С медстаром всё боле-мене ясно, Кодак дал ссылку со скриншотом. Это самсам, который до сих пор распространялся через эксплуатацию РЦЕ уязвимостей в ЖБоссе. Т.е. это не фишинг, это к-л медстаровский веб-сайт доступный через энторнет, использующий жбосс в кач-ве аппликэйшн сервера, причём жбосс непропатчен, что ахтунг. Червь проникает на жбосс, если жбосс стоит на винде, далее сканирует сеть с правами юзера, из-под которого выполняется жбосс, и шифрует всё и уничтожает бэкапы. Если права юзера имеют админские права на других серверах -- он копирует туда себя и всё повторяется.
Самсам в этом плане отличается от прочих криптолокеров, большинство из которых доставляется через фишинг. Поэтому да, если это тупой простой юзер, то всё ограничивается моими документами и теми сетевыми папками, на которые у юзера есть права на запись. А вот если это админ... Или если шара, на которую складываются бэкапы, доступна всем подряд на запись... Или админ тупой и на инфицированном юзерском компе к-л прочекал чекбокс "сохранить юзер и пароль" и ввёл свои данные...
no subject
Date: 2016-03-29 09:03 pm (UTC)Самсам в этом плане отличается от прочих криптолокеров, большинство из которых доставляется через фишинг. Поэтому да, если это тупой простой юзер, то всё ограничивается моими документами и теми сетевыми папками, на которые у юзера есть права на запись. А вот если это админ... Или если шара, на которую складываются бэкапы, доступна всем подряд на запись... Или админ тупой и на инфицированном юзерском компе к-л прочекал чекбокс "сохранить юзер и пароль" и ввёл свои данные...