Ransomware в последнее время становится все более распространенной разновидностью зловредного ПО. Речь идет о программах-криптовымогателях, которые, заражая компьютер пользователя, шифруют все его данные, причем ключ находится на сервере у злоумышленника. После того, как ПК заражен, пользователю обычно предоставляют выбор — заплатить определенную сумму за расшифровку своих файлов или же смириться с тем, что они будут удалены через 2-3 дня. При этом жертве показывается таймер с обратным отсчетом времени.
Криптовымогателей довольно много, среди всего этого многообразия иногда встречаются очень любопытные экземпляры. Например, есть программа, которая ничего не шифрует, а просто безвозвратно удаляет файлы пользователя, притворяясь криптовымогателем. Да, программа просит денег, но никакого ключа пользователь не получает даже в случае оплаты. Все удаляется хоть с оплатой, хоть без нее. Еще одна программа удаляет по нескольку файлов в час, чтобы жертва находилась в состоянии стресса и быстрее заплатила. Недавно появился новый «штамм» ransomware, который использует самый оригинальный способ нажиться.
Несколько дней назад группа специалистов по информационной безопасности, называющая себя MalwareHunterTeam, обнаружила зловредный софт, названный своим создателем Popcorn Time. Только вот вместо пиратского контента программа предлагает иной способ развлечения своим жертвам. Пользователю, чей компьютер заражен этой разновидностью ПО, предлагают заразить компьютеры двух других людей, чтобы получить ключ для расшифровки собственных данных. То есть работает принцип, обычно используемый коммерческими предприятиями: «Приведи двух друзей и получи что-то бесплатно». Прямо электронная коммерция в чистом виде. Правда, для того, чтобы первая жертва получила ключ, две других жертвы, пришедшие по реферальной ссылке, должны заплатить. Без этого условия ключа не будет.
Чтобы усугубить ситуацию, разработчики Popcorn Time добавили еще одну функцию: если пользователь вводит код расшифровки неправильно 4 раза, файлы начинают удаляться. Понятно, что Popcorn Time никакого отношения к одноименному софту, предлагающему скачку медиаконтента с «пиратских» ресурсов не имеет.
Сумма, которую запрашивают злоумышленники за предоставление ключа дешифровки данных, очень немаленькая. Это 1 биткоин, что по нынешнему курсу равно около 760 долларам США. Причем просто так подсунуть файл не получится — пользователь, которого хочет заразить уже попавшаяся на уловку злоумышленников жертва, должен перейти по реферальной ссылке. Если два человека это сделают, то первый в этой цепочке человек, предположительно, может получить ключ.
Для того, чтобы с задачей мог справиться самый обычный пользователь, Popcorn Time при запуске показывает окно с объяснением всей ситуации (скриншот был размещен выше). Пользователь может либо просто заплатить, никого не обманывая, либо же пойти сложным путем и заразить ПК двух человек. Реферальная ссылка показывается тут же, под инструкцией. Кроме того, каждой зараженной системе присваивается уникальный ID, плюс пользователю показывается адрес, куда нужно отправить биткоины, если он все же решится это сделать.
При анализе исходного кода этого программного обеспечения оказалось, что его еще дорабатывают. Уже упомянутая выше функция «ввел код неправильно 4 раза — получил очищенный от данных ПК» еще не работает, но в коде уже прописана. Так что нельзя сказать, будет ли ПО действительно удалять файлы пользователя, если тот попробует угадать код, или же это блеф. В принципе, злоумышленникам ничего не стоит добавить такую функцию — обычно вопросы этики или морали разработчиков криптовымогателей и других типов зловредного ПО не слишком беспокоят.
Как происходит заражение
При запуске ПО проверяет, не запускали ли его на этом ПК раньше, для чего выполняется проверка файлов %AppData%\been_here и %AppData%\server_step_one. Если хотя бы один из файлов существует, ПО самоуничтожается, не заражая компьютер снова (да, разработчик этого зловреда не хочет казаться обманщиком, это очевидно). В противном случае загрузочный файл закачивает дополнительные файлы и запускает процесс шифрования.
Затем ПО ищет папку Efiles, «Мои документы», «Мои рисунки», «Мою музыку» и «Рабочий стол», после чего пытается обнаружить в ней файлы с определенным расширением, кодируя их с использованием AES-256 протокола шифрования. Обработанный криптовымогателем файл получает расширение .filock.
