The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +1 +/
Сообщение от opennews on 19-Ноя-15, 23:19 
Компания "Доктор Веб" опубликовала (http://news.drweb.ru/show/?i=9709&c=5&lng=ru&p=0) данные об ещё одом вредоносном ПО Linux.Encoder.2 (http://vms.drweb.ru/virus/?i=7734389), шифрующем файлы на серверах для вымогательства денег за расшифровку. От первого (https://www.opennet.ru/opennews/art.shtml?num=43277) вредоносного приложения такого рода Linux.Encoder.2 отличается использованием  библиотеки OpenSSL вместо PolarSSL и применением иного метода шифрования файлов (вместо AES-CBC-128 применяется AES-OFB-128 со сменой параметров шифра для каждых 128 байт).


Примечательно, что как и первое шифрующее вредоносное ПО для Linux, новый экземпляр также изменяет время модификации файла, т.е. подвержен той же уязвимости (https://www.opennet.ru/opennews/art.shtml?num=43299), что даёт возможность восстановить вектор инициализации AES и определить ключ шифрования. Компания  "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса. Ожидается, что в ближайшее время компания Bitdefender Lab адаптирует (http://labs.bitdefender.com/blog/)  для Linux.Encoder.2 свой общедоступный распаковщик, распространяемый в исходных текстах под лицензией GPLv3.

URL: http://news.drweb.ru/show/?i=9709&c=5&lng=ru&p=0
Новость: https://www.opennet.ru/opennews/art.shtml?num=43359

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +5 +/
Сообщение от аноним2 on 19-Ноя-15, 23:19 
День сурка.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +14 +/
Сообщение от РОСА (ok) on 20-Ноя-15, 11:56 
«Доктор Вебер» пиарит свои антивирусы.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

57. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +4 +/
Сообщение от pkdr (ok) on 20-Ноя-15, 13:10 
Судя по качеству их "вирусов", антивирусы тоже должны быть кривоватыми :)
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

76. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +/
Сообщение от i_stas (ok) on 21-Ноя-15, 02:26 
> Судя по качеству их "вирусов", антивирусы тоже должны быть кривоватыми :)

Только GUI.  Ядро прямое и качественное.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

2. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +2 +/
Сообщение от th3m3 (ok) on 19-Ноя-15, 23:29 
Они забыли сказать, что распространяется оно через дырявые скрипты на php.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +7 +/
Сообщение от rshadow (ok) on 20-Ноя-15, 02:30 
Желательно запущенные от рута, а то за сами скрипты наврят ли заплатят денег.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

82. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +/
Сообщение от JL2001 email(ok) on 25-Ноя-15, 21:04 
>Желательно запущенные от рута, а то за сами скрипты наврят ли заплатят денег.

вот и будет перепись тех кто не разделяет данные от остального
(и заодно ещё не делает бэкапы)

зы: нам как-то ломанули впн/фтп-сервер через сердце в ссш (через полгода после паники), так админ восстановил из бекапа и через 3 недели опять ломанули - обновить дистриб "админ" так и не догадался

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

71. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +/
Сообщение от pavlinux (ok) on 20-Ноя-15, 18:53 
> Они забыли сказать, что распространяется оно через дырявые скрипты на php.

Давай-ка URL своего сайта, ща проверим на недырявость! В футере подпиши "ЗБОЖ".

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

75. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +1 +/
Сообщение от Нуб on 21-Ноя-15, 01:19 
Но у меня нет динамики на наружних серверах.
Только статика!
Только HTML!
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

3. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +10 +/
Сообщение от Ононим email on 19-Ноя-15, 23:32 
>> Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса.

Видимо взяли готовый питон-скрипт от BitDefender и быстренько адаптировали под «вторую» версию своего «вируса»

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +10 +/
Сообщение от Вареник on 20-Ноя-15, 06:01 
Еще и на ГитХаб ничего не выкладывают, сраные проприетарщики.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +4 +/
Сообщение от Аноним (??) on 19-Ноя-15, 23:40 
>>Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса.

Да, наверняка и не существует никакого вируса под названием Linux.Encoder1, просто Доктор Вэб решил потихому срубить бабла, вот и сообщила, что якобы есть расшифровщик, который решит все ваши проблемы. Хотя никто и в глаза этот расшифровщик не видели :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +1 +/
Сообщение от Ононим on 19-Ноя-15, 23:44 
но ведь дешифровщик фигурировал в истории исследования этого «вируса»
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

31. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +6 +/
Сообщение от Какаянахренразница (ok) on 20-Ноя-15, 05:05 
> Хотя никто и в глаза этот расшифровщик не видели :)

Так ведь и вирус тоже никто не видел. Это особенность всех вирусов под Линукс. Стэлс-режим, понимаешь ли.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +3 +/
Сообщение от KOT040188 on 19-Ноя-15, 23:49 
Как страшно жить… ヅ
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +3 +/
Сообщение от Какаянахренразница (ok) on 20-Ноя-15, 10:16 
> ヅ

Зю?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +5 +/
Сообщение от IMHO on 20-Ноя-15, 00:55 
> был выявлен позднее, но написан на несколько недель раньше

и откуда такие подробности знает антивирусная компания ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  –3 +/
Сообщение от Аноним (??) on 20-Ноя-15, 00:59 
Ну вот если вы вступили в каку, то логично, что кто-то сделал ее раньше, чем вы вступили.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

51. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +1 +/
Сообщение от тоже Аноним email(ok) on 20-Ноя-15, 11:40 
Ваша логика устарела.
В наш век фьючерсов вы можете вступить по полной в то, что еще даже не начинали делать.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

54. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +/
Сообщение от Аноним (??) on 20-Ноя-15, 12:02 
То что не начинали делать мы можем купить или продать, но вступить в это не можем.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

14. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +2 +/
Сообщение от Аноним (??) on 20-Ноя-15, 00:59 
А запускать от рута надо?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +/
Сообщение от Bookman300 (ok) on 20-Ноя-15, 01:30 
Еще также компилять, и даже официальную документацию просить у Др.Веб, иначе без полтора-литра не въехать :)))
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

64. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +/
Сообщение от Аноним (??) on 20-Ноя-15, 16:29 
Не забудьте также попросить патчи для вашего дистрибутива.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

24. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +/
Сообщение от Sw00p aka Jerom on 20-Ноя-15, 01:53 
новый экземпляр также >>изменяет время модификации файла<<, т.е. подвержен той же уязвимости

меня одного смущает выделенная строчка ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +1 +/
Сообщение от Аноним (??) on 20-Ноя-15, 03:30 
По времени вычисляют сид генератора рандомных чисел и восстанавливают ключ. Авторы вируса идиоты, нет бы как все нормальные люди читать /dev/urandom, а лучше /dev/random, даже придумывать ничего не надо, но нет, делают велосипед на небезопасной rand()
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

48. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +/
Сообщение от Khariton (ok) on 20-Ноя-15, 10:47 
видать на этом построен процесс дешифровки. был бы рандом откуда они будут знать как расшифровать?)))
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

50. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  –1 +/
Сообщение от Аноним (??) on 20-Ноя-15, 11:36 
А всякие кошерные трукрипты не изменяют время доступа?
У многих все смонтировано с noatime, т е расшифровать не получится?
Да и время примерно известно и так. Число комбинаций не так велико. Там до микросекунд точность? В файл же обычно секунды только пишутся.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

52. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +2 +/
Сообщение от тоже Аноним email(ok) on 20-Ноя-15, 11:41 
> У многих все смонтировано с noatime, т е расшифровать не получится?

atime - время последнего доступа. mtime - время модификации.
Файлы при шифровании фактически создаются заново, такое время записывают любые ФС.


Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

56. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +1 +/
Сообщение от angra (ok) on 20-Ноя-15, 12:50 
Для того, чтобы что-то зашифровать "вирус" создает симметричный ключ AES.  Для создания ключа AES они использует стандартный rand() из libc, который инициируют текущим временем. После чего шифруют первый файл. Все эти действия занимают меньше секунды, а значит время модификации этого файла и является seed для rand. Так как последовательность выдаваемая rand полностью определяется seed, то дальше легко восстанавливается AES ключ и им расшифровываются все файлы.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

68. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +/
Сообщение от Sw00p aka Jerom on 20-Ноя-15, 18:05 
> а значит время модификации этого файла и является seed
> для rand.

а в статье написано - также >>изменяет время модификации файла<<

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

67. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +/
Сообщение от Sw00p aka Jerom on 20-Ноя-15, 18:03 
думаю там должно было быть - также >>НЕ изменяет время модификации файла<<
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

38. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +/
Сообщение от Аноним email(??) on 20-Ноя-15, 07:39 
А как вирус у себя установить? Я пробовал - не получилось (библиотек не хватает)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +2 +/
Сообщение от невидимка on 20-Ноя-15, 09:29 
не плачь! возьми винду десяточку и всё запустится =)
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

44. "Аттракцион невиданной щедрости"  +1 +/
Сообщение от Абырвалг on 20-Ноя-15, 10:12 
Сотрудник доктора в комментариях. Задавайте свои вопросы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +9 +/
Сообщение от KT315 (ok) on 20-Ноя-15, 10:49 
>> Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса.

Т.е. заплатите для распаковки? Dr.Web совсем не палится :-D

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

63. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  –1 +/
Сообщение от Аноним (??) on 20-Ноя-15, 16:24 
Таак, если Д-р Веб умеет расшифровать, то... кто же, интересно это зашифровал?
Настолько сильно даже Касперский не палится. Или... может быть...
давайте д-р Веб я зашифрую пару файлов, а вы их расшифруете!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

69. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +/
Сообщение от РОСКОМУЗОР on 20-Ноя-15, 18:11 
А мораль этой новости такова: Срочно всем купить антивирус от ДокторВеб!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +/
Сообщение от Игорь (??) on 20-Ноя-15, 19:24 
Какая компания,такой и антивирус. Думаю,никто не забыл историю с отжатием паблика?

http://vk.com/wall-774326_22420

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

73. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +/
Сообщение от Аноним (??) on 20-Ноя-15, 22:17 
походу, они забашляли модеру за публикацию новости, и теперь неугодные каменты и тут трут
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

81. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +/
Сообщение от freehck email(ok) on 23-Ноя-15, 09:30 
Кстати, вот петиция автора отжатой группы против Dr. Web. Давайте подпишем, что ли?
https://www.change.org/p/%D0%BE%D0%BE�...

Хотя конечно можно и не подписывать. Тут такой забавный факт: пострадавший -- это Александр Речицкий. Тот самый манагер, продвигающий ReactOS. :)

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

74. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +1 +/
Сообщение от Аноним (??) on 20-Ноя-15, 23:18 
"Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса" - твари поганые...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

78. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +1 +/
Сообщение от tmplsr on 21-Ноя-15, 08:58 
Хитрый план, однако:
1. Распиарить факт, что под линь можно писать вири и трояны.
2. Получить комментарии от тех, кто в теме, как не допускать грубых ошибок в подобном софте.
3. И получить в итоге некоторое кол-во вирмеров.

Журнал ][-ер занят в т.ч. и подобным уже долгие годы. Докатились и до опеннета?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

79. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +/
Сообщение от arisu (ok) on 22-Ноя-15, 13:36 
> Доктор Веб

дальше не читал @ комментарий написал

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

80. "Выявлено второе вредоносное ПО, шифрующее файлы в Linux"  +/
Сообщение от XAnimus (ok) on 22-Ноя-15, 14:20 
На бсд даже в линуксаторе не запускается( Решил таки поиграться и тут на тебе(
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру