Обсуждение вирус в сети
Обновлено: 17.04.2024
Вирус в локальной сети
Модератор: mike 1
Вирус в локальной сети
Здравствуйте! Такая есть проблема. Сеть из 40 компов. Стоит Windows xp везде стоит антивирус Eset endpoint security v. 5 На одном компе несколько расшаренных папок. Время от времени по очередно проникает вирус. Антивирус его удаляет но он откуда-то приходит опять. Делал так. Поотключал все компъютеры от сети и проверил Dr.Web CureIT на нескольких машинах понаходил ,поудалял. Проблема нерешилась. Вирус как заходил так и заходит. Каждый раз он выглядит так : itcewd.exe; tkvrzr.exe; freeqlr.exe; fpqtbw.exe; igihax.exe; stpvks.exe; havqqx.exe; tzezcs.exe Сейчас пробую его вычислить утилитой Process Monitor но пока результата нет. Как найти зараженную машину на которой он находится?
Вирус в локальной сети
Рекомендовал-бы подумать об обновлении ОС если железо конечно потянет. Если не потянет то можно попробовать отобрать у пользователей админские права и настроить учетку на минимум того, что необходимо для пользователей. При этом админскую учетку лучше всего запаролить или отключить и включать только по необходимости при администрировании компьютера.
Вирус в локальной сети
Здравствуйте,Дмитрий! Пока обновить железо и Windows нет возможности. На всех машинах открыта учетная запись гостя. Отключить не могу . Пользователи не смогут работать с базами данных. Большинство работают под админом. Пока перевести на ограниченные права не получиться. Основные программы ,базы данных работают только под админ правами. Так было настроено изначально. Основная часть машин работают без доступа к интернету локально. Что можете посоветовать для защиты и обнаружения вируса. Может есть программы следящие за расшаренными папками. Начал знакомство с Process Monitor пока ничего.
Вирус в локальной сети
user259 , запустите на компьютерах которые подключены к интернету утилиту которая мониторит какие процессы работают с сетью. Я лично использую Process Hacker (в этой теме подробнее), так вот в этой программе можно отследить процесс которые и к каким ресурсам он подключается.
Например вирус должен распространять себя в локалку, соответственно он будет обращаться к локальным ресурсам. Попробуйте его увидеть. А заодно посмотрите к каким внешним ресурсам он обращается и добавьте их в брандмауэр или в hosts чтобы заблокировать, возможно это помешает дальнейшей переустановке вируса в системе.
Но конечно есть шанс что вирус у кого-то на флешке и он его каждый раз запускает не с компа которые подключен к интернету, тогда попробуйте проверить флешки всех сотрудников каким-нибудь kaspersky virus remuval tool или подобными утилитами. Если выявите такую флешку то попросите человека проверить ПК дома чтобы удалить источник вируса.
PS: Я не Дмитрий, я Михаил
Вирус в локальной сети
В процессах пока ничего подозрительного нет. Возможно кто-то из сотрудников запускает флешку с вирусом . Пока проверить все флешки всех сотрудников нет такой возможности но я обращу на это внимание.
Вирус в локальной сети
user259 писал(а): Здравствуйте! Такая есть проблема. Сеть из 40 компов. Стоит Windows xp везде стоит антивирус Eset endpoint security v. 5 На одном компе несколько расшаренных папок. Время от времени по очередно проникает вирус. Антивирус его удаляет но он откуда-то приходит опять. Делал так. Поотключал все компъютеры от сети и проверил Dr.Web CureIT на нескольких машинах понаходил ,поудалял. Проблема нерешилась. Вирус как заходил так и заходит. Каждый раз он выглядит так : itcewd.exe; tkvrzr.exe; freeqlr.exe; fpqtbw.exe; igihax.exe; stpvks.exe; havqqx.exe; tzezcs.exe Сейчас пробую его вычислить утилитой Process Monitor но пока результата нет. Как найти зараженную машину на которой он находится?
Ну с локальной сеть отлично работает антивирус 360 Total Security. Меня он не раз выручал, вот обзор на сайте гикнос. Рекомендовано ставить его одного, без дополнительных утилит или сканеров, он сам все сделает.
Имеется ОЧЕНЬ большая LAN-сеть очень крупного медицинского центра в Азии (Китай). Сеть обладает распределенной оптической сетью, сеть доменная, одноранговая, без разделения на VLAN-ы.
Сеть спроектирована очень давно, когда не было нормальных коммутаторов, после модернизации количество работ было таким большим, что одноранговую сеть так и оставили.
Компьютеров ~6000, присоединено 4 здания.