Вот список расширений файлов, которые ищет этот зловред, для того, чтобы их зашифровать:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmpВ процессе шифрования Popcorn Time показывает нечто вроде окна установки. Видимо, это делается для того, чтобы пользователь не подумал ничего дурного и чувствовал бы себя в безопасности.
После этого создаются два файла — restore_your_files.html и restore_your_files.txt. Программа открывает и демонстрирует пользователю первый файл, с расширением .html.
Специалисты, обнаружившие это ПО, заявляют, что оно может еще значительно поменяться, поскольку его создатель ведет активную работу по модифицированию зловреда.
Ключ реестра, связанный с этим ransomware: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run «Popcorn_Time» [path_to]\popcorn_time.exe. Хэши инсталлятора — SHA256: fd370e998215667c31ae1ac6ee81223732d7c7e7f44dc9523f2517adffa58d51.
Можно быть уверенным в том, что в скором времени появятся еще более интересные экземпляры криптовымогателей. Кстати, недавно один из зловредов поневоле сделал проезд для пассажиров железной дороги Сан-Франциско бесплатным. Это ПО заразило все платежные терминалы, так что пассажиры просто не могли заплатить и им разрешили кататься бесплатно (конечно, временно).
Комментарии (117)
Snakey
13.12.2016 01:43+10Не просто зарази двух друзей, а еще и заставь их заплатить. И, предположительно, все за семь дней.
___Сеееемь днеееей
ef_end_y
13.12.2016 01:48-3А заразить виртуалки никто не думал?
stigory
13.12.2016 02:00-1Первое, что пришло в голову в процессе чтения.
conformist
13.12.2016 09:08+12И самому заплатить с двух этих виртуалок.
ef_end_y
13.12.2016 11:45-2В статье сказано, что кроме того чтобы дать «друзьям» реферальную ссылку они должны заплатить чтоб тебя разблокировали?
Taciturn
13.12.2016 11:51+3Сказано:
Правда, для того, чтобы первая жертва получила ключ, две других жертвы, пришедшие по реферальной ссылке, должны заплатить.
batja84
13.12.2016 03:00Пользовался аппаратными донглами для разблокировки 3G/4G модемов и телефонов, так вот софт для этих донглов на 95% успешно определял, что запускается внутри виртуальной машины. Пришлось гуглить варианты модификации параметров виртуальной машины, чтобы она определялась как реальная. С 3-й или 4-й попытки получилось, но здесь уже нужно кое-какими знаниями обладать. Простой смертный работу со средой виртуализации должен для начала освоить, а если есть такая проверка в шифраторе, то ему это вряд ли удастся.
dmitryrublev
13.12.2016 13:28У вас получилось что-нибудь интересное узнать про эти донглы? В своё время была идея проснифать USB-порт, к которому был подключён модем в процессе разлочки, но я зафейлил это дело тогда.
ThunderCat
13.12.2016 03:28+1Затем ПО ищет папку Efiles, «Мои документы», «Мои рисунки», «Мою музыку» и «Рабочий стол»...
Долго не мог понять что за папка Efiles, только в гугле нашел упоминание, оказывается, в первых, «предрелизных» версиях, это была папка для тестирования работы криптера ). А в целом — хранить более-менее ценные файлы в вышеуказанных папках — надо быть сам себе злым буратиной. Разве что иногда на рабочий стол что-то временно кидать — но только для текущей работы и сортировки.
QDeathNick
13.12.2016 04:48Какая разница где хранить файлы?
AVX
13.12.2016 07:52+3Это пережиток со времён 98й винды, когда в случае краха системы и необходимости достать файлы нужно было загрузиться с какого-нибудь диска и скопировать файлы на другой раздел (или другой жёсткий). А прикол в том, что много программ просто не понимали кириллицу, или некорректно с ней работали, а некоторые портили названия и структуру папок. Да и дисков-то особо не было, поэтому зачастую загружались с виндового загрузочного и переставляли систему (данные на диске С терялись при этом). Потому и укоренилось в головах, что лучше данные хранить где-нибудь на другом разделе (на самом деле, это здравая мысль, на линуксах так изначально и задумано). Сейчас же нет значения, как называется папка, и где она лежит — практически все загрузочные диски нормально работают с кириллицей, и программы для восстановления тоже.
Qu3st
13.12.2016 08:35+2Можно сменить расположение выше упомянутых папок на другой диск.
