни устройства са по-параноични и по кампутерно образовани
    факт е, че атаките са по-малко, monte carlo + горното

    но е фенска измишльотина, че относителната безопасност на линукса се дължи на технологично превъзходство

    Reply
  13. Григор Post author

    @~!@#$%^&*()_+: Ами, да ама не.

    При персоналните кутии води Уиндоус, ама при сървърите води Линукс, особено където има реално ценни ресурси. По всички аргументи на тема вируси, използвани от уиндоусаджии, трябва при сървърите да гъмжи от линуксовски вируси, а за Уиндоус да няма. Само дето подобно нещо не се наблюдава.

    Лично мои сървъри под Линукс са били десетина пъти хаквани полу-успешно (успешно качен набор експлойти и понякога пръскачка за спам, случай експлойтите да са смогнали да хванат руут достъп няма). Всички пъти без изключение механизмът на хакването е един и същ – някой си въвел ФТП юзера и паролата на овирусен уиндоуски компютър, и през тях. Иначе казано, Линукс има един голям проблем със сигурността и той се нарича Уиндоус. Поне в реалния свят, а не този на статиите в Интернет.

    Reply
  14. ~!@#$%^&*()_+

    @григор, нали не сравняваш задклавиатурните устройства на сървърите с тези на персоналните машини?

    Reply
  15. Григор Post author

    @~!@#$%^&*()_+: Задклавиатурните устройства на сървърите под различни ОС са от една категория. А вирусите и там са само за Уиндоус.

    За линуксовски вируси съм чел из Нета, но никога не съм виждал такъв с очите си. Нито познавам човек, който да е виждал. Нито по сървъри, нито по десктопи. А уиндоуски вируси виждам поне веднъж-два пъти месечно и по сървъри, за десктопите изобщо не говоря.

    Reply

Leave a Reply to Григор Cancel reply

Your email address will not be published. Required fields are marked *