Ситуация такая:
1. Все компьютеры выходят в Интернет через очень строгий прокси-сервер, со строгой фильтрацией, с авторизацией по plain логину-паролю, большинство компьютеров не работают в интернете никогда.
2. На большинстве компьютеров стоит ОС Windows XP, также имется очень много рабочих станций с ОС Windows 98
3. Операционную систему менять нельзя ни в коем случае, так как большинство лабораторных/диагностических программ очень старые, драйвера старые, под новыми системами не хотят дружить.
4. В сети не только компьютеры, присоединены как участники одноранговой сети разные медицинские приспособления, отправляющие диагностическую информацию по простейшему SMB-протоколу. Приспособлений около 500, начиная с рентген установок, заканчивая ДНК-анализаторами.
5. Некоторые рабочие станции не являются участниками домена.
6. IT отдел медцентра – это 40 человек, из них 15 админов.
7. В медицинском центре круглосуточно выполняется более 600 разных операций на людях, работу сети прерывать нельзя ни в коем случае, так как вся диагностическая информация (МРТ, рентген, результаты анализов, бухгалтерия) передаются непрерывно.
8. Простой сети на день грозит потерями в миллионы долларов
Проблема:
Какой то мудак (его уже выгнали) поднял игровой сервер в сети, расшарил инет через мобильный LTE интернет и запустил вирус криптолокер в сеть.
Сеть оказалась завирусована, и вирус шифратор гуляет по сети, шифруя данные на локальных компах, и на расшаренных SMB ресурсах.
Каждый день заражается около 20-40 компьютеров.
Медцентр и рад заплатить хакерам выкуп, но путем переговоров с ними пришли к выводу что невозможно каждый день расшифровывать файловые системы по отдельности, хакеры честно сказали что помочь в этом не смогут.
На большинстве компьютеров антивирусная защита отсутствует как таковая, так как на большинстве рабочих станций стоит Windows 98 & XP
Как можно заразиться вирусом просто посещая вредоносные сайты, ничего не скачивая и не запуская? Разве Javascript+браузер дает такую возможность?
< sarcasm>всегда сразу отключаю UAC (он только мешает) и обновления системы (они только компьютер тормозят), весь софт с торрентов (предпочитаю репаки) и ни одного вируса не поймал!УМВР и ЧЯДНТ? < / sarcasm>
Особенность UAC в том, что он спрашивает разрешить или нет процесс. Я думаю, что даже если он включен, то многие не глядя жмут "Разрешить", не задумываясь о том, что приложение может быть вредоносным.
sanrega, и с чего ты взял, что вирус при проникновении сразу должен о себе заявить? Если у тебя безконтрольно может запускаться все, то скорее всего, ты являешься частью одной из ботнет сетей. Но продолжаешь бить себя в грудь, что у тебя нет ни одного вируса.
внедрением кода и перенаправлением на запуск вируса/трояна и т.п.
это не ответ. как именно? на какой запуск? файл с каким расширением? js? а что можно сделать скриптом из браузера такого?
Запросто.
Вы не сможете посещать сайты ничего не скачивая.
Чтобы посетить сайт нужно его скачать с сервера, и запустить скрпты этого сайта на локальной машине.
А уж дальше дело техники - эксплойты, соц. инженерия, и.т.д. и код получает доступ к системе.
это тоже не ответ. все вокруг да около. ну и что что скачал? что потом? лежит он папке temp где то к примеру. и?
Повторю еще раз - эксплойты, соц. инженерия, и.т.д. и код получает доступ к системе.
Поясню-
Экслпойт - это эксплуатация ошибок системы или браузера для достижения нужных целей, например для запуска кода или повышения привилегий.
Соц. инженерия - это эксплуатация особенностей психики человека для достижения нужных целей, например для запуска кода, или повышения привилегий.
Как правило код сайта не просто лежит в профиле пользователя, он еще и исполняется.
Сейчас львиная доля функциональности реализуется на фронтэнде, т.е на скриптах исполняемых компьютером клиента.
Ваш браузер исполняет скрипты которые загрузил во время отображения сайта.
Теоретически код исполняется в песочнице и не должен выйти дальше, но практически это можно обойти.
Как обойти я описал выше.
ну так первый пункт тогда можно было просто охарактеризовать как "дыры браузера". тут понятно. ну соц инженерия не рассматриваем, т.к. у некоторых и по телефону можно пароль выведать, речь щас не об этом.
Дмитрий Калинин, Ну не обязательно это дыры браузера.
Это может быть дыра в операционной системе, или в сторонней программе или драйвере.
Соц. инженерию тоже не стоит скидывать со счетов.
Это самый частый способ взлома.