ThunderCat
13.12.2016 12:28что не убережет вас в случае данного криптера, хотя и помогает в верной организации использованияя пространства дисков.
Impuls
13.12.2016 08:41Ну ка ну ка. Что там на линуксах задумано? Вы сейчас про папку home говорите? Так там она монтируется. И ее очень сильно рекомендуют монтировать из другого раздела на hdd, чтобы в случае переустановки и затирания / пользовательские файлы остались целыми. Я могу ошибаться, но, по моему, сейчас даже народная ubuntu начала по умолчанию так делать.
am_devcorp
13.12.2016 10:57Когда я 16.04 на ноутбук ставил методом далее-далее-готово, у меня не создалось отдельного раздела под home
~$ cat /etc/mtab | grep /dev/sd /dev/sdc2 / ext4 (...) /dev/sdc1 /boot/efi (...)Impuls
13.12.2016 11:01Значит все таки я ошибся. Но точно уверен что выбрать все точки монтирования на разные диски имеется.
Ubuntovod
13.12.2016 12:50Это рекомендуется, во всяком случае постоянно рекомендовалось на всех подряд ресурсах, авторитетных и не очень. Это точно было в те времена когда системы на базе ядра Linux не считались вещами, используемыми в виде «по умолчанию».
3aicheg
13.12.2016 09:26Да и до сих пор удобнее хранить файлы где-то на другом разделе в папке с простым и коротким именем латинскими буквами (типа D:\files), вместо какой-то стрёмной фигни, которая и называется не пойми как, и лежит не пойми где. Особенно если с этими файлами надо хоть иногда что-то делать через консоль. Да и винду переставлять всё ещё нет-нет да приходится.
rub_ak
13.12.2016 09:49Это удобно ещё и потому, что жесткий диск меньше фрагментируеться, и если системный раздел в начале диска на нем скорость выше.
ThunderCat
13.12.2016 12:21+2Это нифига не пережиток, а жизненный опыт и толика логики, система и данные должны лежать раздельно, в идеале на физически разных носителях. Я молчу о элементарной проблеме, когда кто-либо переставляет винду неопытному пользователю, и на вопрос «на системном разделе / диске есть что-то ценное?» получает вполне себе ожидаемый вопрос — «не, можешь стирать винду», и затем вопрос, «ой, а на рабочем столе тут фоточки мои лежали, где они?», для чайника это вообще нифига не одно и то же — диск ц и рабочий стол, скорее для него это 2 разных устройства ).
Краш системы по вине битости физического носителя тоже исключать нельзя, пару раз помогло именно то, что системная область посыпалась, а дорожки с данными выжили. Износ то на порядок ниже.
Еще один важный аргумент тут уже привели — захламление системного диска приводит к проблемам со свопом и нехваткой места. Короче, разбиение на партиции не дураки придумали.areht
13.12.2016 12:58> Короче, разбиение на партиции не дураки придумали.
Причём, задолго до появления винды
saboteur_kiev
13.12.2016 15:38Не от ОС зависит.
Партиции придумали с придумынием жестких дисков.
На дискетах и предыдущих носителях никто про какие-то партиции и не думал.areht
13.12.2016 16:38Не знаю на счёт «не от ОС зависит», а в DOS MBR внедрили с появлением жестких дисков, которые нельзя было в FAT12 разметить.
areht
13.12.2016 12:38> зачастую загружались с виндового загрузочного и переставляли систему
И? )
Если диск не отформатировать — ничего не потеряется.
springimport
13.12.2016 18:10Не стоит забывать что у многих (имхо) уже стоят ssd+hdd. Поэтому смысл хранить большие файлы отдельно на диске все же есть.
Areso
13.12.2016 08:54Если все нужные файлы уже на диске D, тогда
лечениепереустановку легко начинать с форматирования раздела C. Экономит время «тыжпрограммисту» и деньги пользователю.
Am0ralist
13.12.2016 09:59Вы сейчас про XP?
Ибо еще с висты все папки пользователя просто сбрасываются в папку windows.old и оттуда легко достаются.
Собственно именно этим я пару раз занимался, когда пользователи переустанавливали себе винду в последние годы, а потом понимали, что данные то были на рабочем столе.
