Кулхацкинг
Mar. 28th, 2016 03:17 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
kodak2004Походу, и до нас дошла волна блокировок. Инет в госпитале обрублен, все компы выключены, народ в ахуе - вся инфа, все назначения, все лабораторные и радиологические результаты в системе же. Работа парализована. Хопкинс тоже вроде как заражен.
Пользуясь случаем, передаю привет Лео :)
Upd.: Ломающие новости: http://baltimore.cbslocal.com/2016/03/28/fbi-probing-virus-behind-outage-at-medstar-health-facilities/
Пользуясь случаем, передаю привет Лео :)
Upd.: Ломающие новости: http://baltimore.cbslocal.com/2016/03/28/fbi-probing-virus-behind-outage-at-medstar-health-facilities/
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2016-04-01 06:23 pm (UTC)А они есть, я когда работал в РФ такие случаи встречал неоднократно.
Причин того, что в основном жертвы американцы, несколько.
Во-первых, таргетинг, различными техниками можно добиться, чтобы большинство жертв жили на территории США. Зачем этого добиваться? Потому что американцы богаты и наивны (об этом ещё ниже), сл-но, выше процент успешных компромайсов и выше процент людей, которые в итоге платят.
Во-вторых, да, американцы в среднем более наивны и уровень доверия между людьми в обществе гораздо выше, нежели в РФ. Подвоха, как правило, не ждут, и зря, конечно. Они с таким криминалом, по-большому счёту, сталкиваются только в интернет. Криминала в США сколько угодно, но как правило это криминал афроамериканского, пуэрториканского и мексиканского производства, а с ним, во-первых, существует довольно чёткая сегрегация -- криминал этот из своих гадюшников в приличные районы почти никогда не лезет, а к тому же криминал этого происхождения слишком туп для хакинга. По-большому счёту, 80% киберкриминалов это бывшие советские страны, преимущественно РФ и Украина, 10% Бразилия, 10% всё остальное. Есть ещё присутствие китайцев и израильтян, но это преимущественно правительственные программы, они редко где и когда гонятся за профитом. Например, все известные на сегодня и имеющие хоть какое-то значимое присутствие криптолокеры эрэфийского производства. Поэтому американцы в большинстве своём к этому просто не готовы.
В-третьих, вот, например, фрагмент кода криптолокера "Мактуб" (конечно, российского пр-ва):
Here's a memo that I've written to our infosec team, pointing out that we can use this as a countermeasure if we ever get hit heavily with this ransomware:
From a screenshot that Malwarebytes reverse engineer hasherezade provided in her report, it is clear, that the code cycles through all the values it gets. I assume that calling “GetKeyboardLayoutList” function returns values and places them to DS:ESI address space, then the virus compares first doubleword value to 419h, increments doubleword counter, loops through the process again until the counter is equal to a maximum memory address value of the returned address space. It *should* trigger the virus to do instruction on address 0F90E094 which is “jump if equal” and supposedly proceeds to skipping of calling encryption procedure (we don’t see it on a screenshot) IF an OS on which it runs has a Russian keyboard layout.
Therefore, if we configure russian layout on all endpoints using GP without language bar and without key combination to switch layouts we'll make our endpoints secure against encrypting portion of this malware.
no subject
Date: 2016-04-01 06:28 pm (UTC)no subject
Date: 2016-04-02 04:44 am (UTC)