Выведывать пароль по телефону это какой-то примитив. Эффективнее мотивировать пользователя поставить очень нужную программу нашей фирмы, которая будет приносить ему много пользы, и иметь нужные бэкдоры.
я глубины программирования не знаю, но как то мне кажется что в данном случае вначале должна быть все таки дыра браузера, т.к. мне тяжело представить как по другому вы выполните лежащий в папке скрипт.
ну там немного другая тема. там можно получать данные из одного потока, которые однолвременно открыты в другом, что то такое. тут скорее речь о кражах.
Дмитрий Калинин, Вы в браузере видео смотрите? Как вы думаете создатели браузера сами написали кодек и поставляют его вместе с браузером, или же пользуются уже готовыми?
Или например окна - создатели браузера сами пишут код который открывает например диалоговые окна выбора файлов, или все же они используют для этого код операционной системы, через API?
Браузер это просто программа - для того чтобы что-то сделать браузер активно использует ресурсы операционной системы и сторонних программ.
Дмитрий Калинин, ну если было бы общеизвестно, то уже бы пофиксили, а вообще да, реально, на старых браузерах заразиться, там где уязвимости не пофиксены
Ostin1, Я удалил пост, просто не заметил ваш пост, и не понял что разговор зашел о уязвимостях процессора.
АртемЪ, ну так и что? а доступ вы как к ним получите даже если там есть какие то бока в коде? вам же надо что то передать из браузера в систему? ладно, проехали вообщем. это больше что то на уровне теории какой то, не особо имеющей под собой реально практические реализации.
Дмитрий Калинин, ну возьмите старый какойто хром, и походите по сайтам хакерским с необновлённой ОС, только советую это делать в виртуалке
ладно, проехали вообщем. это больше что то на уровне теории какой то, не особо имеющей под собой реально практические реализации.
Разумеется это чистая теория! А вам что практика нужна?
На практике почти все реально опасные уязвимости быстро закрываются и применить их невозможно.
Работают только те, которые еще не известны общественности. И они стоят денег.
Дмитрий Калинин, Ну конкретика - раньше подавляющее большинство видео проигрывалось с помощью флеша, дыр в этом продукте вагон и маленькая тележка, причем дыры позволяли исполнять произвольный код.
В итоге пользователь смотрит видео, а флеш проигрывая видео дополнительно устанавливает майнер и качает и запускает трояна.
АртемЪ, ну так с этим все понятно. флеш - это дополнение браузера, без него никакие кодеки использоваться не будут.
Что значит дополнение браузера?
Это сторонняя программа установленная пользователем.
Вместо флеша может быть что угодно.
АртемЪ, а причем тут стороння программа? вы читали что было выше? если вы о том чтобы взять и запустить исполняемый файл, то спасибо конечно)) но в данном случае речь о получении прав и выполнения кода из браузера. то естественно это может быть реализована в вашем примере через дополнение (ну как флеш например)
Дмитрий Калинин, Речь идет о исполнении кода и получении прав.
А уж какой код вы выполните - решать вам, можете трояна, можете выполнить код который подгрузит с вашего сервера исполняемый файл и запустит его, если вам это надо, или установит службу, или наоборот остановит службу.
Сидя на необновляемой ломаной или уже протрояненной операционке в сеансе администратора.
Всё остальное дело техники.
1. Для начала да, javascript может быть уязвимым.
2. Уязвимости в браузере и ОС(например реализация стандартных функций и библиотек, которые позволяли выполнить код из хитро-сделанного .jpg или .pdf)
3. Различные плагины к браузеру могут быть уязвимы. Из плагинов, обычно установленных - flash и java. Сейчас от этого браузеры отказываются, но не все сайты перешли на html5/javastart, приходится поддерживать.
4. Различные обновления к софту, который у вас установлен и периодически обновляется, могут быть скомпроментированы.
5. Уязвимости на уровне железа. Не уверен, но насколько я понял, meltdown можно замутить и через браузер.
6. В IE могут быть свои уязвимости через ActiveX
7. Сторонний софт, открывающиеся по ссылкам (мессенджеры, почтовые клиенты)
а можно поподробнее по 1му пункту. что значит javascript может быть уязвимым? имеется ввиду интерпретатор языка, встроенный в браузер, так?
Дмитрий Калинин, В ответе написано javastart и это слово не гуглится. А то я уже думал, что новая технология запуска Java-апплетов и я про неё не слышал. :(
Mercury13, Дмитрий Калинин может он через мобилку ответил а там предиктивный ввод текста скорее всего наверное
Дмитрий Калинин, да, в реализации javascript может быть уязвимость относящаяся или к стандарту javascript или к конкретной реализации в каком-либо движке (разные браузеры могут использовать один движок).
