Колко плащаме за "безплатните" програми...

Цитат:

"Бесплатный не значит бесплатный

Ни одна компания-разработчик антивирусов в мире не может выжить исключительно за счет распространения бесплатных решений. Всегда вендор должен получать доход, иначе компания обанкротится. Действительно, некоторые вендоры используют бесплатные продукты в качестве платформы для последующего обновления до коммерческого решения, но это справедливо только для гигантов индустрии. AVG нужно монетизировать анонимные данные и телеметрию от 200-миллионной аудитории. В этом нуждаются также Avast, Avira и другие крупные издатели бесплатных продуктов безопасности.

Неправильное использование личных данных означало бы самоубийство для антивирусной индустрии. Это не может произойти. Если вас беспокоят вопросы конфиденциальности, прочтите политику вашего антивируса. Только убедитесь, что у вас есть высшее юридическое образование, чтобы понять сложный формальный язык."

 

Your Antivirus Knows All About You

http://www.pcmag.com/article2/0,2817,2492599,00.asp

http://www.comss.ru/page.php?id=2684

 

Эксперт по компьютерной безопасности PCMag Н. Дж Рубенкинг проверил политики нескольких бесплатных антивирусных продуктов, после того как AVG Security обновила свою политику конфиденциальности, прояснив основные ее аспекты

AVG Security обновила политику конфиденциальности, чтобы прояснить основные ее аспекты. Вместо этого, неправильное толкование новой политики вызвало бурю критики.

Ваш антивирус знает чертовски много про вас. Он знает, какие программы Вы запускаете, потому что он должен убедиться в их безопасности. Он знает, какие веб-сайты Вы посещаете, потому что он должен предотвращать доступ к мошеннических ресурсам и сайтам с вредоносным ПО. Кроме того, антивирусные компании могут узнавать большое количество информации о пользователе в маркетинговых целях. Но это же нормально, не так ли? Недавняя попытка популярного антивирусного вендора AVG разъяснить свою политику конфиденциальности вызвало море критики и негодования.

Журнал Wired опубликовал статью о новой политике AVG под громким заголовком: “AVG может продавать данные браузерной активности рекламодателям”. Как выясняется, смелый заголовок был неточен. Детальное ознакомление с ситуацией подтвердило, что политика конфиденциальности AVG принципиально не отличается от конкурентов - просто она написана более простым языком и содержит прозрачные формулировки. Эксперт по компьютерной безопасности PCMag Н. Дж Рубенкинг проверил политики нескольких бесплатных антивирусных продуктов и также веб-сайта самого Wired.

Вы меня понимаете?

Для начала, Рубенкинг обратил внимание на общий объем и читаемость различных политик конфиденциальности. Слишком длинный документ с расплывчатыми или запутанными формулировками не помогает никому.

Политика конфиденциальности AVG оказалась самой короткой - около 2100 слов. На втором месте - политика компании Lavasoft, разработчика Ad-Aware Free Antivirus+ - 2500 слов. Примерно такой же объем документа у сайта журнала Wired. Чтобы ознакомиться с политикой конфиденциальности Avira Antivirus, придется изучить документ объемом в 4000 слов. Победителем стал Avast Free Antivirus - 9200 слов. Объем документа является не единственным критерием оценки, поэтому каждая политика была проверена с помощью специализированных испытаний на читаемость текстов. Инструмент Flesch Reading Ease присваивает каждому тексту рейтинг в диапазоне от 0 до 100 баллов. Более высокий рейтинг соответствует более простому и читабельному тексту. Avast, AVG, и Avira получили от 40 до 49 баллов, в то время как Ad-Aware и Wired набрали по 29 баллов каждый. Для сравнения последний обзор PCMag состоял из 3500 слов и получил 60 баллов за читаемость.

Другие тесты оценивают документы в зависимости от уровня образования, необходимого для понимания тестов. Avast, AVG, и Avira набрали чуть выше 12 баллов, а значит их способен понять любой выпускник школы. Чтобы понять политику Ad-Aware и Wired понадобится высшее образование.

Различные политики

Практически все политики пестрят излишнем многословием для разделения персональной информации от анонимных данных. Все политики заявляют, что компании могут обмениваться анонимными данными с третьими лицами. Кроме того, все документы объясняют, что персональные данные могут при необходимости использоваться в пределах компании, а для предотвращения злоупотреблений принимаются строгие меры. Пользователю сообщается, что при нажатии ссылки, ведущей на другой сайт, он становится объектом политики этого сайта.

