HELP!!! Вирус шифровальщик!

[theleo_ua]

и сколько бы аутпостов не ставили

юзерам аутпоста очень хорошо насрал яндекс:

В декабре 2015 года Яндекс приобрёл технологии компании Agnitum. Эти технологии будут использоваться для защиты пользователей Яндекс.Браузера. В результате достигнутых договоренностей Agnitum прекращает прямые и партнерские продажи продуктовой линейки Outpost. Обновление антивирусных баз, исправление ошибок и техническая поддержка будут осуществляться до 31 декабря 2016 года (c) http://www.agnitum.ru/index.php

возникают вопросы:

1) Что является адекватной заменой аутпостовского функционала
2) Что будет с серваками с которых аутпост черпает обновления и прочие данные, и не смогут ли злоумышленники подменить эти серваки

[Konstantin.V]

не смогут ли злоумышленники подменить эти серваки

Дело не только в IP-шниках, но и в сертификатах. Их должны будут отозвать. Хотя, возможны нюансы. Например, Аваст явно считает сертификат-авторитетом самого себя, а значит теоретически может забить, если в каком-то ноунеймном Веризоне Авастовский сертификат вдруг заэкспайрится.

[Nuclear.net]

Nuclear.net, слышь, ты, киберреволюция. Сначала лучше про переполнение буфера заясни. Почему это — принципиальная ошибка разработчиков?

браузеры,джава, флеш, адоб ридер, офис и службы windows написаны на C++, а в этом языке предусмотрено что текст можно передать процессору на исполнение, и это происходит в том случае когда например вот в этом тексте на форуме ты напишешь волшебные символы \r\n этот текст попадает в браузер и поскольку программист браузера не правильно определяет конец этого текста концом текста станет магич символ, а все последующее будет передано в качестве команд процессору. это очень упрощенное обьяснение в реальности там десяток допущений и нюансов. так вот все c++ программы подвержены этой уязвимости если они получают входные даннве и программист не правильно распознает окончание данных. есть правила безопасного кода (которые узнают после многих лет дикого программирования)

про фаервол аутпоста я не понимаю щачем он вам нужен? вирус передает и принимает любые данные в любом обьеме по протоколу HTTP GET, PING, UDP и многих других. вы весь интернет себе заблокировали и разрешили только портал адольфа? если так то от фаервола есть польза. иначе ее нет.

хотите помешать вирусу тогда уж ставьте поведенческий HIPS который есть в некоторых антивирусах (300р за конкретику, обращайтесь)

[Namynnuz]

Nuclear.net, молодец, что абсолютно некорректно описал работу переполнения буфера, предельно занимательное и полезное чтиво. А теперь где в этом потоке сознания хоть аргумент в пользу утверждения «принципиальная ошибка разработчиков»? Особенно в контексте «все c++ программы подвержены этой уязвимости» (что тоже в корне неверно).

[Konstantin.V]

есть правила безопасного кода (которые узнают после многих лет дикого программирования)

Как звучит-то! Дикое программирование

[Nuclear.net]

Как звучит-то! Дикое программирование

надо написать книгу Голая правда о шифровальщиках и кукисах. С адольфом и древокой на обложке

[Konstantin.V]

когда например вот в этом тексте на форуме ты напишешь волшебные символы \r\n этот текст попадает в браузер и поскольку программист браузера не правильно определяет конец этого текста концом текста станет магич символ, а все последующее будет передано в качестве команд процессору

Немного инсайда из мира дикого программирования, ррррр!

Ты немного намешал на кучу. Это не переполнение, это "code injection", и оно как раз конкретно к Цпп непосредственного отношения не имеет. Грубо говоря, пишешь в формочке на сайте закрывающий тэг, а дальше -- вставку на Жаба-скрипте. SQL-injection также весьма популярен. А вот "переполнение" таки имеет отношение к Цпп -- это когда происходит обращение к памяти за пределами предполагаемой структуры данных. В частности, на стеке, где таким образом можно -- нет, не выполнить сразу произвольный код, потому что сегменты данных в современных осях обычно защищены от исполнения -- но, например, подменить адрес возврата и попытаться извлечь из этого какую-то выгоду. Совсем не обязательно скормив при этом какие-то собственные страшные и ужасные "команды" непосредственно "процессору". Например, вполне можно обойтись тем самым инджекшеном, а вирус при этом может быть написан хоть на Вижуал Бэйзике (что, кстати, по-моему, частенько бывает) без единой вставке на Асме.