Mercury13, Нет, она не брошенная, наоборот на нее многие активно переползают те, кто висели на джава апплетах и им нужно выполнять java на фронтенде, поскольку JWS позволяет его запустить не в браузере а в отдельной песочнице.
Для банк-клиентов это хороший и быстрый выход из ситуации, когда chrome и firefox перестали поддерживать NPM плагины.
Но кому не нужна java на десктопе вполне могут обойтись html5/JS и работать через API.
Манипуляция сознанием. Фактически заражают компьютеры браузеры через протоколы, разрабатываемые консорциумом WWW. Якобы "уязвимости". Это просто возможность запустить произвольный код. Пассивный просмотрщик никак не может заразить. Раньше браузеры были простыми. Но их постоянно обновляют. Якобы для устранения уязвимости. Но фактически все пользователи в зависимости от корпораций, работающих не в интересах обычных пользователей. Компьютеры также построены на открытой архитектуре. Всё даёт доступ для управления и шпионажа. Никто не обвиняет WWW, IBM, Google. Борются со вторичными проблемами. СМДИ (дезинформации) внушают истории про хакеров, антивирусы и обновления. И собирают деньги. Закон Мура это тоже сговор. Про телефоны та же история. Windows 10 построена по принципу тоталитарного контроля. В ней живут программы-паразиты, которые используют ресурсы вашего ПК, замедляя его работу. И если сегодня у них добрые намерения, то завтра неизвестно - система постоянно обновляется, причём синхронно. И завтра ваш ПК будет действовать так, как это соизволит Microsoft. Процессоры также могут быть перепрошиты (микрокод). Обновления происходят незаметно и вне зависимости от вашего согласия. Теневые процессы делают своё дело. Microsoft не несёт никакой ответственности, иначе бы ошибки тут же исправили и не выпукали бы вечно обновляемое го*но.
| Цитата |
|---|
| Igor-USSR пишет: Как бороться с сетевым червем Net-Worm.Win32.Kido Все 3 указанные там заплатки стоит поставить в любом случае. |
Служба IPsec впорядке? если она остановленна с режимом запуска "авто" - отлюкчите или назначьте "вручную".
AVZ c virusinfo, устанавливаем драйвер расширенного мониторинга, перегружаемся в безопасный, чистим систему на максимальном уровне эвристики с включенным противодействием всем подряд руткитам. Когда у меня такая фигня была, покоцало системные файлы svchost.exe и еще пару dll'ек, каких - не вспомню, был WinXP SP2, тупо распаковал sp2.cab в System32, потом обновился до sp3. Естественно после чистки системы.
| Цитата |
|---|
| Алекс М пишет: Служба IPsec впорядке? если она остановленна с режимом запуска "авто" - отлюкчите или назначьте "вручную". |
Чтобы комп виделся в сетевом окружении в одноранговой сети, должны быть запущена служба "Сервер" и "TCP/IP-Netbios Helper" (модуль поддержки NetBios через TCP/IP), а также "Служба доступа к файлам и принтерам" в свойствах сетевой платы, ну и, естественно, "Клиент для сетей Мелкософт"
А для проверки, расшарены ли ресурсы - Пуск-Выполнить-"\\ip-адрес компа", на котором есть расшаренные ресурсы. (без кавычек, ессн-но).
Ну и проверяй доступность 137-139 и 445 портов. Кстати, 445 порт очень любят использовать вирусы для распространения по локалке.
а IPSEc здесь как-то не причем.
| Цитата |
|---|
| Moriarti Fon Braun пишет: что-то не вижу службу такую |
а ты попробуй его сломай.
к примеру перемести файл C:\WINDOWS\system32\lsass.exe куда-нибудь из деректории system32.
Перезагрузись, и попробуй зайти через шару на свой компьютер.
На свой комп я и с ipsec не зайду, нет у меня шар, все ненужные мне службы типа сервер, нетбиос и иже с ними удалены.
Мне вот тоже интересно - чем же это может быть так важна службы IPSec - если я не использую этот набор протоколов? В случае использования IPv6 он является неотъемлемой частью протокола, но для IPv4 - он всего лишь необязательное расширение.
| Цитата |
|---|
| SOLDIER пишет: если я не использую этот набор протоколов? |
я вот тоже явно не использую. но у меня в сервисах есть и работает в автоматическом режиме.
наверное для других служб.
П.С.: у меня рабочая станция - Windows Server 2003 SE SP2.
Может таки зря работает? Вот объясни мне, линуксовому админу - почему у тебя в Виндах работает служба, которая тебе на фиг не нужна. Вот не понимаю я этого. Тут ведь прямой путь к подписи нашего "великого и ужасного гуру" Доминатора! Ведь действительно - МАСТ! И более того - ДАЙ!