Ну и грузануться с юсб, скопировать папку профиля на другой диск, после чего форматнуть и поставить заново можно достаточно легко любой при желании, если мозги заранее вставлены в голову. Даже не являясь «крутым хакером».Impuls
13.12.2016 11:44Вот только пользователи любят хранить всякую фигню на рабочих столах в адски больших количествах. У меня были случаи когда народ хранил на рабочем столе пару сотен гигабайт музыки, фильмов, и т.д. С фильмами проще всего: они большие и быстро перекидываются. А теперь представьте сколько времени будут перекидываться 100500 мелких файлов. А время то идет.
Ну и плюс производители ноутбуков с предустановленной виндой подсирают. Ставят винт терабайтник, делают один диск — и храни все свое барахло там. С фрагментацией тоже вопрос. Да и некоторые системные файлы не дефрагментируются.Am0ralist
13.12.2016 12:19Повторюсь: так и форматить не обязательно для переустановки.
Переброс файлов нужен, когда места для установки не хватает.ThunderCat
13.12.2016 12:25Это не обязательно, но значительно повышает скорость работы, ибо фрагментация и прочие прелести индексации кучи старых неиспользуемых файлов.
Impuls
13.12.2016 12:30Повторюсь. Некоторые системные файлы нельзя дефрагментировать. На современных ССД накопителях это не критично (но там и объем пока маловат, чтобы им так разбрасываться), но на стандартных HDD-шках вопрос, хоть и не стоит так остро как раньше на IDE, но все же скорость случайного доступа у них довольно ощутимая. Вот и приходится выбирать — лучше форматнуть диск и поставить все с нуля, либо ничего не делать, но тогда ОС будет загружаться и работать чуточку медленнее (и главное тут то, что эта мысль не дает мне уснуть))).
ИМХО самый идеальный вариант в такой ситуации — сменить расположение директорий Рабочего стола и Документов на другой диск.Pakos
14.12.2016 11:25+1O&O Defrag умел дефрагментировать всякие свопы и системные файлы (типа MFT), но пользовался им лет 5 назад последний раз.
QDeathNick
13.12.2016 12:22+1В итоге привели кучу примеров почему удобнее хранить файлы где-то, но они все никак не отвечают на вопрос, какая разница где хранить ценные файлы чтобы не быть самому себе злобным буратино.
Если человеку удобно хранить на рабочем столе, пусть хранит, главное понять, что единственный способ сохранить инфу, это бекапы, а не выбор места хранения.Impuls
13.12.2016 12:34Полностью согласен с Вами. Тут дело в том что мало кто из обычных пользователей задумывается над бэкапом, пока его это не коснется. Я своим сразу говорил перед переустановкой — все нужное с диска С, рабочего стола и моих документов — на другие диски, а кто не понял — я не виноват. Правда на всякий пожарный все равно делал бэкап профиля.
ThunderCat
13.12.2016 12:41Выше отписал аргументы по хранению на разных разделах, не все, есть еще куча, просто не вижу смысла писать статью тут на эту тему. По вопросу бэкапов — чисто из интереса — какой процент ваших знакомых реально задумывался о бэкапах хоть каких-то данных? У меня масса знакомых гиков, из них 3 админа, домашние архивы никто особо не заморачивается бэкапить, максимум в облако фотки сунуть. По моим наблюдениям — 1-5% могут озаботиться сохранностью какой-либо информации, из них 50% через день забывают об этих «заморочках» и живут на авось.
springimport
13.12.2016 17:18Годы идут, бэкапы все так же никто не делает. По опыту понял что иметь второй винт будет самое то. Инфу сливать можно раз в пару-тройку месяцев.
StalkerJS
14.12.2016 13:00Я вот использую рабочий стол как временную папку по принципу — скачаю, чтобы мозолило глаза и быстрее было разобрано. И совершенно не понимаю, почему я должен делать как-то иначе. Компьютер и ОС существуют для моего удобства, а не я для их обслуживания.
Impuls
14.12.2016 13:05И я тоже. Но я готов к тому, что эти данные могу потерять. Если мне они нужны — я позабочусь о их сохранности. А некоторые делают это бесконтрольно, и совершенно не заботятся о бэкапах.
Pakos
14.12.2016 11:21Ничего не помешает в следующей версии сканировать все папки. «Надо быть..., чтобы не делать бекапы» — это да, но это планета Буратин, тут большинство не делает (занимается жалкий процент айтишников, а данные есть у многих — хоть фотки на телефоне).
