forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выявлен порт программы-вымогателя RansomEXX для Linux"
Отправлено Ordu, 07-Ноя-20 16:41

> Как это организовано-то? По принципу ecryptfs - типа прослойки fuse над реальной ФС? Затем потихоньку шифровать файлы на реальной фс, но давать пользователю оригинальные файлы.
Зачем такие сложности? Если бы мне приспичило пошифровать файлы супротив желания пользователя, я бы пошёл иным путём. Задача не сделать эту хрень неотразимой, задача пошифровать как можно больше, пока тупящий пользователь сообразит, что происходит. Шифровать быстрее, чем может система не получится, а вот тупняки пользователя можно продлить, во-первых, убрав самые неотразимые признаки малварей, то есть не палиться без надобности раньше времени, во-вторых, затормозив ему интерфейс, чтобы любая операция, вплоть до alt-tab, занимала бы заметное время, в-третьих, добавив максимум посторонней информации, которая будет требовать обдумывания, в-четвёртых, прикрыться от максимального количества способов остановить процесс.
И да, что-нибудь в стиле контролируемого взрыва fork-bomb, возможно, сработало бы. Реально шифрованием может заниматься 1-2 процесса, остальные могут тупо отжирать процессорное время и выедать память. Хотя если выесть память своп начнёт греться, а нам нужна вся производительность жёсткого диска отправленная в шифрование. То есть как всё это дело затормозить надо подумать. Но в принципе, если на каждое ядро запустить по десятку процессов, которые будут жрать процессорные такты как не в себя, то гуй начнёт тормозить. Чтобы пользователь тупил бы подольше, можно сообщить ему, что в процессе работы updatedb был обнаружен дефект файловой системы, и теперь невозможно синхронизировать дисковый кеш с диском без риска полного разрушения фс, поэтому systemd-fsckd сейчас фиксит ошибки на диске. От особо умных, типа тебя, надо защитится отключив Ctrl-Alt-Fn через setxkbmap. Кстати, можно нарисовать ему фейковую ядерную консоль, и в ней запустить себя же в режиме шелла: реально такого можно занять надолго, и даже когда он психанёт и сделает куищще, мы можем изобразить ему процесс завершения системы, чтобы тот ждал бы с замиранием сердца, когда отмонтируются локальные системы, дождался бы, выдохнул и пошёл за валерьянкой, а мы бы продолжали тем временем шифровать.
Ну и наконец, можно подумать не пять минут, прежде чем писать такую штуку, а пару дней, нагенерить побольше идей и хорошенько их обдумать. Может быть ведь и не надо фонтанировать идеями, может лучше подождать, когда пользователь отойдёт от монитора, и тогда начинать шифровать?
> Ну это же легко заметить.
Легко заметить когда ищешь. Когда же ты не ждёшь подвоха, то, если ты не профессиональный паранойик, у тебя уйдёт несколько десятков секунд, прежде чем паранойя схватит тебя за яйца конкретно. А за несколько десятков секунд вполне возможно что удастся зашифровать тебе что-нибудь, за что ты заплатишь денег.

