URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 105613
[ Назад ]
Исходное сообщение
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено opennews , 19-Ноя-15 23:19 
Компания "Доктор Веб" опубликовала (http://news.drweb.ru/show/?i=9709&c=5&lng=ru&p=0) данные об ещё одом вредоносном ПО Linux.Encoder.2 (http://vms.drweb.ru/virus/?i=7734389), шифрующем файлы на серверах для вымогательства денег за расшифровку. От первого (https://www.opennet.ru/opennews/art.shtml?num=43277) вредоносного приложения такого рода Linux.Encoder.2 отличается использованием  библиотеки OpenSSL вместо PolarSSL и применением иного метода шифрования файлов (вместо AES-CBC-128 применяется AES-OFB-128 со сменой параметров шифра для каждых 128 байт).


Примечательно, что как и первое шифрующее вредоносное ПО для Linux, новый экземпляр также изменяет время модификации файла, т.е. подвержен той же уязвимости (https://www.opennet.ru/opennews/art.shtml?num=43299), что даёт возможность восстановить вектор инициализации AES и определить ключ шифрования. Компания  "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса. Ожидается, что в ближайшее время компания Bitdefender Lab адаптирует (http://labs.bitdefender.com/blog/)  для Linux.Encoder.2 свой общедоступный распаковщик, распространяемый в исходных текстах под лицензией GPLv3.

URL: http://news.drweb.ru/show/?i=9709&c=5&lng=ru&p=0
Новость: http://www.opennet.ru/opennews/art.shtml?num=43359

Содержание
Сообщения в этом обсуждении
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено аноним2 , 19-Ноя-15 23:19 
День сурка.
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено РОСА , 20-Ноя-15 11:56 
«Доктор Вебер» пиарит свои антивирусы.
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено pkdr , 20-Ноя-15 13:10 
Судя по качеству их "вирусов", антивирусы тоже должны быть кривоватыми :)
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено i_stas , 21-Ноя-15 02:26 
> Судя по качеству их "вирусов", антивирусы тоже должны быть кривоватыми :)

Только GUI.  Ядро прямое и качественное.

"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено th3m3 , 19-Ноя-15 23:29 
Они забыли сказать, что распространяется оно через дырявые скрипты на php.
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено rshadow , 20-Ноя-15 02:30 
Желательно запущенные от рута, а то за сами скрипты наврят ли заплатят денег.
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено JL2001 , 25-Ноя-15 21:04 
>Желательно запущенные от рута, а то за сами скрипты наврят ли заплатят денег.

вот и будет перепись тех кто не разделяет данные от остального
(и заодно ещё не делает бэкапы)

зы: нам как-то ломанули впн/фтп-сервер через сердце в ссш (через полгода после паники), так админ восстановил из бекапа и через 3 недели опять ломанули - обновить дистриб "админ" так и не догадался

"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено pavlinux , 20-Ноя-15 18:53 
> Они забыли сказать, что распространяется оно через дырявые скрипты на php.

Давай-ка URL своего сайта, ща проверим на недырявость! В футере подпиши "ЗБОЖ".

"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Нуб , 21-Ноя-15 01:19 
Но у меня нет динамики на наружних серверах.
Только статика!
Только HTML!
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Ононим , 19-Ноя-15 23:32 
>> Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса.

Видимо взяли готовый питон-скрипт от BitDefender и быстренько адаптировали под «вторую» версию своего «вируса»

"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Вареник , 20-Ноя-15 06:01 
Еще и на ГитХаб ничего не выкладывают, сраные проприетарщики.
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Аноним , 19-Ноя-15 23:40 
>>Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса.

Да, наверняка и не существует никакого вируса под названием Linux.Encoder1, просто Доктор Вэб решил потихому срубить бабла, вот и сообщила, что якобы есть расшифровщик, который решит все ваши проблемы. Хотя никто и в глаза этот расшифровщик не видели :)

"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Ононим , 19-Ноя-15 23:44 
но ведь дешифровщик фигурировал в истории исследования этого «вируса»
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Какаянахренразница , 20-Ноя-15 05:05 
> Хотя никто и в глаза этот расшифровщик не видели :)

Так ведь и вирус тоже никто не видел. Это особенность всех вирусов под Линукс. Стэлс-режим, понимаешь ли.

"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено KOT040188 , 19-Ноя-15 23:49 
Как страшно жить… ヅ
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Какаянахренразница , 20-Ноя-15 10:16 
> ヅ

Зю?

"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено IMHO , 20-Ноя-15 00:55 
> был выявлен позднее, но написан на несколько недель раньше

и откуда такие подробности знает антивирусная компания ?