Finesse
13.12.2016 04:06-4Это нормально, что Windows позволяет изменять файлы пользователя программам без разрешения пользователя?
lexore
13.12.2016 07:56+6А как определить, когда с разрешения, а когда без разрешения?
Finesse
13.12.2016 09:02-6С разрешения — когда пользователь выбрал этот файл в диалоге выбора файла, который ОС показывает по просьбе программы.
JerleShannara
13.12.2016 19:29+2О, как классно будет тыкать «да, я это разрешаю», когда у меня квартус будет ворочать проект с парой тысяч файлов… Ну или выбирать их в окошке
Pakos
14.12.2016 11:30Дайте угадаю — вы не программист? Вы хотите «в диалоге выбираете файл» для абсолютно каждого затрагиваемого? Не захотите обратно после 5го такого?
Finesse
14.12.2016 11:37Я знаю, что программы обращаются к файлам сотни раз в секунду. Но они делают это либо с кучей своих файлов, либо с одним моим файлом, с которым я работаю. Со своими файлами программа пусть делает что хочет, а мои файлы только с разрешения.
Пример — браузер. В работе использует кучу файлов для кешей, кук и прочего, но мои файлы не трогает, поэтому ничего у меня спрашивать не будет. Спросит только, когда я захочу загрузить файл на сайт или скачать файл с сайта.
Ещё пример — торрент-качалка. Разрешаешь ей один раз директорию для записи, дальше программа пишет в неё скачанные файлы без дополнительных вопросов.
xomiakba
14.12.2016 11:54Офис (ПО), которому разрешено трогать ваши файлы в директории Мои документы.
DLL-инъекция, и привет вашим документам.
Тут либо спрашивать каждый раз, либо смысла нет.Finesse
14.12.2016 11:58По крайней мере не будет затронута вся система у пользователей, который хотя бы читают, что написано в диалоговых окнах. Тут либо подписывать ПО, либо ничего не спасёт.
xomiakba
14.12.2016 12:03Строго говоря, не спасет.
DLL-инъекция легко делается в тот же «подписанный» Explorer. Вы открываете папку с вашими файлами, и прям на глазах они шифруются.
Инъекция никаким образом не меняет CRC или подпись файла на диске. Код в DLL выполняется вполне легитимно в рамках процесса.
Pakos
14.12.2016 12:46Торрент-клиент, значит, может пошифровать все данные, к которым дотянется в своём каталоге.
А если это, прости ЛММ, эксплорер какой? Ему дали задание перенести 100500 файлов и для каждого нужно спрашивать? Или у него по умолчанию разрешено всё, но тогда именно он и станет целью. А если это IE/FF/GC сохраняет страницу, то он сохраняет не только html, но и связанные изображения, css и прочее — запрашивать разрешение на каждое? А если не просто сохраняется, а затирает предыдущее (aka меняет файлы)? Система, получается, должна знать какой файл выбрал пользователь в диалоге (иначе оно не сработает), т.е. никаких дефолтных названий файлов, никаких сейвов игрушек. Да ещё и сделать так, чтобы нельзя было эмулировать выбор пользователя через него. С архиваторами и пакетной обработкой тоже придётся распрощаться. Прямо мечта мышевоза.
DarkByte
13.12.2016 08:58+2А в каких ОС пользователю нельзя изменять свои файлы без разрешения от самого себя?
Impuls
13.12.2016 11:46+1chmod -r +w /home/username/filename.txt
И привет. Писать можно, читать нельзя.AlexBin
13.12.2016 12:34+1Имелось в виду, в каких ОС так сделано по умолчанию. Если каждому файлу разрешения менять, то это и в винде можно.
Impuls
13.12.2016 12:53+1Скорее всего где-то можно настроить такое поведение. Вопрос в том, что это дико не удобно. Меня например даже дико раздражает стандартный UAC от windows, а тут предлагается такой вопрос задавать на каждый чих. Если бы и была такая возможность, то я бы ее сразу отключал.
areht
13.12.2016 13:09+1> Если бы и была такая возможность, то я бы ее сразу отключал.
И такая возможность есть. И права доступа настраиваются в 3 клика, а read-only в 2. Вы слишком палите свою некомпетентность.Impuls
13.12.2016 13:58Read-only в 2 клика настраивается только для существующих файлов в папке. Новые файлы создавать можно, удалять read-only файлы тоже можно. Нельзя их только перезаписать. От шифровальщика режим read-only Вас не спасет.
