Comments 74
Что мешает криптовирусу зашифровать сами файлы баз данных?
Файлы баз Pilot не известны для криптовирусов
Файлы вида «8352986c-a3e8-44bd-a8d0-0ab002553362» криптовирусы, скорее всего, шифровать не будут, т.к. это может повредить систему жертвы. Но даже если он поймет какой именно файл является базой, ему помешает еще один фактор. В системе Pilot сервер приложений и СУБД объединены в один процесс PilotServer.exe, а криптовирусы убивают процессы перебирая конечный список СУБД командами типа 'taskkill.exe /f /im sqlserver.exe'.
криптовирусы, скорее всего, шифровать не будут
Т.е. вся эта защита по типу Неуловимого Джо?
Файл без расширения.
1) Как он его найдёт, чтобы зашифровать?
2) Как он определит, что это не файл, отвечающий за работу самой операционной системы? Выкуп никто не заплатит, если не увидит сообщение с требованием выкупа.
1) Как он его найдёт, чтобы зашифровать?
2) Как он определит, что это не файл, отвечающий за работу самой операционной системы? Выкуп никто не заплатит, если не увидит сообщение с требованием выкупа.
1) FindFirstFile, FindNextFile
2) GetWindowsDirectory, GetSystemDirectory, SHGetSpecialFolderPath
2) GetWindowsDirectory, GetSystemDirectory, SHGetSpecialFolderPath
Это просто WinAPI методы. Как выглядит предполагаемый вами алгоритм их вызова в криптовирусах?
Найти и зашифровать все доступные на запись пользовательские папки и файлы, кроме папки с операционной системой и, может быть, папки Program Files. Или вы храните свои архивы в C:\Windows\System32?
Найти и зашифровать все доступные на запись пользовательские папки и файлы
Ладно допустим, а что он сделает, если сервер всё-таки на линуксе будет?
Серверную часть можно установить и на Linux
caduser,kompas_3d
Ребят, вы сперва договоритесь между собой, у вас серверная часть на Linux или криптовирус не может зашифровать файлы, потому что у них нет расширения :)
В своём изначальном комментарии я исходил из вот этого высказывания caduser.
Ребят, вы сперва договоритесь между собой, у вас серверная часть на Linux или криптовирус не может зашифровать файлы, потому что у них нет расширения :)
В своём изначальном комментарии я исходил из вот этого высказывания caduser.
Вы правы, теоретически так может сработать. Но почему криптовирусы так не делают?
Как решается с размером диска — а то получается увеличивается размер хранимых данных, а свободного места обычно меньше 20% от общего размера диска.
Интересно столько написано статей о WannaCry А как они получают информацию кто заплатил? Столько зараженных машин и надо контроль вести учета кого разблокировать. Скорее всего они каким то образом связываются с клиентом скажем так? Или в вирусе прописано с какого кошелька отправлено? Как происходит вся система оплаты?
Это не к нам вопрос наверно) Это лучше у представителей антивирусных компаний узнать.
Где-то в комментариях видел, что суммы выкупа якобы разные, видимо, по ним и определяют. Но не факт, что это правда.
В многочисленных статьях о WannaCry на хабре была информация о том, что данный зловред не дешифрует файлы после получения требуемой суммы. Думаю данная информация отвечает на ваш вопрос.
Я где то читал что дешифрует? Хорошо Взять Vault они в принципе схожи чем то? Как понимают что отправил деньги именно тот пользователь?
Проблему в коде малвари заметили специалисты Symantec Security Response. По их словам, в код WannaCry закрался баг, который провоцирует состояние гонки (race condition) и не дает шифровальщику генерировать уникальный биткоин-адрес для каждой отдельной жертвы. Из-за этого вымогатель оперирует только тремя известными специалистам кошельками и не имеет возможности проследить платежи, поступившие от конкретных пользователей.источник
Скорее всего, именно этим объясняется тот факт, что пока никто не сообщал о пользователях, которые благополучно расшифровали бы свои файлы после выплаты выкупа. Эксперты полагают, операторы WannaCry попросту не могут восстановить файлы некоторых жертв.
Статья не интересная.
О боже мой Система контроля версий защищена от порчи данных на стороне клиента! КТо бы мог подумать!
О боже мой Система контроля версий защищена от порчи данных на стороне клиента! КТо бы мог подумать!
Скорее о том, как пользователям Pilot-ICE восстановить данные если заражение произошло на сервере и/или на клиенте.
В данном случае статья о том, как PDM-система защищена от порчи данных на стороне клиента. Система контроля версий — это способ реализации этой защиты. Наши пользователи не всегда знают, что такое система контроля версий, но они заинтересованы в сохранении собственных данных. Эта статья может быть дополнительным аргументом для IT-специалистов предприятий, чтобы убедить руководство и инженеров установить PDM-систему.
Извините, но такое чувство что автор этого ПО пытается «сорвать покровы» — наличие резервной копии любых данных в удаленном хранилище сводит опасность криптера к минимуму (и это в современном ИТ мире является стандартной практикой, как говорится админы делятся на 2 типа — те, кто делает бэкапы, и те, кто уже делает бэкапы). Кроме того, достаточно сомнительно выставлять преимуществом низкую популярность ПО (целью криптера оно не было и его авторы едва ли знали о существовании вашей системы).