"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Аноним , 20-Ноя-15 00:59 
Ну вот если вы вступили в каку, то логично, что кто-то сделал ее раньше, чем вы вступили.
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено тоже Аноним , 20-Ноя-15 11:40 
Ваша логика устарела.
В наш век фьючерсов вы можете вступить по полной в то, что еще даже не начинали делать.
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Аноним , 20-Ноя-15 12:02 
То что не начинали делать мы можем купить или продать, но вступить в это не можем.
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Аноним , 20-Ноя-15 00:59 
А запускать от рута надо?
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Bookman300 , 20-Ноя-15 01:30 
Еще также компилять, и даже официальную документацию просить у Др.Веб, иначе без полтора-литра не въехать :)))
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Аноним , 20-Ноя-15 16:29 
Не забудьте также попросить патчи для вашего дистрибутива.
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Sw00p aka Jerom , 20-Ноя-15 01:53 
новый экземпляр также >>изменяет время модификации файла<<, т.е. подвержен той же уязвимости

меня одного смущает выделенная строчка ?

"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Аноним , 20-Ноя-15 03:30 
По времени вычисляют сид генератора рандомных чисел и восстанавливают ключ. Авторы вируса идиоты, нет бы как все нормальные люди читать /dev/urandom, а лучше /dev/random, даже придумывать ничего не надо, но нет, делают велосипед на небезопасной rand()
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Khariton , 20-Ноя-15 10:47 
видать на этом построен процесс дешифровки. был бы рандом откуда они будут знать как расшифровать?)))
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Аноним , 20-Ноя-15 11:36 
А всякие кошерные трукрипты не изменяют время доступа?
У многих все смонтировано с noatime, т е расшифровать не получится?
Да и время примерно известно и так. Число комбинаций не так велико. Там до микросекунд точность? В файл же обычно секунды только пишутся.
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено тоже Аноним , 20-Ноя-15 11:41 
> У многих все смонтировано с noatime, т е расшифровать не получится?

atime - время последнего доступа. mtime - время модификации.
Файлы при шифровании фактически создаются заново, такое время записывают любые ФС.


"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено angra , 20-Ноя-15 12:50 
Для того, чтобы что-то зашифровать "вирус" создает симметричный ключ AES.  Для создания ключа AES они использует стандартный rand() из libc, который инициируют текущим временем. После чего шифруют первый файл. Все эти действия занимают меньше секунды, а значит время модификации этого файла и является seed для rand. Так как последовательность выдаваемая rand полностью определяется seed, то дальше легко восстанавливается AES ключ и им расшифровываются все файлы.
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Sw00p aka Jerom , 20-Ноя-15 18:05 
> а значит время модификации этого файла и является seed
> для rand.

а в статье написано - также >>изменяет время модификации файла<<

"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Sw00p aka Jerom , 20-Ноя-15 18:03 
думаю там должно было быть - также >>НЕ изменяет время модификации файла<<
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Аноним , 20-Ноя-15 07:39 
А как вирус у себя установить? Я пробовал - не получилось (библиотек не хватает)
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено невидимка , 20-Ноя-15 09:29 
не плачь! возьми винду десяточку и всё запустится =)
"Аттракцион невиданной щедрости"
Отправлено Абырвалг , 20-Ноя-15 10:12 
Сотрудник доктора в комментариях. Задавайте свои вопросы.
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено KT315 , 20-Ноя-15 10:49 
>> Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса.

Т.е. заплатите для распаковки? Dr.Web совсем не палится :-D

"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Аноним , 20-Ноя-15 16:24 
Таак, если Д-р Веб умеет расшифровать, то... кто же, интересно это зашифровал?
Настолько сильно даже Касперский не палится. Или... может быть...
давайте д-р Веб я зашифрую пару файлов, а вы их расшифруете!
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено РОСКОМУЗОР , 20-Ноя-15 18:11 
А мораль этой новости такова: Срочно всем купить антивирус от ДокторВеб!
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Игорь , 20-Ноя-15 19:24 
Какая компания,такой и антивирус. Думаю,никто не забыл историю с отжатием паблика?

http://vk.com/wall-774326_22420

"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Аноним , 20-Ноя-15 22:17 
походу, они забашляли модеру за публикацию новости, и теперь неугодные каменты и тут трут
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено freehck , 23-Ноя-15 09:30 
Кстати, вот петиция автора отжатой группы против Dr. Web. Давайте подпишем, что ли?
https://www.change.org/p/%D0%BE%D0%BE�...

Хотя конечно можно и не подписывать. Тут такой забавный факт: пострадавший -- это Александр Речицкий. Тот самый манагер, продвигающий ReactOS. :)

"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено Аноним , 20-Ноя-15 23:18 
"Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса" - твари поганые...
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено tmplsr , 21-Ноя-15 08:58 
Хитрый план, однако:
1. Распиарить факт, что под линь можно писать вири и трояны.
2. Получить комментарии от тех, кто в теме, как не допускать грубых ошибок в подобном софте.
3. И получить в итоге некоторое кол-во вирмеров.

Журнал ][-ер занят в т.ч. и подобным уже долгие годы. Докатились и до опеннета?

"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено arisu , 22-Ноя-15 13:36 
> Доктор Веб

дальше не читал @ комментарий написал

"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Отправлено XAnimus , 22-Ноя-15 14:20 
На бсд даже в линуксаторе не запускается( Решил таки поиграться и тут на тебе(