Автор Тема: Появился вирус-шифровальщик для Linux (Прочитано 2012 раз)

Mimas · « : 08.11.2015 22:29:37 »

Источник: http://lenta.ru/news/2015/11/08/drweb/
Хотелось бы знать мнение специалистов, кто что может добавить, на сколько всё это реально? Только ли серверные системы могут поражаться? Все ли дистрибутивы в одинаковой степени могут быть подвержены этому?
Заранее благодарен за ответы.

Skull · « **Ответ #1 :** 08.11.2015 22:51:27 »

"При запуске с правами суперпользователя..." Дальше про банальный троян не мог читать. Это не вирус, он не размножается. А с чрутнутыми службами Альт Линукса нужно сильно постараться заразить машину. Для обычных пользователей скорее метеорит на голову упадёт.

asy · « **Ответ #2 :** 08.11.2015 23:11:16 »

Цитата: Mimas от 08.11.2015 22:29:37

Заранее благодарен за ответы.

Skull правильно написал, ничего нового. Черви, заползающие через слабые пароли по ssh, или на web-сервера через дырки в CMS давно известны. А тут просто добавлен функционал. Последствия будут зависеть от уровня доступа пользователя, под которым попали в систему. Разумеется, данные, в пределах прав доступа, зашифровать можно. Но вот то, что описано, подразумевает никак не меньше, чем попадание с правами суперпользователя, что невозможно в нормальной ситуации, если только в системе нет доступного локального root-эксплоита. Это, в общем-то, случается (ошибки, допускающие повышение привилегий), но совсем не часто, и, как правило, очень быстро фиксится.

alsoijw · « **Ответ #3 :** 09.11.2015 16:08:05 »

Надо же доктор веб продавать. Как же без рекламы.

yaleks · « **Ответ #4 :** 09.11.2015 17:50:37 »

Цитата: asy от 08.11.2015 23:11:16

если только в системе нет доступного локального root-эксплоита. Это, в общем-то, случается (ошибки, допускающие повышение привилегий), но совсем не часто, и, как правило, очень быстро фиксится.

только юзеры должны систему и ядро обновлять

И уметь fail2ban настраивать (хотя он сейчас не всегда эффективен, т.к. долбят с разных IP, но с единым центром управления).

rits · « **Ответ #5 :** 09.11.2015 19:54:41 »

Цитата: alsoijw от 09.11.2015 16:08:05

Надо же доктор веб продавать. Как же без рекламы.

Проверять на вирусы нужно и почту и шары если работаешь с группой людей. Не все пользуются Linux на десктопах. У меня жена из под альтов зашла в контакты через мозилу и подключила (видимо скрипт троянский сработал) мне на USB модем подписку, обнулив остаток на счете. Заметил только когда в личный кабинет зашел. А у обычного пользователя есть некоторые привилегии которых достаточно, чтобы гадостей наделать. Себя можно защитить и без антивирусов, а вот за всеми не уследишь нужна автоматизация.

Koi · « **Ответ #6 :** 09.11.2015 23:40:42 »

Цитировать

В настоящее время специалисты компании «Доктор Веб» работают над технологией, позволяющей с некоторой долей вероятности расшифровать данные, зашифрованные вредоносной программой.

Сами зашифровали, сами расшифровывают.

Если он шифрует весь корень, этож какую нагрузку на проц дает?

Dr.Web делает приличный антивирус для линукса, пусть развлекаются такой продукт должен быть.

Антон Мидюков · « **Ответ #7 :** 10.11.2015 05:27:29 »

Цитата: rabochyITs от 09.11.2015 19:54:41

У меня жена из под альтов зашла в контакты через мозилу и подключила (видимо скрипт троянский сработал) мне на USB модем подписку, обнулив остаток на счете. Заметил только когда в личный кабинет зашел.

Модем штука опасная. По невнимательности можно через интернет, что угодно подключить, и антивирусники, как правило, от этого не спасают. В-общем, эта лазейка операторами сотовой сети сделана, и только они её могут убрать. Но не убирают...

alsoijw · « **Ответ #8 :** 10.11.2015 15:36:09 »

Цитата: rabochyITs от 09.11.2015 19:54:41

Проверять на вирусы нужно и почту и шары если работаешь с группой людей. Не все пользуются Linux на десктопах. У меня жена из под альтов зашла в контакты через мозилу и подключила (видимо скрипт троянский сработал) мне на USB модем подписку, обнулив остаток на счете. Заметил только когда в личный кабинет зашел. А у обычного пользователя есть некоторые привилегии которых достаточно, чтобы гадостей наделать. Себя можно защитить и без антивирусов, а вот за всеми не уследишь нужна автоматизация.

