Появился вирус-шифровальщик для Linux

Yurik Suvorov написал(а) к All в Nov 15 21:49:22 по местному времени:

Привет, All!

истемы на Linux атакует вредоносное приложение Linux.Encoder.1, который шифрует файлы пользователей, требуя за расшифровку заплатить криптовалютой. Об этом сообщает антивирусная компания <Доктор Веб>.

Linux.Encoder.1 - относится к классу троянцев-шифровальщиков. После запуска с
правами администратора на системах под управлением операционных систем
семейства Linux он шифрует файлы на компьютере пользователя, после чего требует 1 биткоин за расшифровку (примерно 25 тысяч рублей на данный момент). На данный момент предполагается, что атакованы десятки пользователей.

Эксперты по безопасности полагают, что атака нацелена на администраторов
сайтов, на машине которых развернут собственный веб-сервер, потому что первыми шифруются корневые папки, личные директории пользователя, а также папки с базами данных MySQL и веб-сервером Apache.

После шифрования выбранных файлов исходные стираются и пользователь получает
предложение заплатить за их расшифровку. Компания утверждает, что в случае
согласия владельца компьютера и оплаты выкупа вирус получает ключ для расшифровки. При этом не говорится о том, что вирус стирается с компьютера и не может вторично зашифровать файлы.

Зашифрованные файлы помечаются расширением .encrypted. При их обнаружении компания рекомендует переслать ей файлы - планируется провести их расшифровку при возможности.

Большинство вредоносных программ рассчитаны на заражение Windows-систем. Однако эксперты по безопасности регулярно фиксируют некоторое количество вредоносных программ для Linux и Mac OS.

http://m.lenta.ru/news/2015/11/08/drweb/

Yurik

--- GoldED+/W32-MINGW 1.1.5-b20060703 (New Point Express)

Andrey Ostanovsky написал(а) к Alexey Vissarionov в Nov 15 10:47:26 по местному времени:

Нello Alexey!

10 Nov 15 10:08, you wrote to Vitaly Zaitsev:

AV>>> Вполне разумный "налог на глупость".
VZ>> И отсутствие бэкапов. :-)
AV> Это всего лишь одно из проявлений глупости.

Вот ты такой умный, подскажи - куда можно быстро и относительно недорого раскатать бэкап 20 терабайтного хранилища? Облако - не предлагать.

Andrey

--- GoldED+/BSD 1.1.5-b20070503

Andrey Melnikoff написал(а) к Andrey Ostanovsky в Nov 15 15:00:28 по местному времени:

From: Andrey Melnikoff <temnota+news@kmv.ru>

Andrey Ostanovsky <Andrey.Ostanovsky@f1957.n5030.z2.fidonet.org> wrote:
AO> Нello Alexey!

AO> 10 Nov 15 10:08, you wrote to Vitaly Zaitsev:

AV>>>> Вполне разумный "налог на глупость".
VZ>>> И отсутствие бэкапов. :-)
AV>> Это всего лишь одно из проявлений глупости.

AO> Вот ты такой умный, подскажи - куда можно быстро и относительно недорого
AO> раскатать бэкап 20 терабайтного хранилища? Облако - не предлагать.

Если ты такой умный, что знаешь про 20 терабайт - то ответь сам себе на
вопрос - сколько времени этому "вирусу" понадобиться чтоб упаковать твои 20
терабайт? И самое главное - каким боком эта хрень попадет к твоим 20
терабайтам?
--- ifmail v.2.15dev5.4

Andrey Ostanovsky написал(а) к Andrey Melnikoff в Nov 15 21:33:14 по местному времени:

Нello Andrey!

10 Nov 15 15:00, you wrote to me:

AM> понадобиться чтоб упаковать

Что сделать? :)

Andrey

--- GoldED+/BSD 1.1.5-b20070503

Alexey Vissarionov написал(а) к Andrey Ostanovsky в Nov 15 23:00:00 по местному времени:

Доброго времени суток, Andrey!
10 Nov 2015 10:47:26, ты -> мне:

AV>>>> Вполне разумный "налог на глупость".
VZ>>> И отсутствие бэкапов. :-)
AV>> Это всего лишь одно из проявлений глупости.
AO> Вот ты такой умный, подскажи - куда можно быстро и относительно
AO> недорого раскатать бэкап 20 терабайтного хранилища? Облако - не
AO> предлагать.

К.О. спешит на помощь: на второе 20-терабайтное хранилище, так-то! :-)

При этом rsync вполне обеспечивает "быстро", а затраты на второе хранилище аналогичного объема и его размещение в хорошем датацентре укладываются в "недорого".

Если вопрос был не риторическим, могу сдать тебе в аренду хранилище на 10 Тб всего за 70 килорублей в месяц. Доступа по ssh для rsync тебе хватит?


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Бывают такие зайчики, от которых волки на деревья лезут
--- /bin/vi

Vitaly Zaitsev написал(а) к Andrey Ostanovsky в Nov 15 01:21:20 по местному времени:

Приветствую тебя, Andrey Ostanovsky.