Как и остальные рассматриваемые в статье продукты, Avast распространяется бесплатно, но, чтобы использовать антивирус более 30 дней требуется регистрация. Если Вы выберите вариант регистрации с помощью Facebook, вас может ждать сюрприз. Если Вы вручную не отключите соответствующую опцию, Avast может опубликовать на вашей стене следующие сообщения: “Я только что установил бесплатную версию Avast Antivirus. Мне он нравится. Если Вы хотите получить наилучшую защиту, загрузите Avast также, как и я”. Политика Avast очень прозрачно сообщает, что “мы не будем использовать информацию для прямых маркетинговых целей, если пользователь сам не включит подобную возможность”.

Еще один сюрприз подготовил мобильный антивирус Avast для Android. Приложение включает комплект разработчика ПО (SDK), который используется сторонними рекламодателями, и эти рекламодатели получают незначительные данные, включая возраст, пол и установленные на устройстве приложения.

Политика конфиденциальности Avira четко заявляет о том, что компания собирает персональные данные, включая имя, адрес, номер телефона и т.д. Документ сообщает, что компания не будет делиться этими данными со сторонними организациями не в рамках текущего заявления о конфиденциальности и законов о защите личных данных.

В политике Avira сказано: “Мы считаем, что более релевантные объявления улучшают работу в Интернете. Таким способом мы поддерживаем бесплатный статус некоторых продуктов и сервисов”. Политика AVG сообщает, что “мы собираем неличные данные для получения прибыли от бесплатных продуктов” - аналогичное заявление, только более прозрачное.

В политике Lavasoft для Ad-Aware было обнаружено несколько уникальных аспектов, которые больше не встречались нигде. Если пользователь публикует информацию на форуме, она становится публичной, а не личной, а значит компания не имеет никаких обязательство по защите этих данных. Кроме того, ваши данные проходят через поставщиков услуг Lavasoft, которые “не имеют никаких прав на любое использование персональной информации в целях, отличающихся от целей, для которых они получены в Lavasoft”. Как и остальные вендоры, Lavasoft оставляет за собой право поделиться обезличенными данными со сторонними организациями.

AVG и Wired

Так почему же автору статьи в Wired пришла в голову мысль, что “AVG продает данные о пользовательской активности в браузере рекламодателям”?  Рубенкинг считает, что компания AVG оказалась слишком осторожной. В политике конфиденциальности вендора указано: “Если нам станет известно, что по анализу какой-либо части пользовательских данных можно идентифицировать пользователя, мы будем рассматривать эту информацию как личные данные и постараемся обезличить их”. Подобная ситуация может случится с любым другим вендором. Просто другие компании даже не упоминает о возможности нахождения персональных данных в анонимной истории браузерной активности. Открыто объявив об этом, AVG приняла на себя огонь негодования. Еще одно заявление из политики конфиденциальности AVG проясняет ситуацию: “Мы не продаем и не предоставляем в аренду персональные данные третьим лицам”.

Учитывая, что статья Wired сделала из всего этого сенсацию, Рубенкинг посчитал нужным рассмотреть политику конфиденциальности онлайн портала wired.com. Авторы данного документа очень любят фразу: “в том числе, без ограничений”. Пункт за пунктом в тесте описываются категории данных, собираемых сайтом и его серверами. А что насчет следующей формулировки: “Мы можем продавать или обмениваться информацией о вас… включая регистрационные данные и другие персональные данные с материнскими и дочерними компаниями, партнерами и с другими компаниями, предлагающие сервисы, которые, по нашему мнению, будут интересны вам”. Действительно, без ограничений!

Среди всех изученных политик конфиденциальности, Wired задекларировал больше всего прав по сбору персональной информации и выполнении любых операций с ней. Даже не пытайтесь ограничить рекламное отслеживание с помощью функции Do Not Track, потому что в политике сказано: “На данный момент мы не поддерживает настройку Do Not Track (DNT) в браузерах или участие в платформах DNT”. Ну и конечно, в случае утечки данных “мы не несем ответственности за любую потерю подобной информации и за их последствия”. Можете самостоятельно ознакомиться с политикой конфиденциальности Wired, она заставит вас понервничать.

