Találkoztál már ransomware által eltitkosított linuxos géppel?

 ( trey | 2017. január 9., hétfő - 10:54 )
Igen.
2% (7 szavazat)
Nem.
91% (405 szavazat)
Egyéb.
1% (4 szavazat)
Csak az eredmény érdekel.
7% (31 szavazat)
Összes szavazat: 447

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Kapcsolódó hír itt.

--
trey @ gépház

Es macOS-t / OS X-et futtato Mac-kel? ;)

Igen, talalkoztam mar macOS-t / OS X-et futtato Mac-el. Majdnem az osszes olyan :)

--
Software is like sex: It’s better when it’s free.

Ha dualbootos volt, es a win alol titkositotta az szamit?

--

"You can hide a semi truck in 300 lines of code"

Itt inkább az érdekel, hogy Linuxon mennyire sikeresek ezek a támadások, úgyhogy az inkább ne számítson, hiszen a fertőzést abban az esetben a Windows "szedte össze".

--
trey @ gépház

Én ransomware által eltitkosított windows-os géppel sem, találkoztam, de subscribe.

Akkor biztos nem a Windows terméktámogatási részlegén vagy. ;)

Actually... :D
(Mondjuk az igaz, hogy nem én vagyok, aki támogat.)

Ezen meglepődtem. Nem találkoztam még olyan emberrel aki nem látott ilyet :D

Én sem.

Én is csak azért láttam (Win-en), mert dolgoztam desktop támogatóként. Családi és vagy baráti körben sosem találkoztam volna vele.

Én sem láttam még. De láttam már olyan embert, aki látott. :)

----
"Mert nincs különbség: mindenki vétkezett, és híjával van az Isten dicsőségének. Ezért Isten ingyen igazítja meg őket kegyelméből, miután megváltotta őket a Krisztus Jézus által." (Róma 3.22-24)

Ismerek olyat akinek sikerült beszerezni egyet, és azt is, akinek aztán a dolga volt rendberakni. Én még nem láttam. (kop-kop-kop)

Itt vagyok még egynek. Nem láttam.

Meg csak nem is beszeltem olyan emberrel, aki latott mar ilyet :) .

Nalunk elofordult mar egy par darab, legkozelebb majd szolok ;-)

sub

Aki igen, mesélhetne kicsit róla. Mennyire friss rendszer, milyen környezet stb.


DigitalOcean 10$ kredit- Cloudatcost VPS 50%: MEQy2epUny - <3 openSUSE, Ubuntu, KDE <3

+1

+1

+1

En windowson talalkoztam vele, egyetlen esetben tudom a teljes lefolyast:
Friss, win7 gep volt, kb fel eve tortent:

User kapott egy emailt(angol) miszerint szamlaja erkezett, lasd csarolmanyt.
A csatolmany egy zippelt js file volt, valami windows komponens maradt defaultba a js fileokhoz megnyitasra, nem irta at a firefox, chrome a tarsitast.
User elinditotta, nem tortent lathato dolog ezert nem foglalkozott vele, a virus (locky) pedig elindult, es elkezdte bekodolni amit csak ert, es ertekesnek tunt, kepek, videok, dokumentumok, stb.
Ezen tevekenyseget folytatta egeszen ujrainditasig, mikoris mar egy fekete alapon piros szovegre cserelte a hatterkepet, reszletezve hogy hova hany bitcoint kernek, es ehhez hogy juthat hozza a felhasznalo.

Szerencsere a torolt fileok viszaallitasaval eleg sok mindent sikerult megmenteni, azota a user pedig megtanulta hogy ertekes dolgokat csak a nasra mentunk, ahol zfs, auto snapshot van, mi pedig megtanitottuk az amavist hogy js, es zippelt js fileok blokkolandoak...

Linuxon erdekelne foleg meg szerintem azokat is akik plusszoltak. A windowsos fertozes egyertelmu semmi varazslat nincs benne.

Linuxon nem igazan tudom egyelore elkepzelni nagyobb balfaszkodas nelkul. Szoval aki Linuxon latott (szavaztak tobben is) az sziveskedhetne leirni mi volt hogy volt hogy lehessen tanulni az esetbol.

Az a kérdésem, hogy olyan helyről kapott angol nyelvű e-mailt ahol számlája van, azaz életszerű volt-e neki az e-mail? Mert teljesen mind1, hogy hova mentesz, és mit blokkolsz, ha az alapvető biztonsági szabályokat nem tartja be az illető ÉS (!) nincs személyes anyagi vonzata a helyreállítás költségének.

Minden partneremnek javaslom, hogy vegye bele és/vagy egészítse ki a munkaszerződéseket egy munkajogásszal közösen kidolgozott "IT mellékletet"-el amely a hatályos jogszabályok által biztosítja kétoldalú (tehát a munkáltatóra is kötelezően) jogok és kötelezettségekből eredő esetleges (kár)események rendezésének módját.

Szia!

Nem, nem volt eletszeru az email, viszont (boven) eleg meggyozo volt hogy egy angolul hianyosan tudo szemelyt megtevesszen.