Про 3 клика — это Вы про раздел безопасность в свойствах папки говорите? Так там если запретить запись для пользователя — тогда и новый файл не создать, и не появится запрос к пользователю: Точно это ты записываешь сюда, или это злой вирус? Просто при записи появится сообщение в доступе отказано, либо выскочит исключение в программе.
Скажу больше! Если на файле не стоит галка: только чтение, и права пользователя не урезаны вусмерть, то этот файл имеется возможность удалить без лишних вопросов.
Что-то мне подсказывает, что если шифровальщик наткнется на файл, который нельзя перезаписать — он постарается его удалить и рядышком создаст его зашифрованную копию (и хорошо если она (копия) там создастся (папка read-only))
А если вы имеете ввиду какой-либо другой способ сделать в 3 клика подобие UAC, только для файлов — так расскажите нам о нем. Будем рады.areht
13.12.2016 14:50+1> Так там если запретить запись для пользователя — тогда и новый файл не создать
Вы бы туда зашли хоть? Там разрешений несколько больше, флажок «запись».
> Просто при записи появится сообщение в доступе отказано, либо выскочит исключение в программе.
Обработка исключений — это проблема программы, а не ОС.Impuls
13.12.2016 15:25А Вы то сами пробовали туда тыкать? Ну давайте пройдемся вместе:
1. Полный доступ — ничего не можем делать. Тут все понятно.
2. Изменение — и сразу с ним устанавливается запрет на все остальное. В принципе аналогичен предыдущему. Разве что можно папку переименовать
3. Чтение и выполнение (сразу с ним устанавливается список содержимого папки и чтение). Не можем открыть папку, но можем скинуть в нее файл. Уже не плохо.
4. Список содержимого папки. Ок. Можем читать и писать, но не можем просмотреть.
5. Чтение. Не можем прочитать файл, и не можем просмотреть список файлов.
6. Запись. Можем читать и удалять, но не можем записывать.
С обработкой исключений я согласен что должна программа обрабатывать. Но разговор то мы начали с того, что в винде имеется некий аналог UAC, который может предотвратить несанкционированный доступ к файлам. Что-то пока Вы мне не доказали обратного.areht
13.12.2016 16:09+1> А Вы то сами пробовали туда тыкать?
Я ещё и мануал читал. Ну полезно, прежде, чем тыкать.
> Но разговор то мы начали с того, что в винде имеется некий аналог UAC
Не помню, что бы мы с такого начинали. На комментарий с фразой «в винде имеется некий аналог UAC» я бы не ответил.
Вы обвинили винду «в том, что это дико не удобно» в 3 клика настроить права. Раз вы обвинили — вам и доказывать.Impuls
13.12.2016 16:42Комментарий, с которого началась ветка
Вот там то я и упоминаю UAC и отсутствие его аналога для файлов. Более того в первом предложении я даже упомянул, что возможно и есть данная возможность, но я о ней не знаю. И уж тем более я не обвиняю никакую конкретную ОС, а UAC был упомянут лишь как пример, который у всех на слуху. А про права доступа это Вы себе чего-то там придумали и начали сыпать обвинениями. Я конкретно Вам пытаюсь доказать что настройка прав доступа к файлам != UAC, а просто костыль, да еще и не функциональный в виду того, что не выводится запрос на разрешение для пользователя.
Дико не удобно отвечать 100500 раз на вопрос: уверен ли я что хочу дать разрешение этому приложению, на доступ к этому файлу, а не менять права доступа. так что уж…areht
13.12.2016 16:52> Комментарий, с которого началась ветка
Вы же мой ответ читали?
Не знаю почему вы считаете, что UAC — не для файлов. Вы, видимо, не понимаете что буквы UAC вообще значат.Impuls
13.12.2016 17:02Выдержка из вики:
Список действий, вызывающих срабатывание
Вот (неполный) список действий, вызывающих срабатывание Контроля учётных записей пользователей:
Изменения в каталогах %SYSTEMROOT% и %PROGRAMFILES% — в частности, установка/удаление программы, драйверов и компонентов ActiveX; изменение меню «Пуск» для всех пользователей.
Установка обновлений Windows, конфигурирование Windows Update.
Перенастройка брандмауэра Windows.
Перенастройка самого Контроля учётных записей пользователей.
Добавление/удаление учётных записей.