А по сути - объясни мне опять же, как Линуксовому админу суть своей фразы.
| Цитата |
|---|
| Алекс М пишет: должна быть. посмотрите получше, пожалуйста. Эта служба очень важна. |
Так ЧЕМ она так важна всё-таки? Я вроде в сетевых протоколах достаточно хорошо разбираюсь, но необходимости службы (более того - важности), которая не используется - ну никак не улавливаю.
я вот тоже явно не использую. но у меня в сервисах есть и работает в автоматическом режиме.
наверное для других служб.
| Цитата |
|---|
| xandersh пишет: Ну и проверяй доступность 137-139 и 445 портов. Кстати, 445 порт очень любят использовать вирусы для распространения по локалке. |
извини я немного чайник, как можно порты проверить? ч
Вообще люди..что отвечает за доступность компа по сетеке. просто пингуется, сетевая ася пашет, другие компьютеры через зараженый комп видит..в сетевом окружении отображается. в чем понт не пойму. уже форумов пять не могут помочь.
вот странное что-то в портах.
1184 TIME_WAIT 192.168.1.35 139 [0]
1185 TIME_WAIT 192.168.1.35 445 [0]
1187 TIME_WAIT 127.0.0.1 30606 [0]
1189 TIME_WAIT 192.168.1.33 445 [0]
1190 TIME_WAIT 192.168.1.202 445 [0]
1193 TIME_WAIT 192.168.1.22 139 [0]
1194 TIME_WAIT 192.168.1.23 445 [0]
1197 TIME_WAIT 192.168.1.24 139 [0]
1199 TIME_WAIT 192.168.1.51 139 [0]
1201 TIME_WAIT 192.168.1.26 139 [0]
1203 TIME_WAIT 192.168.1.103 139 [0]
1205 TIME_WAIT 192.168.1.34 139 [0]
1207 TIME_WAIT 192.168.1.101 139 [0]
1209 TIME_WAIT 192.168.1.104 139 [0]
1211 TIME_WAIT 192.168.1.105 139 [0]
1213 TIME_WAIT 192.168.1.106 139 [0]
1215 TIME_WAIT 192.168.1.109 139 [0]
1217 ESTABLISHED 192.168.1.6 139 [4] System
5152 LISTENING 0.0.0.0 16506 [1304] c:\program files\java\jre6\bin\jqs.exe
30007 LISTENING 0.0.0.0 6311 [1060] c:\program files\netwriter\netwriter.exe
30606 LISTENING 0.0.0.0 26782 [1184] c:\program files\eset\eset nod32 antivirus\ekrn.exe
30606 TIME_WAIT 127.0.0.1 1218 [0]
30606 TIME_WAIT 127.0.0.1 1220 [0]
Если ты время от времени слушаешь музыку Вконтакте, будь начеку: совсем недавно Лаборатория Касперского выявила очередной аудиоплеер, являвшийся трояном. Вирус распространялся как приложение для проигрывания музыки из Вконтакте — таких в Google Play, кажется, под сотню. После скачивания плеер под названием MYVK требовал входа в аккаунт. Само собой, никакой музыки послушный пользователь не получал, — зато его логин и пароль утекали к злоумышленникам.
В настоящий момент троян удален. Однако, это не может гарантировать, что в Google Play не содержится его копии. Такое, увы, случается довольно часто.
Приходилось ли тебе скачивать взломанные версии приложений? Можешь не отвечать. Но если так, то порадуйся: тебе почти чудом удалось избежать встречи с Podec. В начале этого года вирус активно распространялся через группы с взломанными приложениями — и в первые же дни заразил несколько тысяч устройств.
Принцип действия трояна довольно прост: Podec подписывает смартфоны на платные сервисы (само собой, в тайне от владельца) и тем самым похищает деньги со счетов. Как у него это получается? Верь-не верь, создатели вируса научили Podec отвечать на запросы подтверждения оплаты услуг и даже вводить CAPTCHA.
Впечатляет? Не то слово! И еще страшнее, что после загрузки на телефон Podec блокирует любую возможность работы на нем при помощи многократных запросов на права администратора. Тем же способом вирус блокирует работу антивирусов. Как ты уже понял, случайная установка Podec почти гарантирует нулевой остаток на счету — поделать ты с этим ничего не сможешь. Так что поаккуратней с пиратским контентом!