Исходное сообщение
"Выявлен порт программы-вымогателя RansomEXX для Linux" Отправлено Ordu, 07-Ноя-20 16:41
> Как это организовано-то? По принципу ecryptfs - типа прослойки fuse над реальной ФС? Затем потихоньку шифровать файлы на реальной фс, но давать пользователю оригинальные файлы. Зачем такие сложности? Если бы мне приспичило пошифровать файлы супротив желания пользователя, я бы пошёл иным путём. Задача не сделать эту хрень неотразимой, задача пошифровать как можно больше, пока тупящий пользователь сообразит, что происходит. Шифровать быстрее, чем может система не получится, а вот тупняки пользователя можно продлить, во-первых, убрав самые неотразимые признаки малварей, то есть не палиться без надобности раньше времени, во-вторых, затормозив ему интерфейс, чтобы любая операция, вплоть до alt-tab, занимала бы заметное время, в-третьих, добавив максимум посторонней информации, которая будет требовать обдумывания, в-четвёртых, прикрыться от максимального количества способов остановить процесс. И да, что-нибудь в стиле контролируемого взрыва fork-bomb, возможно, сработало бы. Реально шифрованием может заниматься 1-2 процесса, остальные могут тупо отжирать процессорное время и выедать память. Хотя если выесть память своп начнёт греться, а нам нужна вся производительность жёсткого диска отправленная в шифрование. То есть как всё это дело затормозить надо подумать. Но в принципе, если на каждое ядро запустить по десятку процессов, которые будут жрать процессорные такты как не в себя, то гуй начнёт тормозить. Чтобы пользователь тупил бы подольше, можно сообщить ему, что в процессе работы updatedb был обнаружен дефект файловой системы, и теперь невозможно синхронизировать дисковый кеш с диском без риска полного разрушения фс, поэтому systemd-fsckd сейчас фиксит ошибки на диске. От особо умных, типа тебя, надо защитится отключив Ctrl-Alt-Fn через setxkbmap. Кстати, можно нарисовать ему фейковую ядерную консоль, и в ней запустить себя же в режиме шелла: реально такого можно занять надолго, и даже когда он психанёт и сделает куищще, мы можем изобразить ему процесс завершения системы, чтобы тот ждал бы с замиранием сердца, когда отмонтируются локальные системы, дождался бы, выдохнул и пошёл за валерьянкой, а мы бы продолжали тем временем шифровать. Ну и наконец, можно подумать не пять минут, прежде чем писать такую штуку, а пару дней, нагенерить побольше идей и хорошенько их обдумать. Может быть ведь и не надо фонтанировать идеями, может лучше подождать, когда пользователь отойдёт от монитора, и тогда начинать шифровать? > Ну это же легко заметить. Легко заметить когда ищешь. Когда же ты не ждёшь подвоха, то, если ты не профессиональный паранойик, у тебя уйдёт несколько десятков секунд, прежде чем паранойя схватит тебя за яйца конкретно. А за несколько десятков секунд вполне возможно что удастся зашифровать тебе что-нибудь, за что ты заплатишь денег.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> Как это организовано-то? По принципу ecryptfs - типа прослойки fuse над реальной ФС? Затем потихоньку шифровать файлы на реальной фс, но давать пользователю оригинальные файлы.

> Зачем такие сложности? Если бы мне приспичило пошифровать файлы супротив желания пользователя, 
> я бы пошёл иным путём. Задача не сделать эту хрень неотразимой, 
> задача пошифровать как можно больше, пока тупящий пользователь сообразит, что происходит. 
> Шифровать быстрее, чем может система не получится, а вот тупняки пользователя 
> можно продлить, во-первых, убрав самые неотразимые признаки малварей, то есть не 
> палиться без надобности раньше времени, во-вторых, затормозив ему интерфейс, чтобы любая 
> операция, вплоть до alt-tab, занимала бы заметное время, в-третьих, добавив максимум 
> посторонней информации, которая будет требовать обдумывания, в-четвёртых, прикрыться 
> от максимального количества способов остановить процесс.

> И да, что-нибудь в стиле контролируемого взрыва fork-bomb, возможно, сработало бы. Реально 
> шифрованием может заниматься 1-2 процесса, остальные могут тупо отжирать процессорное 
> время и выедать память. Хотя если выесть память своп начнёт греться, 
> а нам нужна вся производительность жёсткого диска отправленная в шифрование. То 
> есть как всё это дело затормозить надо подумать. Но в принципе, 
> если на каждое ядро запустить по десятку процессов, которые будут жрать 
> процессорные такты как не в себя, то гуй начнёт тормозить. Чтобы 
> пользователь тупил бы подольше, можно сообщить ему, что в процессе работы 
> updatedb был обнаружен дефект файловой системы, и теперь невозможно синхронизировать дисковый 
> кеш с диском без риска полного разрушения фс, поэтому systemd-fsckd сейчас 
> фиксит ошибки на диске. От особо умных, типа тебя, надо защитится 
> отключив Ctrl-Alt-Fn через setxkbmap. Кстати, можно нарисовать ему фейковую ядерную консоль, 
> и в ней запустить себя же в режиме шелла: реально такого 
> можно занять надолго, и даже когда он психанёт и сделает куищще, 
> мы можем изобразить ему процесс завершения системы, чтобы тот ждал бы 
> с замиранием сердца, когда отмонтируются локальные системы, дождался бы, выдохнул и 
> пошёл за валерьянкой, а мы бы продолжали тем временем шифровать.

> Ну и наконец, можно подумать не пять минут, прежде чем писать такую 
> штуку, а пару дней, нагенерить побольше идей и хорошенько их обдумать. 
> Может быть ведь и не надо фонтанировать идеями, может лучше подождать, 
> когда пользователь отойдёт от монитора, и тогда начинать шифровать?

>> Ну это же легко заметить.

> Легко заметить когда ищешь. Когда же ты не ждёшь подвоха, то, если 
> ты не профессиональный паранойик, у тебя уйдёт несколько десятков секунд, прежде 
> чем паранойя схватит тебя за яйца конкретно. А за несколько десятков 
> секунд вполне возможно что удастся зашифровать тебе что-нибудь, за что ты 
> заплатишь денег.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру