Поздравляйте. В 4 утра ломанули админку на Сервере 2003, спокойно установили программу шифрования и зашифровали все диски, кроме системного. Под админом в автозагрузке текстовичок с указанием киви-кошелька, куда платить за дешифровку. Приехали, млять. Пошли башлять.
Кто сталкивался? Бабло уйдет в никуда или таки пришлют ключ дешифрования?

(0)А подскажи, чисто для общего образования - какой пароль(длина, спецсимволы) и какой протокол RDP? И почему думаете что именно  по RDP ломанули?

(411) я хз, не сисадмин. То, что по РДП - говорит, по логам вычислил.

(407) >гыгы, опять XP/2003
поди и не обновлённые

(0)зарплату задерживают?

(412) по логам ахахах, что за бред!

Ну почему сразу бред? Можно и по логам, правда это будет скорее предположение, нежели точный факт.

Тем временем Cisco удалит бэкдоры из своих маршрутизаторов
http://www.securitylab.ru/news/448883.php

(417) вот это уже даже не смешно :)

но без XP никуда! )

(419) даже в поликлиниках столицы у врачей стоят компы с ебунтой

(420) ростелекому об этом кто-нибудь рассказал бы

(421) про этого "урода" даже говорить не хочу

(417) Прикольно

Cisco хоть удаляют, тогда как D-Link про некоторые знают, но заниматься ими не собираются.

(424) также как Asus и многие другие.

А разве в таких случаях отдел К не подключают?

(426) он только по тебе специализируется

(424) dd-wrt ставь на длинк и спи спокойно.

Ломанули - понятно,
а вот такой вопрос - если сервак остановить - загрузиться с другой системы и "собрать" RAID в работу, а потом посмотреть недавно удалённые файлы - есть вероятность, что и зловред найдётся, а, может быть, даже и ключ.

(429) Blowfish + XOR - вряд ли ключ найдется

(429) Ага , только надо успеть вытащить диск из рейда именно в тот момент , пока зловред еще не удалил себя с ключами и еще не зашифровал файлы :)

Так есть же программы по восстановлению удаленных данных, даже если диск был отформатирован или я ошибаюсь?

(432) Ты о чем? :)

+(432) Можно к примеру не удалять Зловредный файл, а попросту его очистить :)
А потом еще и удалить.

(428) уже стоит, расслабься

http://www.computerra.ru/91779/cryptolocker/

(436) так у тебя же на киви-кошелёк захотели

а ты идею подкинул про крипто-валюту ))

(436) хорошая статья, имхо.

(436) > Говорят, новое — хорошо забытое старое, и CryptoLocker не исключение.


сейчас авнтивири не распознают вири, которые были в 2000х годах

=> не удивительно

надо создать профсоюз, в который будут жаловаться кинутые работники

далее профсоюз шифрует всё у нерадивого работодателя и расшифровывает за биткоин

полученный доход идёт на компенсацию обратившегося и на уставные цели

по-моему, отлично придумал

>сейчас авнтивири не распознают вири, которые были в 2000х годах
а я всё думал, как они будут бороть падеж производительности при распухании базы?

(45) закатай губу, никто ничего не починит и не обязан... да и не смогут они расшифровать там нормальный алгоритм шифрования используется причем для каждого отдельного случая свой ключ шифрования, заплатить по любому дешевле чем пытаться расшифровать.

(441) в инете как раз читал статью в октябре того года про это

т.е. все старые методы сейчас актуальны и антивири их не видят

(437) Почему я? Соседка подхватила такую же заразу, обратилась ко мне. Чем я могу помочь.. Пожал плечами, на предыдущие версии локера есть дешифраторы, а сейчас они на каждое заражении порядковый номер придумали в названии файла

(443) Особенно Eset подвержен с их урезанными базами старых детектов

(444) + там была просьба помось африканским детям в виде 0,4 Биткоина

(445) там на 10 авнтирей проверяли
каспер, авасты, вэбы, нортом и т.д.

(294) за нефиг делать, это намного проще чем перехватить смс, практически все смс-провайдеры дают возможность указать любые символы в поле отправитель, а операторы пропускают...

смс-провайдеры - кто такие?

Позвонил друг и описал подобную ситуацию.

Походу, кто-то неплохо поднял бабла на своем вирусе.

(450) этих кто-то тыщи, принцип описан подробно, бери да пиши. Пока есть ларьки с дырищами в безопасности и паролем "1" - эти шифровальщики будут неплохо кормиться.

