мы все умрём, но не в этот раз
11-11-2015 11:22
к комментариям - к полной версии
- понравилось!
Недавно пробежала было новость о страшном зловреде-вымогателе, шифрующем файлы на серверах с Linux и FreeBSD: "После запуска Linux.Encoder на сервере жертвы производится шифрование файлов, доступных в рамках текущих привилегий доступа. В том числе шифруется содержимое директорий с компонентами web-сайтов, git- и svn-nрепозитории, директории с данными MySQL, файлы конфигурации nginx и apache httpd, содержимое домашней директории, бэкапы и файлы с такими расширениями, как ".php", ".html", ".tar", ".gz", ".sql" и ".js". Зашифрованные файлы снабжаются расширением .encrypted. Условия расшифровки размещаются в файле README_FOR_DECRYPT.txt, который копируется в каждую директорию с зашифрованными данными. Ключ для расшифровки предлагается получить на сайте, работающем в форме скрытого сервиса Tor." За ключ для расшифровки вымогатели требуют 1 биткойн (по курсу на время появления информации около 420 долларов).
Казалось бы, мы все умрём, или же будем платить и каяться за наплевательское отношение к обновлениям. Но и тут всё не столь однозначно, как могло показаться поначалу: "Исследователи лаборатории Bitdefender проанализировали недавно анонсированное вымогательское вредоносное ПО Linux.Encoder.1, осуществляющее шифрование данных на серверах с Linux и FreeBSD, и нашли в нём серьёзный промах в организации процесса шифрования, позволяющий расшифровать данные без получения приватного ключа RSA. Результаты анализа послужили основой для написания Python-скрипта, автоматизирующего расшифровку и восстановление данных."
В общем, умирать можно погодить. Не факт, конечно, что вымогатели не последуют советам, данным в заметке, и не переделают свою программу с учётом ошибок, но в любом случае пользователям/админам следует обратить внимание на следующий факт:
"Кроме того, стали известны подробности поражения серверов вредоносным шифровальщиком. Linux.Encoder.1 проникал в систему, эксплуатируя уязвимость в платформе электронной коммерции Magento, позволяющую атакующему выполнить произвольный PHP-код на сервере."
Ну, вы поняли. 8-)
вверх^
к полной версии
понравилось!
в evernote
Недавно пробежала было новость о страшном зловреде-вымогателе, шифрующем файлы на серверах с Linux и FreeBSD: "После запуска Linux.Encoder на сервере жертвы производится шифрование файлов, доступных в рамках текущих привилегий доступа. В том числе шифруется содержимое директорий с компонентами web-сайтов, git- и svn-nрепозитории, директории с данными MySQL, файлы конфигурации nginx и apache httpd, содержимое домашней директории, бэкапы и файлы с такими расширениями, как ".php", ".html", ".tar", ".gz", ".sql" и ".js". Зашифрованные файлы снабжаются расширением .encrypted. Условия расшифровки размещаются в файле README_FOR_DECRYPT.txt, который копируется в каждую директорию с зашифрованными данными. Ключ для расшифровки предлагается получить на сайте, работающем в форме скрытого сервиса Tor." За ключ для расшифровки вымогатели требуют 1 биткойн (по курсу на время появления информации около 420 долларов).
Казалось бы, мы все умрём, или же будем платить и каяться за наплевательское отношение к обновлениям. Но и тут всё не столь однозначно, как могло показаться поначалу: "Исследователи лаборатории Bitdefender проанализировали недавно анонсированное вымогательское вредоносное ПО Linux.Encoder.1, осуществляющее шифрование данных на серверах с Linux и FreeBSD, и нашли в нём серьёзный промах в организации процесса шифрования, позволяющий расшифровать данные без получения приватного ключа RSA. Результаты анализа послужили основой для написания Python-скрипта, автоматизирующего расшифровку и восстановление данных."
В общем, умирать можно погодить. Не факт, конечно, что вымогатели не последуют советам, данным в заметке, и не переделают свою программу с учётом ошибок, но в любом случае пользователям/админам следует обратить внимание на следующий факт:
"Кроме того, стали известны подробности поражения серверов вредоносным шифровальщиком. Linux.Encoder.1 проникал в систему, эксплуатируя уязвимость в платформе электронной коммерции Magento, позволяющую атакующему выполнить произвольный PHP-код на сервере."