Троян Buz, ареал обитания — Facebook
Думаешь, для столкновения с вирусом обязательно что-то скачивать? И не надейся. Несколько дней назад российские пользователи Facebook столкнулись с вирусом прямо в интерфейсе сайта — в уведомлениях о новых записях. Выглядит атака вируса абсолютно невинно: владелец аккаунта видит запись о том, что он был упомянут в комментарии, переходит по ссылке и — привет! — попадает на фишинговый сайт, пытающийся загрузить весьма сомнительные расширения для Google Chrome.
С аналогичной проблемой столкнулись две недели назад вьетнамские пользователи: в их случае ссылка вела на копию сайта Facebook, любой клик в которой приводил к установке расширения под названием Buz.
Файл, приводящий к заражению Facebook трояном, до сих пор не выявлен, так что если ты – счастливый пользователь браузера от Google, проявляй бдительность. Об удалении вируса пока не сообщили, а это значит, ты вполне можешь стать его жертвой, если не будешь соблюдать осторожность.
Как защититься от вирусов в соцсетях
Первый и главный совет: проявляй бдительность. Не переходи по ссылкам до тех пор, пока не узнаешь, куда они ведут (это можно проверить с помощью нескольких сайтов, которые ты без труда найдешь в интернете). И не скачивай файлов из сомнительных источников. Также, убедись, что у тебя:
В соцсети введена двухфакторная аутентификация. За этим словосочетанием стоит привязка страницы к номеру телефону — ты можешь настроить свою страницу таким образом, чтобы сайт отправлял подтверждения любым действиям на мобильный телефон. Это поможет уберечь твой аккаунт от кражи.
На устройстве установлен антивирус. Не жди от этих программ магии: им тоже нужно время, чтобы обновить базу данных с новыми троянами. А это значит, от новых вирусов ты не защищен.
Установлены расширения для безопасного браузинга. Эти программы часто обновляются оперативней, чем антивирусы. Лишняя линия обороны не повредит.
Спам-бот OMG, ареал обитания — Facebook
Насколько опасен подобный — или любой другой — спам-бот? Данная программка способна встраиваться в библиотеки браузера, а значит, при неприятном стечении обстоятельств, вполне может похитить любые твои данные, включая логины и пароли. Сейчас вирус окончательно побежден. Впрочем, ничего не мешает хакерам создать нечто схожее. Так что не/ расслабляйся.
Автор, странно заявлять, что скачивая вредоносное приложение (неважно для каких функций) из одного места, ареал его обитания - другое место, хотя приложение просто ворует пользовательский лог:пасс оттуда
Ареал обитания = область распространения. То есть, если приложение распространяется в google store, то его ареал обитания именно там, а не в вк.
Ну и как бы, народ. Скачивать софт из непроверенных источников и открывать сомнительные ссылки без чтения толковых отзывов и/или необходимых знаний - плохо, п'нятненько?
в соцсетях не тусуюсь, главное, чтобы на пикабу чего не занесли, а то придется в ворд и ексель играть на работе!
А теперь немного про сам вирус - это майнер, который весьма хорошо прячется. Как и многие другие вирусы, как только включаешь диспетчер задач, он перестаёт нагружать комп. Но он сам выключает диспетчер задач раз в минуту-две (точное время не засекал). Мой Windows Defender (винда не лицензионная) его практически не засекал. Всё что он находил - один файл, который после удаления он находил снова. и снова. и снова. Можно скачать другой антивирус, но при входе на официальный сайт он просто закрывал браузер. Казалось бы, можно скачать с другого сайта, либо с внешнего носителя, но и тут может выйти облом - этот вирус может не дать открыть некоторые антивирусы, либо не дать им провести проверку.
Может мой способ не самый лучший, но я всё равно хочу его опубликовать, мало ли кому поможет.
Прокуратура запросила реальные сроки для хакеров Lurk — от 6 до 18 лет лишения свободы
Прокуратура запросила для екатеринбургских IT-специалистов, обвиняемых в разработке вируса Lurk и хищении более 1,2 млрд рублей, реальные сроки заключения — от 6 до 18 лет. Дело на них было заведено ещё в 2018 году, но из-за большого количества фигурантов и высокой сложности следствие затянулось. Кроме того, летом этого года процесс пришлось приостановить на месяц, поскольку один из фигурантов начал слышать голоса в СИЗО.
Хакерская группировка Lurk получила широкую известность в 2016 году после того, как её рассекретили российские спецслужбы. Согласно материалам дела, она была создана в 2013 году. Все участники Lurk занимались разработкой и распространением одноимённой троянской программы, заражающей системы банки.