Бесплатный не значит бесплатный

Ни одна компания-разработчик антивирусов в мире не может выжить исключительно за счет распространения бесплатных решений. Всегда вендор должен получать доход, иначе компания обанкротится. Действительно, некоторые вендоры используют бесплатные продукты в качестве платформы для последующего обновления до коммерческого решения, но это справедливо только для гигантов индустрии. AVG нужно монетизировать анонимные данные и телеметрию от 200-миллионной аудитории. В этом нуждаются также Avast, Avira и другие крупные издатели бесплатных продуктов безопасности.

Неправильное использование личных данных означало бы самоубийство для антивирусной индустрии. Это не может произойти. Если вас беспокоят вопросы конфиденциальности, прочтите политику вашего антивируса. Только убедитесь, что у вас есть высшее юридическое образование, чтобы понять сложный формальный язык.

 

Редактирано 17 октомври 201510 г. от NIKISHARK (преглед на промените)

Колко плащаме за "безплатните" програми...

Добре известен, и много стар лаф. Антивирусните, знаят всичко за теб. Само че, не бих обвинявал само безплатните. Доста от платените, са на същия хал. А да беше само този софтуер, с мед да го намежеш.

Полезна програма за настройка на неприкосновеността  и сигурността във Firefox:

http://www.ghacks.net/2015/09/29/configfox-manage-advanced-firefox-privacy-and-security-settings/

Не е никак лоша...аз наскоро я мернах в MajorGeeks-a и сега виждам, че ти си я постнал преди доста време. Има и опции за компресиране\вакуум на SQLite базата с данни (подобно на SpeedyFox и CCleaner) и опция за дефрагментиране на профила и дори за създаването на бекъп....(може да замени дори MozBackup, но искам да тествам обстойно преди това).

А иначе добавката - Prefences Monitor

също не е никак лоша...хем за сигурността (като следи добавените промени в about:config от инсталираните добавки), хем може да почиства и боклуци останали от деинсталирани добавки (разбира се това се прави ръчно и трябва да се внимава, защото добавката е доста мощна и в неподходящи ръце, може дори да е леко опасна).

 

 

 

 

Не е никак лоша...аз наскоро я мернах в MajorGeeks-a и сега виждам, че ти си я постнал преди доста време. Има и опции за компресиране\вакуум на SQLite базата с данни (подобно на SpeedyFox и CCleaner) и опция за дефрагментиране на профила и дори за създаването на бекъп....(може да замени дори MozBackup, но искам да тествам обстойно преди това).

А иначе добавката - Prefences Monitor

също не е никак лоша...хем за сигурността (като следи добавените промени в about:config от инсталираните добавки), хем може да почиства и боклуци останали от деинсталирани добавки (разбира се това се прави ръчно и трябва да се внимава, защото добавката е доста мощна и в неподходящи ръце, може дори да е леко опасна).

 

 

 

 

https://addons.mozilla.org/en-US/firefox/addon/fox-web-security/?src=ss

Тази също е  полезна.В комбинация с още няколко-лисицата е много добре защитена

Препоръчвам ви да го гледате въпреки,че не малко клипчето.

"Неизвестные злоумышленники проникли в ряд MySQL-серверов по всему миру, объединили их в ботнет и используют для проведения DDoS-атак. На данный момент известно об атаках на хостингового провайдера из США и компанию с IP-адресом,зарегистрированным в Китае..."

Неизвестные злоумышленники проникли в ряд MySQL-серверов по всему миру, объединили их в ботнет и используют для проведения DDoS-атак. На данный момент известно об атаках на хостингового провайдера из США и компанию с IP-адресом,зарегистрированным в Китае.

Имена жертв не разглашаются. Сервера, в которые хакеры внедрили SQL-инжект, расположены более чем в десяти странах мира, большей частью в Индии, Китае, Бразилии и Нидерландах.

О количестве зараженных серверов специалисты умолчали. Очевидно, преступники выбрали их с целью обеспечить максимальную мощность атаки, так как для данных серверов характерна высокая пропускная способность, — обычно для того, чтобы добиться подобной мощности при организации DDoS-атаки, киберпреступникам приходится компрометировать намного больше менее мощных машин потребительского класса.

«MySQL — вторая по популярности система управления базами данных, — признали исследователи из  Symantec. — С помощью такого масштабного ботнета можно предпринимать атаки на высокопрофильные цели».

Атакующие использовали вариацию троянца Chickdos, который был обнаружен еще в 2013 году. «Выпустив» зловреда на сервер, злоумышленники внедряют SQL-инжект, который, в свою очередь, устанавливает вредоносную UDF-функцию на целевом сервере, после загрузки в MySQL она исполняется.

В этом случае UDF используется в качестве загрузчика, а также модифицирует строки регистра для активации терминальных сервисов (TerminalServices), чтобы обеспечить хакерам возможность удаленного контроля скомпрометированного сервера и создания новой учетной записи. Затем с двух вредоносных веб-сайтов загружаются две разновидности Chikdos. И если два года назад в ходе подобной кампании атакующие использовали червя для компрометации MySQL-серверов и установки UDF, в этот раз вектор атаки неизвестен.

ИТ-администраторам рекомендуется как можно быстрее проверить свои системы — исследователи уже предоставили хеши загрузчика и троянца для анализа. Кроме того, в качестве профилактики не стоит пренебрегать базовыми правилами безопасности — например, не злоупотреблять правами администратора и регулярно обновлять приложения, для работы которых нужны права администратора, также не допускать ошибок в коде, чтобы снизить возможность атак на основе SQL-инжектов, и проверять конфигурацию сервисов, требующих удаленного доступа к серверу.

http://www.comss.info/page.php?al=kiberprestupniki_prevrashchayut_MySQL_servera_v_boty

А, честито: KeeFarce краде данни от контейнера на KeePass. https://github.com/denandz/KeeFarce..

Включен вече и във вирусни дефиниции:

 

А защо, дявол го взел го пуска така в открит вид този?!!!! Тея white-hat хакери не са ги гушкали като малки ли, каква им е логиката?

Редактирано 3 ноември 201510 г. от Методи Дамянов (преглед на промените)

Краде само ако е отворена базата.

Трябват и админ права.

Повече тук:

http://news.softpedia.com/news/security-researcher-creates-tool-to-extract-passwords-from-keepass-databases-495684.shtml

Аз препоръчвам, който ползва VoodooShield да го включи в WebApss.

Dr.Web алармира-Криптиращ вирус за Linux

Цитат

Обнаруженная угроза внесена в вирусную базу компании «Доктор Веб» как Linux.Encoder.1. После запуска с правами администратора троянец загружает файлы с требованиями вирусописателей и файл, содержащий путь до публичного RSA-ключа, после чего запускает себя как демон и удаляет исходные файлы. Данный RSA-ключ в дальнейшем используется для хранения AES-ключей, с помощью которых троянец шифрует файлы на зараженном компьютере.

В первую очередь Linux.Encoder.1 шифрует все файлы в домашних каталогах пользователей и каталогах, относящихся к администрированию веб-сайтов. После этого шифровальщик рекурсивно обходит всю файловую систему: сперва начиная с каталога, из которого он был запущен, а следующим шагом — с корневого каталога «/». При этом шифруются файлы с расширениями из заданного списка и только при условии, что имя каталога начинается с одной из заданных вирусописателями строк.

http://www.comss.info/page.php?al=Troyanec_shifrovalshchik_ugrozhaet_polzovatelyam_Linux

Ако си пълен идиот, да инсталираш неизвестен файл с администраторски права, си заслужаваш криптирането. Също както, при Уиндоус да се биеш в гърдите, че не ползваш антивирусна и нямаш елементарна потребителска култура.  Ставаш клиент, на момчетата от HJT отдела.

Редактирано 7 ноември 201510 г. от ghostBG86 (преглед на промените)

Is Antivirus Dead?: Aryeh Goretsky, ESET,  октомври, 2015г, pdf, eng, 51 стр.

на 7.11.2015 г.,, NIKISHARK написа:

Dr.Web алармира-Криптиращ вирус за Linux

http://www.comss.info/page.php?al=Troyanec_shifrovalshchik_ugrozhaet_polzovatelyam_Linux

BitDefender вече имат декриптиращ  инструмент:

http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/

Dr.Web-разшифроването на криптирани данни от Trojan.Encoder.2843 е възможно

http://news.drweb.ru/show/?i=9689&c=5&lng=ru&p=0

Прави впечатление обаче,че тази "опция"е достъпна само за ползващите комерсиални лицензии за продуктите на Dr.Web

p.s.След като стана ясно,че криптиращите вируси,са сериозен и, в повечето случаи, неразрешим проблем ,имам чувството ,че започват да го обръщат на печалбарство  антивирусните компании...На всичкото отгоре(от Dr.Web) гаранции,за възстановяване не се дават...