Пользователи Pilot хранят в системе весьма популярные для криптовымогателей типы файлов (PDF, DWG, DOCX и т.д. Но данные на сервере хранятся без признака типа. Это не было самоцелью при разработке, но такой побочный эффект при встрече с криптовирусами.
наличие резервной копии любых данных в удаленном хранилище сводит опасность криптера к минимуму
В самом начале стать:
Рассматриваем самый экстремальный случай, когда резервной копии нет.
А разве файлы на вашем сервере — это не аналог резервной копии?
Ага, а потом автор берет и восстанавливает файлы с бэкапа (и не важно как он его называет, PDM/архив/копия/etc по сути это и есть бэкап, формат/местохранения которого просто не занесены в сигнатуры вируса из-за непопулярности данного ПО).
«по сути это и есть бэкап, формат/местохранения которого просто не занесены в сигнатуры вируса»
>
Какую сигнатуру можно применить для файлов и папок вида
de736101-7c5b-4a90-ace9-a23a7f4e10a9
010d397a-cf8b-4c0a-87c1-604b1cd010a1
7888f5ac-e357-4898-8ee6-93d760f1109f
…
?
>
Какую сигнатуру можно применить для файлов и папок вида
de736101-7c5b-4a90-ace9-a23a7f4e10a9
010d397a-cf8b-4c0a-87c1-604b1cd010a1
7888f5ac-e357-4898-8ee6-93d760f1109f
…
?
Что мешает криптотрояну посмотреть в реестре, в какую директорию вы установились, и зарубить там всё не глядя?
Вы правы, криптовирус может посмотреть в реестре директорию установки (по умилению это C:\Program Files...). Там он найдет исполняемые файлы уничтожение которых приведёт к неработоспосбности Pilot-Server, но данных там нет. Данные хранятся отдельно, в директориях, известных только службе PilotServer.exe
А если криптовирусы всё-таки начнут определять тип содержимого не по расширению а по начальной сигнатуре, как делают даже простые просмотрщики картинок?
Так самый простой просмотрщик картинок весит в разы больше, чем самый сложный вирус. Такой вирус может и во вложение к письму не влезть)
UFO just landed and posted this here
Библиотека libmagic.so у меня в линуксе весит аж целых 146KB, причем она умеет определять огромное количество форматов. Уверен что для целевых файлов вируса такой libmagic будет занимать на порядок меньше.
Посмотрим применят ли разработчики вирусов предложенное вами решение. Если применят, то как вариант — опциональное шифрование тел файлов в файловом архиве сервера. Возможно, с небольшим ущербом скорости доступа.
А сколько всего библиотек нужно установить на линукс, чтобы WannaCry заработал?)
Понятно, что WannaCry не работает под Linux, зато libmagic вполне себе кроссплатформенная штука. Я это всё к тому, что очевидно единственный способ надежно спасти файлы это держать бэкапы на удалённой системе, версионирование которой не даст вирусу возможности удалить файлы, даже если произойдет бэкап после шифрования. Спасение файлов на локальной системе это security by obscurity в любом случае.
Согласен, security by obscurity здесь присутствует. Ни в коем случае не пытаюсь представить описанный эксперимент как пример надежной защиты. Скорее побочный эффект от технического решения в конкретной системе и принципа работы известных на данный момент криптовирусов. Надеюсь кому-то пригодится с точки зрения понимания работы как первого так и второго, а кому-то и данные спасти.
Резервные копии хранятся на той же системе, но в файлах с расширением не знакомым для вируса?
Странное решение, возьмут и добавят это расширение в код вируса. По сути это аналог других программ для бэкапа только с меньшими возможностями.
Странное решение, возьмут и добавят это расширение в код вируса. По сути это аналог других программ для бэкапа только с меньшими возможностями.
Это не бэкап. Это PDM-система.
«но в файлах с расширением не знакомым для вируса?»
>
В файлах без расширений. Для вирусов это файлы вида «8352986c-a3e8-44bd-a8d0-0ab002553362»
>
В файлах без расширений. Для вирусов это файлы вида «8352986c-a3e8-44bd-a8d0-0ab002553362»
Функция бэкапа в данном случае не более чем приятная возможность. Основная функция программы — это согласование документов и их последующее хранение.
Передавайте привет Седову Вячеславу Ивановичу! (Честно говоря, это «замазывание» своей функции не выполняет)
А зачем на скринах такой странный блюр? Через него всё читается успешно даже глазами без особого напряга, это какие-то секретные данные?
В целом, можно характеризовать как "храните свои данные в облаке с "корзиной" для удаленных файлов",
Скажите пожалуйста, это у меня одного проблема с неподписанными драйверами подключаемого хранилища на вин 10? Тикет вроде давно заводил, но никаких исправлений не видно. А потестировать ваш пдм хотелось бы
Хотите расшифровать файлы читайте здесь: Расшифровать файлы после WannaCry
Вариант есть
Sign up to leave a comment.
Как система управления инженерными данными спасает файлы от уничтожения криптовирусами