Перенастройка родительских запретов.
Настройка планировщика задач.
Восстановление системных файлов Windows из резервной копии.
Любые действия в каталогах других пользователей.
Изменение текущего времени (изменение часового пояса не вызывает срабатывание Контроля учётных записей пользователей).
Вызов Редактора реестра.
Установка некоторых программ
Самое похожее тут: Любые действия в каталогах других пользователей.
Ради интереса включил UAC, и на папке запретил права на запись. UAC спросил хочу ли я записать туда чего-нибудь, но записать так и не смог.areht
13.12.2016 17:16> Ради интереса включил UAC, и на папке запретил права на запись. UAC спросил хочу ли я записать туда чего-нибудь, но записать так и не смог.
Да, тяжелая жизнь у тех, кто окружающий мир по википедии изучает…Impuls
13.12.2016 17:45Ну Вы то конечно не такой. Вы все изучаете в библиотеке по мануалам и исключительно в оригинале.
За всю нашу беседу Вы не привели ни одного аргумента и не доказали свою точку зрения. Лишь только кидаетесь ничем не подкрепленными обвинениями в том, что я не прав. Киньте в меня не какашкой, а ссылкой на мануал, или своими словами опишиите. Вполне естественно что собеседник может чего-то не знать, или не правильно понимать какие-то моменты. В приличном обществе принято указать на ошибку и рассказать как правильно. И совершенно не важно где будет размещено доказательство: на вики, или в MSDN. В любом случае собеседник проверит написанное там, и сделает правильные выводы.areht
13.12.2016 18:47> Вполне естественно что собеседник может чего-то не знать, или не правильно понимать какие-то моменты.
Конечно. Противоестественно прочитать вики и ждать, что я заполню пробелы. Медленно и 2 раза рассказываю как правильно: читать не википедию, а мануал. Лучше в оригинале. Особенно, когда не работает.
А для правильных выводов достаточно того, что, как вы убедились, при нехватке прав включается UAC и прекрасно работает. По крайней мере, если права настраивали не вы. Это, кстати, аргумент за мою точку зрения — вы некомпетентны и палитесь.
Giriia
13.12.2016 10:28+3Судя по моему скромному опыту, даже если будет всплывать ТРИ окошка с вопросом «Вы действительно хотите безвозвратно удалить эти файлы? Восстановление будет невозможно» то люди всё равно будут нажимать «Да» даже не читая.
А потом неделю истерить, что все мудаки и вообще я хотела перенести их в другую директорию а не удалять!vlivyur
15.12.2016 16:42В какой-то полезняшке из 90х чтоб нажать Стереть надо было написать «ДА, Я ДЕЙСТВИТЕЛЬНО ХОЧУ УНИЧТОЖИТЬ ВСЕ ФАЙЛЫ».
amarao
13.12.2016 14:08+3А вы хотите, чтобы вас спрашивали? Вы видели strace (или как он там в виндах называется) для вашей любимой программы? Несколько тысяч дисковых операций в секунду — как нефиг делать.
SergioBarbery
13.12.2016 07:43+1Создание пустых файлов %AppData%\been_here и %AppData%\server_step_one не подойдет в качестве прививки? Или там есть какие-то данные?
AVX
13.12.2016 08:11А следующая версия будет проверять что-то другое, а увидев только эти файлы, сотрёт всё к чертям и покажет картинку типа повар-расист.jpg :-)
mwizard
13.12.2016 08:39+2А как же совместимость с предыдущими версиями? :) Выпустил в продакшен — все, поддерживай…
sergarcada
13.12.2016 09:07+8«Для вашего вируса имеется 3 обновления. Установить сейчас?» И варианты: обновить и перезагрузить, отложить на 10 мин, отложить на 4 часа, установить windows 10.
mwizard
13.12.2016 09:17+4Интересно, а вот такие разработчики малвари — у них тоже есть билд-сервера и CI/CD? Багтрекеры на какой-нибудь JIRA, карточки в Trello, чаты в Slack, да и команда в духе SCRUM, с product owner-ом и user stories… :)
«Как инфицированный пользователь, я хочу включить компьютер и увидеть сообщение с требованием выкупа, чтобы заплатить выкуп и получить обратно свои файлы»QDeathNick
13.12.2016 12:29Конечно есть, а как иначе разрабатывать сложный совместный проект и отчитываться перед инвесторами.