В общей сложности следствие задержало 50 подозреваемых, но уголовное дело завели только на 23 из них. Один участник группировки Игорь Маковкин пошёл на сделку со следствием и признал вину. В 2018 году его приговорили к пяти годам заключения. Остальные фигуранты дела не признают своего участия в группировке Lurk, но не отрицают, что занимались мошенничеством. Дела 22 подозреваемых были переданы в Кировский районный суд Екатеринбурга в декабре 2018 года.
Для предполагаемого лидера группировки Константина Козловского просят максимальный срок заключения. Второй предполагаемый лидер Владимир Грицан находится в розыске. Для единственной женщины в группировке Валентины Рякиной запросили отсрочку заключения до наступления совершеннолетия ребёнка. Расследованием дела занимался центральный аппарат МВД РФ.
Антивирусная маска
Про бесплатный антивирус
Как вскрывают пароли представители правоохранительных органов
Хакеры, мошенники, работники IT-безопасности, следственные органы и спецслужбы — все они при определенных обстоятельствах могут попытаться добраться до информации, защищенной с помощью паролей. И если инструменты, которыми пользуются хакеры и спецслужбы, в целом практически совпадают, то подход к задаче отличается кардинальным образом. За исключением единичных дел, на раскрытие которых могут быть брошены огромные силы, эксперт работает в рамках жестких ограничений как по ресурсам, так и по времени, которое он может потратить на взлом пароля. Какие подходы используют правоохранительные органы и чем они отличаются от работы хакеров — тема сегодняшнего материала.
Добрым словом и пистолетом
Да, ты не обязан свидетельствовать против самого себя и выдавать свои пароли. Этот принцип наглядно иллюстрируется очередным случаем. Подозреваемый в хранении детской порнографии сидит уже 27 месяцев за то, что отказывается сообщить пароли от зашифрованных дисков. Презумпция невиновности? Не, не слышали.
Что можно сделать за 45 минут? А за два дня?
В более серьезных случаях, когда конфискуется в том числе и компьютер подозреваемого, следствие может приложить и более серьезные усилия. Опять же, от страны, от тяжести преступления, от важности именно цифровых улик будет зависеть и количество ресурсов, которые можно затратить на взлом.
Как они это делают
Но вернемся к нашим двум дням для взлома. Что можно сделать за это время?
Насколько (бес)полезны стойкие пароли
Для начала — немного теории. Нет, мы не будем в очередной раз повторять мантру о длинных и сложных паролях и даже не будем советовать пользоваться паролехранилками. Просто рассмотрим две картинки:
Скорость перебора паролей с использованием видеокарты: вот BitLocker и RAR5
а вот Microsoft Office, Open Office и IBM Notes
Как видим, скорость перебора для томов BitLocker — всего 860 паролей в секунду при использовании аппаратного ускорителя на основе Nvidia GTS 1080 (к слову, это действительно быстро). Для документов Microsoft Office 2013 цифра повыше, 7100 паролей в секунду. Что это означает на практике? Примерно вот это:
Сколько у тебя паролей?
Я подсчитал: у меня 83 уникальных пароля. Насколько они на самом деле уникальны — разговор отдельный; пока просто запомним, что у меня их 83. А вот у среднего пользователя уникальных паролей гораздо меньше. По данным опросов, у среднего англоязычного пользователя 27 учетных записей в онлайновых сервисах. Способен ли такой пользователь запомнить 27 уникальных, криптографически сложных паролей? Статистически — не способен. Порядка 60% пользуются десятком паролей плюс их незначительными вариациями (password, password1, ну, так и быть, — Password1234, если сайт требует длинный и сложный пароль). Этим беззастенчиво пользуются спецслужбы.
Если есть доступ к компьютеру подозреваемого, то извлечь из него десяток-другой паролей — вопрос техники и нескольких минут. К примеру, можно воспользоваться программой Elcomsoft Internet Password Breaker, которая вытаскивает пароли из браузеров (Chrome, Opera, Firefox, Edge, Internet Explorer, Yandex) и почтовых клиентов (Outlook, Thunderbird и другие).
В ней можно просто побродить по хранилищам паролей, а можно нажать Export, в результате чего за считаные секунды все доступные пароли будут извлечены из всех поддерживаемых источников и сохранены в текстовый файл (дубликаты удаляются). Вот этот-то текстовый файл и есть готовый словарь, который в дальнейшем используется для вскрытия паролей, которыми зашифрованы файлы с серьезной защитой.
Извлекаем пароли из браузеров и почтовых клиентов
Допустим, у нас есть файл P&L.docx, извлеченный с компьютера пользователя, и есть словарик из его паролей от нескольких десятков (или даже сотни) учетных записей. Попробуем воспользоваться паролями для расшифровки документа. С этим может помочь практически любая программа для перебора паролей, которая поддерживает формат документов MS Office 2013. Нам привычнее Elcomsoft Distributed Password Recovery.