Что нужно сделать, чтоб подключить на USB модем подписку?

Антон Мидюков · « **Ответ #9 :** 10.11.2015 15:45:56 »

Цитата: alsoijw от 10.11.2015 15:36:09

Что нужно сделать, чтоб подключить на USB модем подписку?

Нажать ссылочку и подтвердить своё согласие на подписку. Читать надо внимательно, перед тем как ок нажимать. Я модемом уже два года не пользуюсь. Помню один раз на такую ссылку попался, ответил нет и никаких проблем. А мог бы и не прочитать. Бывает же такое иногда, что бездумно жмём ок.

ARHAN · « **Ответ #10 :** 10.11.2015 16:16:04 »

Код: [Выделить]

В-общем, эта лазейка операторами сотовой сети сделана, и только они её могут убрать. Но не убирают

На YOTA нет такой лазейки,там не пропускают это.На мегафоне я тоже ловил подписку,оператор спецом наверно не закрывает эту бодягу,им же денежки с этого капают.

alsoijw · « **Ответ #11 :** 11.11.2015 16:48:19 »

Цитата: Антон Мидюков от 10.11.2015 15:45:56

Цитата: alsoijw от 10.11.2015 15:36:09
Что нужно сделать, чтоб подключить на USB модем подписку?

Нажать ссылочку и подтвердить своё согласие на подписку. Читать надо внимательно, перед тем как ок нажимать. Я модемом уже два года не пользуюсь. Помню один раз на такую ссылку попался, ответил нет и никаких проблем. А мог бы и не прочитать. Бывает же такое иногда, что бездумно жмём ок.

От этого антивирус не спасёт.

StolbovDV · « **Ответ #12 :** 11.11.2015 17:02:34 »

Цитата: Антон Мидюков от 10.11.2015 15:45:56

Нажать ссылочку и подтвердить своё согласие на подписку. Читать надо внимательно, перед тем как ок нажимать. Я модемом уже два года не пользуюсь.

Получить подписку можно ни с чем не соглашаясь, а просто нажать, например, на кнопку для скачивания к.л. файла.

Цитата: ARHAN от 10.11.2015 16:16:04

На мегафоне я тоже ловил подписку,оператор спецом наверно не закрывает эту бодягу,им же денежки с этого капают.

Лазейка очень просто закрывается через личный кабинет. Нужно создать отдельный счет для контент услуг и не пополнять его.

yaleks · « **Ответ #13 :** 11.11.2015 17:46:38 »

Цитата: http://www.opennet.ru/opennews/art.shtml?num=43299

Исследователи лаборатории Bitdefender проанализировали недавно анонсированное вымогательское вредоносное ПО Linux.Encoder.1, осуществляющее шифрование данных на серверах с Linux и FreeBSD, и нашли в нём серьёзный промах в организации процесса шифрования, позволяющий расшифровать данные без получения приватного ключа RSA. Результаты анализа послужили основой для написания Python-скрипта, автоматизирующего расшифровку и восстановление данных.

<...>

Суть ошибки разработчиков вредоносного ПО в том, что они использовали некриптостойкий генератор случайных чисел и оставили неизменным время модификации файла, т.е. данные о векторе инициализации AES. Оставленной информации оказалось достаточно для восстановления исходного ключа AES и позволило обойтись без дешифровки ключа с использованием метода RSA. Случайные значения для ключей и векторов инициализации получались через вызов rand() из стандартной библиотеки, который использует генератор псевдослучайных чисел, отталкивающийся от текущего системного времени. Системное время шифрования было сохранено в метаданных файла (время модификации файла), что позволяет восстановить состояние генератора случайных чисел и симулировать процесс формирования ключа на момент вредоносного шифрования.

Кроме того, стали известны подробности поражения серверов вредоносным шифровальщиком. Linux.Encoder.1 проникал в систему эксплуатируя уязвимость в платформе электронной коммерции Magento, позволяющую атакующему выполнить произвольный PHP-код на сервере.

alsoijw · « **Ответ #14 :** 13.11.2015 01:36:01 »

http://www.opennet.ru/opennews/art.shtml?num=43299

Форум сообщества
Альт Линукс