(451) интересно, что будет после этого шифрования =)

простоте что влазию но у меня вот какой вопрос - чтобы подключиться по РДП даже с пробросом портов нужно как минимум :

1. знать ip роутера на входе
2. отсканировать порты
3. попробовать подключиться по рдп
4. подобрать логин и пароль

меня смущает пункт № 1. Ну не долбит же их робот все ip по очереди

простоте=простите

> знать ip роутера на входе

перведи

(455) белый ip надо знать чтобы порты сканить

я к чему. вот например есть у меня клиент. у него белый статичный ip. стоит задача - ломануть его по рдп. вопрос - как узнать его ip? имхо без внутреннего крысятничества не обошлось

(457) отсылает письмо твой клиент мне -- я знаю его IP

далее дело техники

(458) стоп. что значит "отсылает письмо твой клиент мне -- я знаю его IP"? т.е. если он отправляет письмо с сервера через бат - там фиксируется белый ip WANa?

(459) он даже, если напишет письмо из яндекса -- ip мне будет известен )))

(460) поясни

а если из локалки письмо будет? все одно видно?

посмотри заголовок письма -- всё станет на свои места

хм... щас

нифига не вижу кроме чисто почтовых реквизитов

Date: Thu, 23 Jan 2014 09:10:11 +0300
From: =?windows-1251?B?wO3k8OXpIMrz9+Xw5e3q7g==?= <мой алрес>
X-Priority: 3 (Normal)
Message-ID: <437518903.20140123091011@list.ru>
To: =?windows-1251?B?0PPx6+DtINfz6eru?= <адрес получателя>
Subject: Fwd:
In-Reply-To: <1388823577.872465397@f91.i.mail.ru>
References: <1388823577.872465397@f91.i.mail.ru>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------04F0FF1EF27CD0BD7"

Received: from

(466) да где это увидить?

светани мыло я тебе кину письмо пустышку. а ты скажешь мне мой ip

(468) в личке

лови. надеюсь ума хватит сказать тут не весь ip а последние две секции? ;)

Received: from [91.203.167.94] (port=35053 helo=[192.168.2.22])

(470) не хватило

бл....

IP     91.203.167.94
Хост:     94-167-203-91.zeus.poltava.ua
Город:     Кременчуг
Страна:     Ukraine
IP диапазон:     91.203.164.0 - 91.203.167.255
Название провайдера:     FOP Koval Dmitro Orestovich

все верно. но хоть убей где это увидеть я так и не понял

(473) ну форматнём один разок, потому научишься использовать iptables

(475) в письме

все увидел. в исходящих нет (я там смотрел). во входящих - видно

(476) Чего ты там форматировать собрался? Устройства маршрутизации провайдера?

да уж...

(479_ т-с-с

(480) Вырубай комп быстрее )))) а то zak555 уже пароль подобрал )))

(481) Не ну расскажи как ты достучишься до 192.168.2.22? :)

так удалите художества этого неадеквата....

(483) перебором портов, которые прокинуты на шлюзе

(484) Поздно миста индексируется через 20 сек. после появления сообщения, все ты под колпаком ))) и в записной книжке у мизантропа ))

(485) ни одного порта не прокинуто ;)~

(486) провайдер мой друг. позвонил щас ip белый будет изменён ;)

щас только порнуху с шары уберу на всяк случай ;)

Хотя да, если он он узнал IP машины, которая за натом прова, то тогда да, любым сканером портов можно промониторить порт на которые можно подключится, далее какой-нить троян, или что-то в этом духе... И привет)))

(490) например? через какой порт можно подключиться если ни один проброс не настроен?

теперь представь что ip внутренний я поменял сразу как только увидел пост 471

как и подсеть

дело 10 секунд

Проброс уже не нужен, он имеет доступ к 192.168.2.22

и теперь у меня 192.168.9.11

(495) каким образом?

(497) Понятия не имею, вопрос к этому скрипткидди"

только если настроен проброс порта. иначе никак имхо

(499) Ты бы комп выключил на всякий пожарный, мало ли там чем зак орудует сейчас :)))

(500) ip сменён уже говорю же. директор провайдера мой друг. я звонок сделал и белый ip теперь уже другой

и внутренний тоже, и подсеть тоже

сказать?

(499) смотря насколько шлюз не дубовый

(504) т.е. "не дубовый"? самый обычный шлюз. тп-линк

(503) Мне то зачем? В следующий раз просто не надо людям самостоятельно отдавать доступ до своего информационного пространства.
Тебя развели на wiki:Социальная_инженерия
Просто будь внимательнее.

(505) без багов в прошивке

(506) да нет. тут все ровно. получается все кому я отправляю письма видят ip моего роутера и компа. а это означает что правильно я сделал что настроил сервак так, что с него ничего не отправишь. и порты нестандартные и диапазон допустимых ip на вход.... молодец я ;)

на каждый роутер есть список дыр к каждой прошивке

(509) возможно но надо знать и прошивку к тому же - версию