Цитат

Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Компания «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.

 

Пазарна икономика. Всеки печели, на гърба на другия. Дано поне, могат да помогнат на повече хора. Макар че, за мен е по-важно антивирусните компании да подобрят защитата, срещу тия криптиращи бацили. А не, да подобрят печалбите си, от декриптиране.

преди 1 час, NIKISHARK написа:

Dr.Web-разшифроването на криптирани данни от Trojan.Encoder.2843 е възможно

А това кой криптор е? Защото ако е CoinVault те от касперски пуснаха безплатен инструмент с над 14к пароли за него. Иначе като цяло това са двете компании, които правят най-много в тази насока. Другите са с по вяли прояви като Eset, Avira, Emsisoft и доста независими разработчици.

преди 1 час, B-boy/StyLe/ написа:

А това кой криптор е? Защото ако е CoinVault те от касперски пуснаха безплатен инструмент с над 14к пароли за него. Иначе като цяло това са двете компании, които правят най-много в тази насока. Другите са с по вяли прояви като Eset, Avira, Emsisoft и доста независими разработчици.

Ако са от полза цитатите:

Цитат

Trojan.Encoder.2843

 

Добавлен в вирусную базу Dr.Web:	2015-11-02
Описание добавлено:	2015-11-09

SHA1 a72200e7d8918b8d76e74bbb74bdde4ae4f1b8a2

Троянец-шифровальщик, получивший широкое распространение после 2 ноября 2015 года. Проникает на компьютеры пользователей через вредоносную рассылку. В качестве вложения в рассылаемые злоумышленниками письма используется небольшой файл, содержащий сценарий на языке JavaScript. Этот файл извлекает из себя приложение, которое и выполняет остальные действия, необходимые для обеспечения работы энкодера.

Приложение полезной нагрузки также упаковано и при выполнении сохраняет в системный реестр Windows зашифрованную динамическую библиотеку (.DLL), а в запущенный процесс explorer.exe троянец встраивает небольшой код, который считывает файл из реестра в память, расшифровывает и передает на него управление. Сама библиотека упакована UPACK и занимает около 20 Кбайт.

Список шифруемых файлов Trojan.Encoder.2843 хранит в ветви системного реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\. Для каждого файла используется уникальный ключ длиной 0x38, состоящий из заглавных латинских букв. Шифрование файлов осуществляется с использованием алгоритмов Blowfish-ECB с длиной ключа 448 бит, максимальная длина шифруемого блока составляет 0x14000000 байт. Каждому зашифрованному файлу присваивается расширение .vault.

Сессионный ключ шифруется с использованием RSA при помощи интерфейса CryptoAPI.

 

Цитат

Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, ставших недоступными в результате действия опасного троянца-энкодера Trojan.Encoder.2843, известного пользователям под именем «Vault».

Данная версия шифровальщика, получившая по классификации Dr.Web наименование Trojan.Encoder.2843, активно распространяется злоумышленниками при помощи массовых почтовых рассылок. В качестве вложения в письма используется небольшой файл, содержащий сценарий на языке JavaScript. Этот файл извлекает из себя приложение, которое и выполняет остальные действия, необходимые для обеспечения работы энкодера. Данная версия троянца-шифровальщика распространяется со 2 ноября 2015 года.

Принцип работы этой вредоносной программы также весьма любопытен. В системный реестр Windows записывается зашифрованная динамическая библиотека (.DLL), а в запущенный процесс explorer.exe троянец встраивает небольшой код, который считывает файл из реестра в память, расшифровывает и передает на него управление.

Список шифруемых файлов Trojan.Encoder.2843 также хранит в системном реестре и для каждого из них использует уникальный ключ, состоящий из заглавных латинских букв. Шифрование файлов осуществляется с использованием алгоритмов Blowfish-ECB, сессионный ключ шифруется с использованием RSA при помощи интерфейса CryptoAPI. Каждому зашифрованному файлу присваивается расширение .vault.

