Вирусы-вымогатели

Maxxx

420244
Реєстрація
01.12.08
Місто
Київ
Телефон
iPhone 12 Pro Max
ПотапаПапа, можно, но только тебе вручную их лить надо будет (или останавливать-запускать синхронизацию каждый раз после создания копии), иначе вирь побьет и оригиналы, и копии - а Гугл диск их прилежно поменяет на облаке. Есть у тебя внимание и время еще за этим следить? Думаю, нет..
 
Реєстрація
29.05.09
Місто
Kyiv
Телефон
Samsung A72
Вик Влад, Смотри. Последний вирус пытался шифровать главную загрузочную запись (MBR). В случае потери MBR ты получишь не бекап своих файлов на линукс разделе, а неразмеченный жесткий диск с утраченными разделами (вин, линукс - пофиг).
Ну типа можно пытаться восстановить таблицу разделов, и даже местами удачно. Но оно тебе надо?
Кроме того, диск может просто сдохнуть по техническим причинам. ИМХО, стоит подумать над другими вариантами.


ПотапаПапа,
Maxxx,
Если файлы бекапов доступны вирусу и он захочет шифровать такой тип файлов - разбираться где более новая,старая копия он не станет. Другое дело, что гугл.диск хранит снепшоты (прошлые версии файлов, в случае изменения). Лично я бы надеяться только на снепшоты не стал. Но, если кто-то настолько готов положиться на гугл, - проверьте что он действительно сохранит снепшот файлов именно вашего размера и типа, после того как они были изменены.

Тестирование восстановления - не менее важная часть политики резервирования, чем план копирования.
 

Maxxx

420244
Реєстрація
01.12.08
Місто
Київ
Телефон
iPhone 12 Pro Max
Вик Влад, Смотри. Последний вирус пытался шифровать главную загрузочную запись (MBR)

Перечитал еще раз.. действительно, не учел.. Подумал, что в одном компе стоят два разных винта - с Виндой и Линухом.

Но, если кто-то настолько готов положиться на гугл, - проверьте что он действительно сохранит снепшот файлов именно вашего размера и типа, после того как они были изменены.

Полностью согласен. Особенно касается файлов больших размеров и со сложной структурой. Надеяться надо только на себя. :)
 
Реєстрація
29.05.09
Місто
Kyiv
Телефон
Samsung A72
Перечитал еще раз.. действительно, не учел.. Подумал, что в одном компе стоят два разных винта - с Виндой и Линухом.
Макс, в большинстве случаев копирование на линукс раздел сработает. Т.к. затирание МБР не характерное поведение для большинства вирусов. Но после Пети лучше перебдеть.
 

Паук

Пивовар
Команда форуму
Реєстрація
27.10.07
Місто
Полтава
Телефон
(M) forever
Последний вирус пытался шифровать главную загрузочную запись (MBR). В случае потери MBR ты получишь не бекап своих файлов на линукс разделе, а неразмеченный жесткий диск с утраченными разделами
Если только mbr - фиг с ней, загрузиться можно с флехи, главное чтобы таблица разделов осталась. А вот если стирает разметку диска, тогда ой. Прийдется плясать с восстановителями...
 

Maxxx

420244
Реєстрація
01.12.08
Місто
Київ
Телефон
iPhone 12 Pro Max
x-shader, это может стать тенденцией - никто не ждал такого, так что бдеть уже надо наверняка.

Добавлено через 34 секунды
А вот если стирает разметку диска, тогда ой. Прийдется плясать с восстановителями...

Ну так Петя именно так и делал.
 
Останнє редагування:
Реєстрація
29.05.09
Місто
Kyiv
Телефон
Samsung A72
Если только mbr - фиг с ней, загрузиться можно с флехи, главное чтобы таблица разделов осталась. А вот если стирает разметку диска, тогда ой. Прийдется плясать с восстановителями...
MBR включает таблицу разделов. +загрузчик.
 

Prorab

Skylark
Реєстрація
21.11.07
Місто
Черноморск
Телефон
Redmi N8P
Реєстрація
06.04.09
Місто
Київ
Телефон
Samsung Galaxy S22Ultra
Киберполиция: ряд компаний заразили себя вирусом Petya для уклонения от штрафов

По одной из ссылок вирус был скачан на 400 компьютеров.

Ряд украинских компаний намеренно заразили свои компьютерные системы вирусом Petya, чтобы скрыть преступную деятельность и уклониться от уплаты штрафов.

Об этом сообщается на сайте Киберполиции. Отмечается, что мероприятия по привлечению руководства таких компаний к ответственности уже ведутся.

Установить эти факты удалось после того, как Киберполиция разоблачила 51-летнего жителя Никополя на распространении вируса Petya.

Он в файловых обменниках и социальных каналах сети Интернет выложил видео с подробным описанием того, каким образом можно запустить вирус на компьютерах. В комментариях к видео мужчина разместил ссылку на свою страницу в социальной сети, на которую он загрузил сам вирус.

С его страницы вирус был скачан на около 400 компьютеров.

По месту жительства мужчины провели обыск, решают вопрос об объявлении ему подозрения.
 

Pluse

Вскрыватель хайдов
Реєстрація
19.11.14
Місто
Запорожье
Nikitos, можно, но только если в соцсетях выложить.

14:55, 18-08-2017 СБУ попереджає
про можливу нову кібератаку на мережі українських установ та підприємств і просить дотримуватися розроблених рекомендацій

Служба безпеки України попереджає про можливу нову кібератаку на мережі українських установ та підприємств і просить дотримуватися розроблених рекомендацій.

Як відомо, 27 червня цього року Україна піддалась масштабній кібератаці з використанням шкідливого програмного забезпечення ідентифікованого як комп’ютерний вірус «Petya».

Під час аналізу наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України (електронні пошти, паролі до облікових записів, які використовуються підприємствами та їхніми співробітниками, реквізити доступу до командно-контрольних серверів і хеш-дані облікових записів користувачів в уражених системах та інша інформація, яка відсутня у відкритому доступі), з подальшим їх приховуванням у файлах cookies та відправленням на командний сервер.

Фахівці СБУ припускають, що саме ця інформація і була ціллю першої хвилі кібератаки та може бути використана справжніми ініціаторами як для проведення кіберрозвідки, так і в цілях подальших деструктивних акцій.
Про це свідчить виявлена фахівцями під час дослідження кібератаки «Petya» утиліта Mimikatz (інструмент, що у т.ч. реалізує функціонал Windows Credentials Editor і дозволяє отримати високопривілейовані аутентифікаційні дані з системи у відкритому вигляді), яка використовує архітектурні особливості служби Kerberos в Microsoft Active Directory з метою прихованого збереження привілейованого доступу над ресурсами домену. Робота служби Kerberos базується на обміні та верифікації так званих квитків доступу (TGT-квитків).

У регламентах з інформаційної безпеки більшості установ та організацій зміна паролю користувача krbtgt не передбачена.

Таким чином у зловмисників, які внаслідок проведеної кібератаки «Petya» несанкціоновано отримали адміністративні відомості, з'явилася можливість генерації умовно безстрокового TGT-квитка, виписаного на ідентифікатор вбудованого адміністратора системи (SID 500). Особливістю згаданого TGT-квитка є те, що за умов відключення скомпрометованого облікованого запису, аутентифікація по Kerberos буде легітимною та сприйматиметься системою. Для підвантаження TGT-квитка в адресний простір операційної системи root-повноваження не потрібні.
З огляду на наведене, а також враховуючи тривалий час знаходження в скомпрометованих 27.06.17 інформаційно-телекомунікаційних системах шкідливого програмного забезпечення, яке за своїми прихованими функціями могло виконувати підготовчу фазу для реалізації другої хвилі атакуючих дій шляхом перехоплення реквізитів керування доступом та політиками безпеки в ІТС, системним адміністраторам або уповноваженим особам з інформаційної безпеки таких систем рекомендовано у найкоротший термін провести такі дії за наведеним порядком:

здійснити обов’язкову зміну паролю доступу користувача krbtgt;
здійснити обов’язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС;
здійснити зміну паролів доступу до серверного обладнання та до програм, які функціонують в ІТС;
на виявлених скомпрометованих ПЕОМ здійснити обов’язкову зміну всіх паролів, які зберігались в налаштуваннях браузерів;
повторно здійснити зміну паролю доступу користувача krbtgt;
перезавантажити служби KDC.
Рекомендуємо у подальшому уникати збереження в ІТС автентифікаційних даних у відкритому вигляді (використовувати для таких цілей спеціалізоване програмне забезпечення).

Прес-центр СБ України https://ssu.gov.ua/ua/news/1/category/21/view/3801#.rRKvUj1h.dpbs
 
Реєстрація
02.11.08
Місто
Винница
Телефон
Xiaomi Redmi 5, Meizu M2, Lenovo S820
Pluse, никогда они не угадают когда и на что будет осуществлена следующая кибер-атака. Это сродни прогнозов землетрясения.
 

Pluse

Вскрыватель хайдов
Реєстрація
19.11.14
Місто
Запорожье
PRADA, та это второстепенное. Главное новые технические нюансы.
 

Кочевник

Ховрах-Терорист
Команда форуму
Реєстрація
30.01.08
Місто
Київ, Львів
Телефон
Sams Note 20 Ultra + S8
Prorab, Key Distribution Center Service Account
Він присутній у Active Directory.
 

Maxxx

420244
Реєстрація
01.12.08
Місто
Київ
Телефон
iPhone 12 Pro Max
Из всего этого я понял, что если нет всяких AD, можно расслабиться?:)
 

Кочевник

Ховрах-Терорист
Команда форуму
Реєстрація
30.01.08
Місто
Київ, Львів
Телефон
Sams Note 20 Ultra + S8
Maxxx, ти ж не корпоративний клієнт. А всілякі "бізнесмени з вкантакті" батьків-засновників Петя.А не цікавлять.
 
Зверху