A masik kerdesben nem ertek egyet, mivel szerintem a munkavallalot vagy megfelelo oktatasban kell reszesiteni, vagy (es ez sokkal eletszerubb) olyan rendszert kell tervezni alajuk ami megakadalyozza ezeknek a problemaknak a kialakulasat.

Tapasztalataim szerint nem lehet elvarni egy irodai dolgozotol (foleg azoktol akik nem fiatalok) hogy tisztaban legyenek azzal hogy a js file az nem excel, foleg miota letezik xls, xlsx, ods, xlsm, es meg ki tudja micsodak...

Kicsit mint a "Mayday, air crash investigation" a hiba soha nem egy tenyezobol fakad, es nem azt a "kisembert" kell elovenni erte aki a gombot vegul megnyomta.

+1

+1
Mar tiz eve is azt mondtam, kuldtel te a Fedex-szel barmit is ? Akkor miert nyitod meg az arrol szolo visszaigazolast?
(Akkor meg nem titkosito cuccok voltak)

Lekopogom, nalunk azota sem kapta be senki, havonta egyszer szolnak az adminisztracion, hogy nezzem meg, mert gyanus es alt. igazuk van. Neha en is kapok (atcsuszik az ESETS-en meg mason), nem nyitom meg, max mas rendszeren, virtualboxban vagy a forrasat.

--
http://www.micros~1
Rekurzió: lásd rekurzió.

nálunk kb októberben történt. Kolléga a céges mobilszolgáltató 100%-ig hitelesnek hitt emailjében kattintott egy linkre, és ennyi volt. Semmi zip fájl vagy más csatolmány. A TrendMicro nem fogta meg.

"a user pedig megtanulta hogy ertekes dolgokat csak a nasra mentunk, ahol zfs, auto snapshot van"

Nálunk volt egy pár közös network share, amit betitkosított. Milyen policy létezik arra Windows alatt, hogy valaki hozzá férjen egy share-hez, de ez mégse történjen meg? Jelenleg csak arra tudok gondolni, hogy nem engedjük elmenteni a felhasználó/jelszó kombót, illetve ReadOnly csatolás. Egyik sem életszerü. Ötletek?

--------
HOWTO: Zentyal+Zarafa+Setup+Outlook+Thunderbird+mobilephone sync

Szia!

En nem azt akadalyoznam / akadalyozom meg hogy megtortenjen, hanem biztositanam a megfelelo biztonsagi masolatok megletet.
Ha a nason nem ext, vfat, ntfs van hanem mondjuk zfs, vagy btrfs, akkor a megfelelo scriptezessel ez megoldhato, most worst case 1 napnyi muka megy karba a snapshotok miatt. (ezt persze lehet rovidebbre is venni, akar par percre is...)

Mindez segit olyan dolgokban is, hogy, oops, felulirtam, jaj, hova mentettem, bakker, nem azt kellett volna torolni, hogy is nezett ki ez a dokumentum tegnapelott?

Ezek mellett enni kvazi nem vagy alig ker...

köszi a választ.
Hozzávetölegesen hogyan kell tervezni a szabadon használható hely mennyiségét a snapshotok tárigényéhez visznyítva?
Nekem heti 1x a gépemen megy egy drive snapshot inkrementális mentéssel munka közben. Mielött elindul, áthelyezi a múlt heti mentést egy "lastrun" mappába, hogy az aktuális mentés ne a múlt hetit írja felül. Viszont Windowsról bezsélve, egyre durvább a helyigénye ennek a stratégiának.

--------
HOWTO: Zentyal+Zarafa+Setup+Outlook+Thunderbird+mobilephone sync

A snapshot, nagyjabol kb. annyi helyet ker enni, ami tenylesegesen minimalisan szukseges:
amennyi a difi.
Raadasul, azt hiszem van annyira okos (bar meg nem mertem), hogy tegyuk fel van egy 4MB-os fajlod.
Azt megnyitja egy progi, ami valtoztat rajta 1 byte-ot, akkor a snapshotnak kell 1 blokknyi (ez mar fajlrendszerfuggo, tipikusan 512b, 1k, 4k, ...) hely, es kesz.

Szoval a zfs igazan takarekos.

De meg ha nem is igy csinalja, vagy a program imitalja, mintha ujra kiirna az egesz fajlt, es az osszes bajtjanak valtozasat, akkor is, max. a megvaltozott fajl meretenek helyfoglalasaval kell szamolni a snapshoton.
Illetve, mivel egy share-ben sok fajl lehet: a megvaltozott fajlok helyfoglalasaval.