Ну, вы поняли. 8-)
Комментарии (8):
Пр0грамм1ст
11-11-2015-11:36
удалить
Последний намек на то, что нужно использовать Bitrix24?
Кстати, среди разработчиков магенты мой бывший одногруппник.
Кстати, среди разработчиков магенты мой бывший одногруппник.
zerg_from_hive
11-11-2015-12:34
удалить
Пр0грамм1ст, ой. Битрикс -- это вообще комбайноподобная самодостаточная вещь в себе, даже с неким джаббероподобием внутре. Помнится, ещё долго ржали, ВНЕЗАПНО наткнувшись на автоматическую перезапись конфигов (в т.ч. my.cnf) при рестарте этого Битрикса. 8-)
А намёк (в стиле К.О. 8-) скорее на то, что за всеми этими е-коммерсами постоянно нужен глаз да глаз. Как по мне, так и битрикс -- штука стрёмная (кстати, то ли мне показалось, то ли в нём и правда хреновенько проработана связка с OpenLDAP без всяких там AD? оно-то не в тему, но осадочек остался).
А намёк (в стиле К.О. 8-) скорее на то, что за всеми этими е-коммерсами постоянно нужен глаз да глаз. Как по мне, так и битрикс -- штука стрёмная (кстати, то ли мне показалось, то ли в нём и правда хреновенько проработана связка с OpenLDAP без всяких там AD? оно-то не в тему, но осадочек остался).
Пр0грамм1ст
11-11-2015-14:51
удалить
Ответ на комментарий zerg_from_hive #
Обычно взламывают через WordPress. Мой сервак тоже так даже однажды взломали. А ведь у нас там висела банальная визитка. Так я нахрен удалил этот недо-CMS, вместе с апачем и пэхэпэхом. Поставил nginx и наверстал статических страниц :)
zerg_from_hive
11-11-2015-14:59
удалить
Пр0грамм1ст, а вот кстати да, в WP уж точно дырок хватает. Зато просто и интуитивно понятно. 8-)
Вот не помню только, через что именно одному товарищу битмайнера подсадили: то-то смеху было, когда обнаружилось, что практически все ресурсы проца пошли на биткойны для чужого дяди... 8-)
А для визитки действительно статики с nginx-ом выше крыши хватит.
Вот не помню только, через что именно одному товарищу битмайнера подсадили: то-то смеху было, когда обнаружилось, что практически все ресурсы проца пошли на биткойны для чужого дяди... 8-)
А для визитки действительно статики с nginx-ом выше крыши хватит.
у нас на работе такой вирус директор подхватил. Файлы зашифровали. Благо не все, успели остановить зашифровку. Но так и остались зашифрованными. Т.е. можно их расшифровать теперь? Но у него не линукс, а последняя винда. Или для винды еще не придумали расшифровку?
zerg_from_hive
16-11-2015-10:17
удалить
biba_, а это не этот, это другой зловред скорее всего. Может быть, вот этот?
http://techno.bigmir.net/technology/1580694-Po-ele...sja-virus--shifrujucshij-fajly
Но там пишут, что дешифровка ПОКА невозможна.
http://techno.bigmir.net/technology/1580694-Po-ele...sja-virus--shifrujucshij-fajly
Но там пишут, что дешифровка ПОКА невозможна.
Ответ на комментарий zerg_from_hive #
zerg_from_hive, да, кажется этот. Но вот удивительно, что до сих пор не расшифровали. Мне казалось всегда, что стоит только появится какому-нибудь вирусу и супермены-программисты тут же создают антивирус.
zerg_from_hive
16-11-2015-17:47
удалить
biba_, а это ещё смотря как зашифровано. Вот, например, авторы этой гадости под Линукс подошли к процессу спустя рукава -- и супермены этим тут же воспользовались. 8-) Но можно же и так зашифровать, что без соотв. ключа дешифрование или невозможно в принципе, или подбор вариантов будет идти неприемлемо долго.
Комментарии (8):
вверх^
Вы сейчас не можете прокомментировать это сообщение.
Дневник мы все умрём, но не в этот раз | zerg_from_hive - Бредовые мысли спросонья |
Лента друзей zerg_from_hive
/ Полная версия
Добавить в друзья
Страницы:
раньше»