Tue, 10 Nov 2015 10:41:36 +0300 ты писал(а):

AO> Не знаю, как где, но у меня в убунте при установке обновлений
AO> просто выскакивает графическая заставка с просьбой "подтвердить
AO> полномочия".

Ключевое слово "убунте". В нормальных дистрибутивах появляется запрос на
ввод пароля суперпользователя или пользователя в зависимости от настроек
sudo.

--
С уважением,
Vitaly Zaitsev (zvitaly@easycoding.org)
--- FIDOGATE 5.1.7ds

Sasha Shost написал(а) к Vitaly Zaitsev в Nov 15 03:19:10 по местному времени:

Нello Vitaly!



AO>> Не знаю, как где, но у меня в убунте при установке обновлений
AO>> просто выскакивает графическая заставка с просьбой "подтвердить
AO>> полномочия".

VZ> Ключевое слово "убунте". В нормальных дистрибутивах появляется запрос
VZ> на ввод пароля суперпользователя или пользователя в зависимости от
VZ> настроек sudo.
там поле ввода пароля и выскакивает, AO просто литературно написал


Sasha http://dr-shost.com http://shostatsky.narod.ru [Team OS/2][Team EDSMO]



--- GoldED-NSF/LNX 1.1.5-20090710

Sergey Anohin написал(а) к Alexey Vissarionov в Nov 15 11:03:35 по местному времени:

Нello Alexey* *Vissarionov
SA>> Ну и базу погpохать тоже можно. Обычно они в конфигах сайта идут.
AV> Гpохнуть - дело нехитpое. Вот зашифpовать...

Можно стянуть себе на локальный комп, зашифpовать и залить обpатно,
пpавда это по-колхозному :) А сpедствами пхп pазве нельзя зашифpовать?

SA>> Ну на счет шифpования /var/lib/mysql
AV> Люди, хpанящие важную инфоpмацию в /var, сами себе злобные.

Почему? В линуксах по дефолту туда базы пишутся.

AV>>> Осталось добавить, что все это пpокатит pовно в одном случае:
AV>>> когда у теpпилы все сайты pаботают под одним пользователем.
SA>> А это очень много где, пpичем даже по дефолту. Редко где стоит
SA>> mpm-itk.
AV> Достаточно suexec (котоpый, на мой взгляд, вполне стоит того, чтобы
AV> теpять на нем паpу пpоцентов пpоизводительности).

Да, вpоде кстати Cpanel его использует (пpо дpугие веб панели не в куpсе),
но itk считается вpоде еще защищеннее.



Bye, Alexey Vissarionov, 11 ноябpя 15
--- FIPS/IP <build 01.14>

Alexey Vissarionov написал(а) к Sergey Anohin в Nov 15 13:00:00 по местному времени:

Доброго времени суток, Sergey!
11 Nov 2015 11:03:34, ты -> мне:

SA>>> Ну и базу погpохать тоже можно. Обычно они в конфигах сайта идут.
AV>> Гpохнуть - дело нехитpое. Вот зашифpовать...
SA> Можно стянуть себе на локальный комп, зашифpовать и залить обpатно,

Ага, гигабайтов этак с полсотни.

SA> пpавда это по-колхозному :)

Да и как-то палевно...

SA> А сpедствами пхп pазве нельзя зашифpовать?

Можно. Но (1) только данные внутри базы, что (2) медленно и (3) сразу заметно.

SA>>> Ну на счет шифpования /var/lib/mysql
AV>> Люди, хpанящие важную инфоpмацию в /var, сами себе злобные.
SA> Почему? В линуксах по дефолту туда базы пишутся.

Только у чайников, неспособных поправить одну строчку в /etc/my.cnf

AV>>>> Осталось добавить, что все это пpокатит pовно в одном случае:
AV>>>> когда у теpпилы все сайты pаботают под одним пользователем.
SA>>> А это очень много где, пpичем даже по дефолту. Редко где стоит
SA>>> mpm-itk.
AV>> Достаточно suexec (котоpый, на мой взгляд, вполне стоит того,
AV>> чтобы теpять на нем паpу пpоцентов пpоизводительности).
SA> Да, вpоде кстати Cpanel его использует (пpо дpугие веб панели не в
SA> куpсе), но itk считается вpоде еще защищеннее.

Я уеб-панелями не пользуюсь, а suexec у меня секвестирован до 15 килобайтов вылизанного до состояния котьих яиц кода.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Пусть компутер думает - у него мозги луженые
--- /bin/vi

Andrey Ostanovsky написал(а) к Sasha Shost в Nov 15 13:56:42 по местному времени:

Нello Sasha!

11 Nov 15 03:19, you wrote to Vitaly Zaitsev:

AO>>> Не знаю, как где, но у меня в убунте при установке обновлений
AO>>> просто выскакивает графическая заставка с просьбой "подтвердить
AO>>> полномочия".
VZ>> Ключевое слово "убунте". В нормальных дистрибутивах появляется
VZ>> запрос на ввод пароля суперпользователя или пользователя в
VZ>> зависимости от настроек sudo.
SS> там поле ввода пароля и выскакивает, AO просто литературно написал

Эх, спугнул раньше времени. :)

Andrey

--- GoldED+/BSD 1.1.5-b20070503