Btw. Van a zfs-nek egy szep feature-je:
ro modban a dataset .zfs/snapshots alkonyvtaraban megtalalod a snapshotok adatait is, nem kell hozza rendszergazdat hivni, hogy visszaadjon neked vmi. adatot.
Trukkos a zfs, mert a rejtett-nel is rejtettebb: az ls parancs meg ls -la eseten sem mutatja a dataset gyokereben a .zfs konyvtarat, de enged belelepni :)
Ugyanez, ha samban / nfs-en csatolod fel: ha explicit megmondod kliens oldalon, hogy a /.zfs -be akarsz bemenni, akkor tudsz.

rdiff-backup-ot hasznalok, naponta keszul mentes, es a ket evre visszamenoleges differencialis mentes helyigenye mindossze +10% (nagyreszt word, excel file-ok).

+1 az rdiff-backup-ra, magam is használom külső HDD-re, de úgy, hogy néhány mentést megtartok, a régieket törlöm.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ahhoz kell az eredeti full mentes, amihez kepest diffelsz, plusz az osszes diff, hogy a legutolso allapotot reprodukald. Nem?

Nem, mert dekrementális backup. Úgy csinálja, hogy a legutolsó állapot van meg tökéletesen. Ha csinálsz most egy újabb backup-ot, akkor ami változik, abból csinál egy tömörített differenciát, de visszafelé, tehát az újhoz képest tudja majd így előállítani az eggyel régebbit. Aztán persze ami változott, azt update-eli lényegében rsync-kel. Tehát csak azt kell frissítenie, ami változott, de a legfrissebb állapot van meg teljes egészében, s a differenciák ehhez képest időben visszafelé.

Ennek az az előnye, hogy sohasem kell full mentést csinálni, mert mindig az van. Nem kell attól tartani, hogy a régi állapothoz képest a jelenlegi már nagyon eltér, szinte semmi köze hozzá, s a sok diff-ből kellene előállítani. Itt simán megteheted, hogy például a 2-vel régebbi differenciákat törlöd.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A leírása alapján: "The target directory ends up a copy of the source directory, but extra reverse diffs are stored in a special subdirectory of that target directory, so you can still recover files lost some time ago."

Ha jól vettem ki, mindig teljes mentést csinál, csak pluszban csinálja a diffeket. Ez a plusz diff miért jó, hiszen minden korábbi mentésed teljes mentés? Vagy megadható neki, hogy az aktuális mentésben az extra könyvtárban legyen benne az elmúlt két évnyi változás, nem csak a legutolsóhoz képest? Mert az ötlet szimpatikus, csak vannak még fehér foltok.


"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

olyan nincsen linux alá, ami hasonlít a jó öreg netware állományrendszerére? arra gondolok, hogy megőrzött korábbi verziókat, amiket vissza lehetett állítani. tehát ha felülírtad, szépen visszahoztad a korábbi verziót. ez alapból tudta, nem kellett semmilyen scriptet, programot időközönként futtatni.


"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

"Találkoztál már ransomware által eltitkosított linuxos géppel?"

vs

"En windowson talalkoztam vele,"

???

/sza2

Még nem...


"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

A vallassal hogyan all a (...)kozosseg?

A nem frissített synology NAS-okat és XPENOLOGY-kat támadta 2015. nyarán egy féreg. Igazság szerint egy féléves, befoltozott, de fel nem telepített sérülékenységet kihasználva.

[Feliratkozás]

Igazán elmondhatná az a most 6 fő, hogy hol milyen körülmények között találkozott vele, én tűkön ülök.

Nem hiszem, hogy elő fognak kerülni. :D
---
Útirány.hu

Arra célzol, hogy trollok, vagy a kérdést sem sikerült megérteniük? :D


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Találkoztál már ransomware által eltitkosított l!f°4@s#~+ géppel?

Szerintem szégyellik.


DigitalOcean 10$ kredit- Cloudatcost VPS 50%: MEQy2epUny - <3 openSUSE, Ubuntu, KDE <3

Vagy trollok, akik szeretnék ha a szám nem 0 lenne.

--
trey @ gépház

Úgy néz ki, összesen hatan vannak.

Az egyik szegecs lesz.

Ki a többi 5?

Esetleg a többi profilja :-)

Épp most titkosította el a gépüket vmi ransomware, így nincs gépük, amivel válaszoljanak, esetleg elveszett a jelszókezelő db fájljuk is, így nem tudnak belépni.

:DD


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Akkor szavazni sem tudtak vóóónaa! :-)

Eddig meg nem talalkoztam olyannal, aki ismert volna olyat, akivel ilyen megesett volna. Termeszetesen ez nem zar ki semmit :)

1 hete kaptam egy decryptor 4-el titkosított gépet (https://noransom.kaspersky.com/)
Az orvos (merthogy inteligens, meg mindenre kattint...) teljes profilját elraktam, ha majd lesz hozzá visszafejtő algoritmus, visszakapja a cuccait.
Ja és mivel nem volt rendszergizda joga, csak a profilja volt az áldozat (pedig van a gépen még 8 másik profil is.

Addig ütném azt, aki ezeket kitalálta, amíg mozog. :/

"Az atombombát és a C vitamint is a Magyarok találták fel...
Mindkettőből elég, napi 500 mg. - by Bödőcs Tibor"

Mi volt az operációs rendszer?


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nem linux .. szerintem.