 

Редактирано 11 ноември 201510 г. от NIKISHARK (преглед на промените)

Явно е VaultCrypt/CRYPVAULT

http://blog.trendmicro.com/trendlabs-security-intelligence/crypvault-new-crypto-ransomware-encrypts-and-quarantines-files/
http://www.bleepingcomputer.com/forums/t/570390/vaultcrypt-uses-batch-files-and-open-source-gnupg-to-hold-your-files-hostage/

Май други не са намерили решение за декриптиране освен Dr.Web. Може да се пробва с това, но според мен е за друг модел - CoinVault.

https://noransom.kaspersky.com/

Така че все пак браво и на Dr.Web. :)

Определено нещата с криптиращите вируси излиза от контрол.Адмирации за всички компании,които успяват да намерят решения в борбата с тях.Съмненията ми обаче, са в една ,не много приятна (евентуална)ситуация-ако не платиш на едните,плащаш на другите.Това ми мнение е насочено към безразборно "цъкащата"част от ползвателите в интернет.

Единствената възможна-повече четене и информация или я караш с пощенски гълъби....

Bitdefender предостави инструмент за разшифроване на файлове криптирани от Linux.Encoder.1

Подробна информация тук:

http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/?sm_id=SMGlobal

и тук:http://www.comss.ru/page.php?id=2727

Spoiler

Трояны-вымогатели, шифрующие пользовательские файлы, широко распространены в системах Windows. Это был только вопрос времени для появления подобных угроз на Linux. Dubbed Linux.Encoder.1 является первым образцом вымогателя для Linux и по своему поведению очень напоминает CryptoWall, TorLocker и другие печально известные семейства вымогателей для Windows.

Как это работает?

Linux.Encoder.1 исполняется на компьютере жертвы под управлением ОС Linux после того, как злоумышленники смогли воспользоваться уязвимостью в популярной системе управления контентом (CMS) Magento. При запуске троян выполняет поиск директории /home, /root and /var/lib/mysql и начинает зашифровывать ее содержимое. Также, как и аналогичные трояны для Windows, он зашифровывает файлы с помощью алгоритма AES (симметричный алгоритм блочного шифрования), который обеспечивает достаточную надежность и скорость при минимальном потреблении системных ресурсов. Затем симметричный ключ шифруется ассиметричным алгоритмом шифрования (RSA) и добавляется в файл совместно с вектором инициализации AES.

Когда файлы были зашифрованы, троян пытается также зашифровывать содержимое root (/), пропуская только критические системные файлы, поэтому операционная система сможет повторно загрузиться.

В этот момент можно с уверенностью предположить, что пользователи не смогут вернуть свои данные, если не заплатят определенный взнос операторам для получения приватного ключа RSA для расшифровки файлов, зашифрованных с помощью AES. Тем не менее, главная уязвимость трояна позволила исследователям Bitdefender восстановить ключ AES без расшифровки его с помощью приватного ключа RSA.

Подробнее о шифровании

На протяжении всего 2015 года большинство крипто-вымогателей использовали смешанные алгоритмы для “удерживания в заложниках” ценную информации. Для быстрого и эффективного шифрования больших объемов данных, крипто-вымогатели использовали алгоритм Advanced Encryption Standard (AES) - алгоритм шифрования, который использует симметричные ключи (один и тот же ключ для шифрования и расшифровки). Чтобы избежать перехвата ключа шифрования при переправке его из сервера управления, операторы крипто-вымогателей обычно дополняют AES алгоритмом RSA (алгоритм шифрования с ассиметричными ключами). RSA генерирует пару дополнительных общедоступного и приватного ключей - ключ общего пользования используется для шифрования, а приватный ключ для расшифровки. Эти ключи обычно генерируются на сервере хакеров, и только общедоступный ключ отправляется на машину жертвы. Так как, с точки зрения потребления ресурсов, RSA является менее эффективны алгоритмом при работе с большим объемом данных, публичный ключ используется только для шифрования небольшого, но критически важного участка информации: ключа шифрования, используемого AES, который генерируется на локальной машине. Зашифрованный по RSA ключ AES затем вставляется в начало каждого зашифрованного файла вместе с оригинальными разрешениями файла и вектором инициализации, используемым AES.

Ошибка на миллион долларов

Мы уже упомянули, что ключ AES генерируется локально, на компьютере жертвы. Исследователи Bitdefender рассмотрели способ генерации ключа и вектора инициализации путем анализа инженерного образца Linux.Encoder.1 в собственной лаборатории. Специалисты понимают, что вместо генерации защищенных случайных ключей и векторов инициализации, образец будет будет получать оба участка данных из функции libc rand(), которая привязана к метке времени в конкретный момент шифрования. Это серьезная уязвимость, которая позволяет извлекать ключ шифрования AES без расшифровки его при помощи общедоступного ключа RSA, продаваемого оператором трояна.

Доступен автоматизированный инструмент для расшифровки

Bitdefender является первым вендором антивирусного ПО, который выпустил инструмент для дешифрования, который автоматически восстанавливает инфицированные файлы в исходное состояние. Инструмент определяет вектор инициализации и ключ шифрования с помощью простого анализа файла затем выполняет расшифровку и исправление разрешений файлового доступа. Если Вы можете загрузить инфицированный компьютер, скачайте скрипт и запустите его с правами администратора.

Пошаговая инструкция по восстановлению доступа над файлами:

• Скачайте скрипт Decrypter_0.2.zip из репозитория лаборатории Bitdefender (есть вероятность, что шифрование повлияло на работоспособность системы, поэтому может понадобиться загрузка с загрузочного диска или загрузка инфицированного раздела на чистой машине)
• Смонтируйте зашифрованный раздел с помощью команды mount /dev/[encrypted_partition]
• Сгенерируйте список зашифрованных файлов с помощью команды /mnt# sort_files.sh encrypted_partition > sorted_list
• Выполните команду для получения первого файла: /mnt# head -1 sorted_list
• Запустите утилиту для дешифрования для получения начального блока шифрования: /mnt# python decrypter.py –f [first_file]
• Расшифруйте все файлы с использованием отображаемого ключа шифрования: /mnt# python decrypter.py –f [first_file]

Учитывая сложность задач, Bitdefender предоставляет бесплатную поддержку любому пользователю, которому требуется помощь. Отправьте комментарий с помощью формы на странице http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/?sm_id=SMGlobal и команда Bitdefender поможет устранить заражение.

Если ваша машина была взломана, рассмотрите меры безопасности. Большинство операторов крипто-вымогателей уделяют особое внимание способами генерации ключей, чтобы убедиться в сохранении зашифрованного состояния пользовательских платы до оплаты. Ошибки, подобные описанной, встречаются редко и являются большой удачей. В следующей раз примите профилактические меры: никогда не запускайте приложения, которым Вы полностью не доверяете. Неизвестные приложения могут представлять серьезный риск безопасности и вероятно инфицируют систему или нарушат целостность данных.

Регулярно делайте резервные копий данных. Если компьютер станет жертвой вымогателя, самым простым способом возвращения доступа будет восстановление файлов из резервной копии. Помните, что легкие деньги являются главным мотиватором для операторов крипто-вымогателей, которые разрабатывают данные угрозы и совершенствуют их. Чем меньше прибыли они получат, тем меньше их будет интересовать данная сфера.

Если ваше устройство на Linux является частью корпоративной сетевой инфраструктуры, Вы можете рассмотреть установку специализированного решения безопасности - Bitdefender Gravity Zone. Продукт блокирует данный тип угроз еще до того, как зловред сможет необратимо зашифровать файлы.

 

 

 

 

 

Редактирано 12 ноември 201510 г. от NIKISHARK (преглед на промените)

Още малко информация от Dr.Web за Linux.Encoder.1  - заразени са повече от 2000 сайта

Цитат

Основной целью злоумышленников, распространяющих троянца-шифровальщика Linux.Encoder.1, стали размещенные на серверах с установленной ОС Linux веб-сайты, работающие с использованием различных систем управления контентом (Content Management Systems, CMS) — в частности, WordPress, а также популярного программного комплекса для организации интернет-магазинов Magento CMS. Для атаки используется неустановленная пока уязвимость.