Ня

[quyse]

Тем не менее, группе ученых из Университета Пенсильвании, французского Центра по научным исследованиям (CNRS) и Университета Лотаргинии при помощи 3 тыс. процессоров всего за два месяца удалось взломать 1024-битный ключ, что позволило им пассивно дешифровать сотни миллионов HTTPS- и TLS-соединений. Как пояснили исследователи, сам по себе алгоритм не содержит бэкдор, однако его слабое место заключается в том, как различные приложения генерируют простые числа. По словам специалистов, разработанный ими метод применим только для 1024-битных ключей.

А если не читать жёлтых журналистов, а хотя бы бегло просмотреть собственно пейпер, то узнаём, что они придумали метод "математического" бэкдора для генератора рандомных чисел, используемого при генерации ключей для RSA/DSA, так что рандомные числа продолжают выглядеть рандомными, но операция дискретного логарифма (необходимая для взлома RSA) может быть выполнена за более-менее приемлемое время при использовании таких ключей.

Другими словами, это бэкдор для рандомного генератора. Сами со своим бэкдором сгенерировали ключ, сами потом "взломали" его, и ВНЕЗАПНО галактика оказывается в опасности

- - - Добавлено - - -

есть правила безопасного кода (которые узнают после многих лет дикого программирования)

Правило не работать с указателями напрямую и использовать обёртки типа std::string есть в любой книжке "C++ для чайников", жалко что их начинают читать только после многих лет дикого программирования

[Konstantin.V]

Правило не работать с указателями напрямую и использовать обёртки типа std::string есть в любой книжке "C++ для чайников", жалко что их начинают читать только после многих лет дикого программирования

Кстати, вот годный смысл для понятия "дикое программирование". Очень естественно звучит, имхо, и сразу как-то по смыслу стыкуется. По аналогии с дикарями

- - - Добавлено - - -

... Смысл, который, возможно, и подразумевался изначально, но я почему-то подумал, что имелось в виду что-то... навороченное, крутое, а не что-то... малограмотное, низкопрофессиональное

[JesusChrist]

а чем вас не устраивает текущая версия ? что в ней обновлять и исправлять ? она прекрасно работает.
а наборы правил для "доверенных приложений" это просто лол. ручками разрешайте и все

неочень. Спустя несколько недель аптайма появляются задержки звука и приходится перезапускать сервис. К тому-же с каждым обновлением ядра или каких-то системных файлов ОСи появляется вероятность того, что и софтина работать перестанет или начнет работать не корректно.

- - - Добавлено - - -

про фаервол аутпоста я не понимаю щачем он вам нужен? вирус передает и принимает любые данные в любом обьеме по протоколу HTTP GET, PING, UDP и многих других.

вирус/шифровальщик это приложение. Аутпост создает правила не только глобальные, но и для каждого приложения блокируя или разрешая соединения, как входящие так и исходящие по любому из этих протоколов на произвольные диапазоны портов, индивидуально. В этом его уникальность.

[NTmY]

А если не читать жёлтых журналистов, а хотя бы бегло просмотреть собственно пейпер, то узнаём, что они придумали метод "математического" бэкдора для генератора рандомных чисел, используемого при генерации ключей для RSA/DSA, так что рандомные числа продолжают выглядеть рандомными, но операция дискретного логарифма (необходимая для взлома RSA) может быть выполнена за более-менее приемлемое время при использовании таких ключей.

Другими словами, это бэкдор для рандомного генератора. Сами со своим бэкдором сгенерировали ключ, сами потом "взломали" его, и ВНЕЗАПНО галактика оказывается в опасности

а что в этом издании жёлтого? что касается безопасности 1к ключей, бог поможет, чего тут спорить

- - - Добавлено - - -

Аутпост создает правила не только глобальные, но и для каждого приложения блокируя или разрешая соединения, как входящие так и исходящие по любому из этих протоколов на произвольные диапазоны портов, индивидуально. В этом его уникальность.

брандмауэр виндовс попробуй

[theleo_ua]

Кто из вас как защищает флешки от вирусов? Например в ситуациях, когда на твоей флешке дистрибутив винды и прочие вспомогательные файлы, ты ее тыкаешь в комп того, кому эту винду ставишь, после этого вирус с его компа появляется в загрузочном секторе флешки (либо дешевым autorun способом либо более продвинутым, не суть), и если ты пойдешь с такой флешкой к кому-либо еще (либо ткнешь ее у себя дома), вирус автоматом заразит твой комп (либо комп кого-либо еще), соответственно ты хочешь чтобы такие вирусы на флешку не попали

[_47_]

https://habrahabr.ru/post/53642/
не благодари

[ultrarus4]

https://habrahabr.ru/post/53642/
не благодари

Чепуха, которая не защищает от вирусов.

Советую мини-картридер+карточка с блокировкой записи.