Там и техподдержка есть с тикетами.
Sokol666
13.12.2016 11:40uac песочница и антивирус. Хотя ничего не поможет от бездумного нажимания кнопки [да]. В семерке есть резервная архивация, в восьмерке и далее история файлов. настраивается на ура, ничего сложного. Актуальные файлы всегда храню в папках по умолчанию, не зря же их придумали. История тянет их в сетевое хранилище плюс самое ценное архивится отдельно
QDeathNick
13.12.2016 12:31Вот, все бы так и рынок шифровальщиков загнулся бы
danyaShep
13.12.2016 13:38в любой момент готов к тому, что диск на любом компе сгорит. Всё нужное — в облаках.
Самое важное продублировано. Заметки, например, синхронизируются автоматически в 4 облачных сервиса сразу.
P.S. сижу на бесплатных аккаунтах, хватает более чем.areht
13.12.2016 15:00Синхронизация — это удобно, пока зашифрованный локером файл не синхронизируется в облака
danyaShep
13.12.2016 15:11Во многих облаках даже бесплатно есть история файлов на 30 дней.
QDeathNick
13.12.2016 16:19А есть такие облака, что нет истории? Пойду проверять, вроде у гугла проблем не было с ограничением истории, по крайней мере их родные доки хранятся по много лет.
AlexBin
13.12.2016 17:19В яндекс.диске кажется нет версионности файлов. Дропбокс и гугл платные. В контексте данной статьи бесплатный гугл и дропбокс не дадут необходимое место для страховки от шифровальщиков.
QDeathNick
13.12.2016 17:48А необходимое место это сколько?
AlexBin
13.12.2016 19:35Столько, сколько потребуется, чтобы туда влезли все уникальные данные пользователя, которые нельзя повторно скачать в интернете в том виде, в котором они жили до потери.
xomiakba
13.12.2016 15:21Ну во первых, есть весрии файлов. Во вторых, если на компутере писец — выдерни шнур, выдави стекло.
Pakos
14.12.2016 11:47А готовы ли к «извините, но облака улетели и передают вам привет»?
danyaShep
14.12.2016 14:29Такого ни разу еще не происходило со мной. Adrive после 8 лет службы перед закрытием бесплатных аккаунтов дал месяц и кучу предупреждений.
Чтобы внезапно закрылись гугл-драйв или дропбокс я не представляю. Данные они тоже потерять не могут от пожара, это не мелкий российский датацентр.
А диски у меня летели внезапно, и привет тоже передавали.
Повторюсь, что самое важное лежит сразу в нескольких облачных сервисах.Pakos
14.12.2016 15:28Жители Крыма тоже не представляли.
danyaShep
14.12.2016 18:40И что, у них теперь VPN не работает? Если так, пусть благодарят роскомпозор.
Pakos
15.12.2016 09:18Не все любят в гамаке и на лыжах, некоторые хотят просто пользоваться. «Подумаешь окно не закрывается, чуть надавил вверх, потянул ручку на себя и закрылось. Не сложно ведь».
danyaShep
15.12.2016 12:00+1любят в гамаке и на лыжах
— это про линуксоидов, которые у себя в кладовке серверную стойку держат для бэкапов.
Vjatcheslav3345
13.12.2016 12:56А почему не пытаются искать производителей малвари используя, скажем,
алгоритм нулевого пациента?
Alexeyslav
14.12.2016 12:10Смысла нет. Нулевых — тысячи, и все ниточки обрываются на прокси-серверах или узлах TOR-сети или вовсе на устройствах умного дома(общественная WiFi-лампочка, например, которую использовали как промежуточное звено).
olekl
13.12.2016 13:05А вот интересно, еще ни разу не находили создателей с целью провести терморектальный криптоанализ?
PlayTime
за 760 баксов можно купить два ноута и заразить их :)
nochkin
С этих ноутов кто-то должен ещё заплатить, а иначе не считается.
PlayTime
Действительно. Вот же ж я слепой. А я то думаю почему тут так все просто выглядит. Ну а тут получить 2 биткоина вместо одного вполне заманчиво.
gedon34
или виртуальные машины развернуть у соседа)
mickvav
Если бы автор зловреда еще сделал скидку в 49% для зараженных — был бы социально-инженерный вирус.
mickvav
Совсем треш будет, если автор такому агенту-распространителю вернёт какой-то процент «агентского вознаграждения».