Получив несанкционированный доступ к сайту, киберпреступники размещали на нем файл error.php (в Magento CMS он помещался в служебную папку для хранения шаблонов оформления — /skin/). Этот файл играет роль шелл-скрипта и позволяет злоумышленникам выполнять иные несанкционированные действия — в частности, атакующие могут отдавать ему различные команды. С использованием данного шелл-скрипта они размещали на сервере в той же папке другой файл с именем 404.php, представляющий собой дроппер троянца-энкодера Linux.Encoder.1. Активизировавшись по команде злоумышленников (для этого им достаточно обратиться к PHP-файлу, набрав соответствующий адрес в адресной строке браузера), дроппер предположительно определяет архитектуру работающей на сервере операционной системы (32- или 64-разрядная версия Linux), извлекает из собственного тела соответствующий экземпляр шифровальщика и запускает его, после чего удаляется.

http://news.drweb.ru/show/?i=9699&c=5&lng=ru&p=0

Ваксина срещу Cryptowall 4.0 от Bitdefender

http://labs.bitdefender.com/projects/cryptowall-vaccine-2/bitdefender-offers-cryptowall-vaccine/

Без да претендирам за актуалност и дали това върши работа предоставям информацията.Може би B-boy трябва да си каже думата.

Както се спомена вече:http://labs.bitdefender.com/2015/11/russian-hackers-are-behind-cryptowall-4-0-bitdefender-creates-vaccine/

 

преди 3 часа, NIKISHARK написа:

Още малко информация от Dr.Web за Linux.Encoder.1  - заразени са повече от 2000 сайта

http://news.drweb.ru/show/?i=9699&c=5&lng=ru&p=0

Е значи, тоя криптор, засяга сайтове. Базирани на WordPress и една версия на интернет магазин.  Не видях, да заразява компютри, работещи с Линукс. А защо сървъри с Линукс, допускат подобна зараза, е въпрос за администрацията на тези сървъри. В текста пише, че криптиращия вирус, не му трябвало root права. Това не го вярвам, по-скоро някой администрацията, винаги ползва root права. Уж за по-лесно. Защото определени действия, могат да се направят само като root.

преди 14 часа, NIKISHARK написа:

Ваксина срещу Cryptowall 4.0 от Bitdefender

http://labs.bitdefender.com/projects/cryptowall-vaccine-2/bitdefender-offers-cryptowall-vaccine/

Без да претендирам за актуалност и дали това върши работа предоставям информацията.Може би B-boy трябва да си каже думата.

Както се спомена вече:http://labs.bitdefender.com/2015/11/russian-hackers-are-behind-cryptowall-4-0-bitdefender-creates-vaccine/

 

Туй Пламката го даде тук ;)

https://www.kaldata.com/forums/topic/247405-как-да-се-предпазим-от-cryptowal-и-как-да-съхраним-файловете/?do=findComment&comment=3235656

Лично аз го сложих до CryptoPrevent, но лошото е, че не е пасивна имунизация, а има процес, който стартира с Windows. Засега не мога да кажа дали работи и ако да, на какъв принцип работи и дали се дублира с правилата на CryptoPrevent. Интересното в случая е, че CryptoPrevent-a при инсталация сканира директориите за файлове разположени на нестандартни места и ги слага в изключенията (затова е добре да се слага на чиста система) и след това прилага правилата и после нови програми не могат да стартират от нестандартните места (ако това не им е позволено после ръчно). Говоря за програми, които си инсталират файловете в %appdata% като Screenpresso => C:\Users\username\AppData\Local\Learnpulse\Screenpresso или uTorrent => C:\Users\username\AppData\Roaming\uTorrent. Инструмента на Bitdefender-a не спря стартирането на тези файлове въпреки че има и защита в реално време и имунизация с правила да не стартират файлове от %appdata% и %startup%. Може би използва облак да проверява дали файловете са зловредени - нещо цифрови подписи, репутация, контролни суми - хешове (MD5, SHA256) или си има някакви дефиниции. Не знам, защото настройките му са изключително малко - няма изключения, няма лог файлове...но го приложих за всеки случай, защото румънците може наистина да са открили откъде се промъква CryptoWall и да запушват пробойната (макар че ако е чрез споделени папки или отдалечен десктоп, при мен са изключени малко след инсталирането на дадена ОС). Но не пречи да го имам инсталиран. Освен от CryptoWall пази и от CTB-Locker уж - а тези двата са от сигурните ransomware, където декриптирането е невъзможно, та за всеки случай да стои. PS: То не че и декриптирането да бе възможно щях да мога да го осъществя...за момента нямам много празно място за изпълнение на процедурата... ;)

 

Кой Protection level използваш на Cryptoprevent, ако не е тайна? И имаш ли специфични настройки в advanced?