[Konstantin.V]

Кто из вас как защищает флешки от вирусов? Например в ситуациях, когда на твоей флешке дистрибутив винды и прочие вспомогательные файлы, ты ее тыкаешь в комп того, кому эту винду ставишь, после этого вирус с его компа появляется в загрузочном секторе флешки (либо дешевым autorun способом либо более продвинутым, не суть), и если ты пойдешь с такой флешкой к кому-либо еще (либо ткнешь ее у себя дома), вирус автоматом заразит твой комп (либо комп кого-либо еще), соответственно ты хочешь чтобы такие вирусы на флешку не попали

1. Авторан -- вселенское зло. Отключай его везде, где увидишь, и будет тебе счастье. На том компе, где он отключен, за внезапное исполнение авторан-кода можно, соответственно, не беспокоиться, даже если флешка заражена.


2. Когда ставишь кому-то Венду , не втыкай свою невинную девственную флешку в грязный чужой работающий комп с запущенной Вендой. Сначала в БИОСе установи приоритет загрузке с флешки, и тогда уже втыкай. Не забудь "сохранить изменения"! Если пользуешься одноразовым выбором бут-устройства, сначала потренируйся в его выборе в вынутой флешкой.


Поелику твоя флешка, вставленная в потенциально зараженный комп, может считаться в безопасности, только пока не начал исполняется код с потенциально зараженного носителя. В данном случае -- с вражеского винта. Если ты промахнулся с БИОСОМ, и успела начаться загрузка не с флешки, а с винта, и твоя флешка при этом не вынута -- формально она становится зашкваренной. Конечно, далеко не все вирусы встраиваются прямо в загрузчик, а из тех, которые встроены, не каждый начинает моментально заражать все подключенные устройства хранения данных, но гарантий обратного всё-таки уже не будет.


3. Как вариант -- пользуй вместо флешек USB-переходниками и SD-карточки, а на них -- переключатель защиты от записи. Я, правда, не разбирался, не может ли этот переключатель быть банально проигнорирован операционкой. Хорошо бы уточнить на всякий случай


4. Не запускай исполняемые файлы с флешек, которые побывали фиг знает где. Включая скрипты! Кроме тех, конечно, которые достаточно короткие, чтобы их можно было просто проверить глазами.


5. Следи за тем, чтобы в БИОСе загрузка с флешек (и сидюков заодно, ибо нефиг ) была отключена всегда, кроме тех моментов, когда ты на самом деле собираешься с них загрузиться. И/или следи за тем, чтобы на момент загрузки все флешки (и сидюки... кто ими еще пользуется ) всегда были вынуты.


6. Кстати, спасибо за вопрос! Я давеча давал другу попользоваться мою SD-карточку с Вендой. Предварительно сняв с нее образ. Он мне ее вернул, и там после него всего лишь добавился один лишний каталог с парой лишних файлов. Я стер эти файлы, и забил. А по-хорошему-то надо было не лениться и образ всё-таки перезалить. Пойду перезалью

- - - Добавлено - - -

Чепуха, которая не защищает от вирусов.

Советую мини-картридер+карточка с блокировкой записи.

Ты не в курсе, это "железное" ограничение? ОСь точно не может на него при желании забить?

[ultrarus4]

3. Как вариант -- пользуй вместо флешек USB-переходниками и SD-карточки, а на них -- переключатель защиты от записи. Я, правда, не разбирался, не может ли этот переключатель быть банально проигнорирован операционкой. Хорошо бы уточнить на всякий случай

Много лет эникеил пользуясь эти вариантом, в т.ч. вычищал зловредов. Прецедентов просачивания не было.

Однако!

В кастомных прошивках для фотоаппаратов Canon была функция обхода этой блокировки

[свернуть]

[Nuclear.net]

3. Как вариант -- пользуй вместо флешек USB-переходниками и SD-карточки, а на них -- переключатель защиты от записи. Я, правда, не разбирался, не может ли этот переключатель быть банально проигнорирован операционкой. Хорошо бы уточнить на всякий случай

реально крутая идея

[Konstantin.V]

В кастомных прошивках для фотоаппаратов Canon была функция обхода этой блокировки

Я так и подозревал. Там же просто микроскопическая пластмассовая фигнюшечка, ни к чему не подключенная. А дальше всё управляется программно. Ну а программно можно всякого науправлять

[ultrarus4]

Тащемта, картридер+флешка не самое удобное решение по габаритам, но зато надежное в плане сломался,купил новый за 200 рублей.
Существуют обычные usb-флешки c блокировкой, но думаю они не оч долговечны

[Konstantin.V]

Существуют обычные usb-флешки c блокировкой, но думаю они не оч долговечны

Бывают? Кажется, я таких не встречал. Но вот такое вот это уже, наверное, действительно никак нельзя будет заразить. Только, почему они должны быть недолговечны?