Второй этап — используется тот же словарь, состоящий из паролей пользователя, но в конец каждого пароля дописываются цифры от 0 до 9999.
Большой соблазн — активировать их все, но практического смысла в этом немного. Имеет смысл изучить, как именно конкретный пользователь выбирает свои пароли и какие именно вариации он использует. Чаще всего это одна или две заглавных буквы (вариация case средней степени), одна или две цифры в произвольных местах пароля (вариация digit средней степени) и год, который чаще всего дописывается в конец пароля (вариация year средней степени). Впрочем, на данном этапе все-таки имеет смысл просмотреть пароли пользователя и учесть вариации, которые использует именно он.
На втором и третьем этапах обычно вскрывается каждый десятый пароль. Итоговая вероятность расшифровать документ у среднего пользователя — порядка 70%, причем время атаки ничтожное, а длина и сложность пароля не имеют ровно никакого значения.
Исключения из правила
Если у одного пользователя файлы и учетные записи защищены одними и теми же паролями, это вовсе не означает, что так везти будет каждый раз. Например, в одном случае подозреваемый хранил пароли в виде имен контактов в телефонной книге, а в другом сборник паролей совпадал с именами зашифрованных файлов. Еще один раз файлы были зашифрованы названиями мест отдыха подозреваемых. Инструментов для автоматизации всех подобных случаев просто не существует: даже имя файла следователю приходится сохранять в словарь вручную.
Длина не имеет значения
Если говорить о длине и сложности паролей, то большинство пользователей не привыкли себя утруждать. Впрочем, даже если бы почти все использовали пароли максимальной длины и сложности, это не повлияло бы на скорость атаки по словарям, составленным из утечек.
Если ты следишь за новостями, то, вероятно, слышал об утечках баз данных с паролями из Yahoo (три раза подряд!), LinkedIn, eBay, Twitter и Dropbox. Эти службы очень популярны; в общей сложности утекли данные десятков миллионов учетных записей. Хакеры проделали гигантскую работу, восстановив из хешей большую часть паролей, а Марк Бёрнетт собрал все утечки воедино, проанализировал ситуацию и сделал интереснейшие выводы. По данным Марка, в том, какие пароли выбирают англоязычные пользователи, прослеживаются четкие закономерности:
0,5% в качестве пароля используют слово password;
0,4% в качестве пароля используют последовательности password или 123456;
0,9% используют password, 123456 или 12345678;
1,6% используют пароль из десятки самых распространенных (top-10);
4,4% используют пароль из первой сотни (top-100);
9,7% используют пароль из top-500;
13,2% используют из top-1000;
30% используют из top-10000.
Дальше Марк не анализировал, но мы продолжили его последовательность, воспользовавшись списком из 10 миллионов самых популярных паролей. По нашим данным, пароли из этого списка использует всего 33% пользователей, а длительность атаки растет на три порядка.
Что нам дает эта информация? Вооружившись статистикой и словариком из
10 тысяч самых распространенных паролей, можно попробовать расшифровать файлы и документы пользователя даже в тех случаях, когда о самом пользователе ничего не известно (или просто не удалось получить доступ к компьютеру и извлечь его собственные пароли). Такая простейшая атака по списку из всего 10 тысяч паролей помогает следствию примерно в 30% случаев.
В первой части статьи мы воспользовались для атаки словарем, составленным из паролей самого пользователя (плюс небольшие мутации). Согласно статистике, такая атака работает примерно в 70% случаев. Второй метод — использование списка из top-10000 паролей из онлайновых утечек, что дает, снова согласно статистике, тридцатипроцентную вероятность успеха. 70 + 30 = 100? В данном случае — нет.
Разумеется, на перечисленных атаках процесс не останавливается. Подключаются собственные словари — как с популярными паролями, так и словари английского и национального языков. Как правило, используются вариации, здесь единого стандарта нет. В ряде случаев не брезгуют и старым добрым brute force: кластер из двадцати рабочих станций, каждая из которых укомплектована четырьмя GTX 1080, — это уже полмиллиона паролей в секунду для формата Office 2013, а для архивов в формате RAR5 и вовсе за два миллиона. С такими скоростями уже можно работать.
Разумеется, пароли к учетным записям, которые можно извлечь из компьютера подозреваемого, далеко не всегда помогут в расшифровке файлов и криптоконтейнеров. В таких случаях полиция не стесняется привлекать и другие методы. Так, в одном случае следователи столкнулись с зашифрованными данными на ноутбуках (системные накопители были зашифрованы с использованием BitLocker Device Protection совместно с модулем TPM2.0).
Читайте также: