safonovstanislav написав:Есть вирусы, которые крадут критически важные данные, например пароли для доступа к деньгам в банках, и переводят эти деньги куда нужно. От таких защититься сложнее. А вирус уничтожитель данных, написанный школьником на коленке .... Если в организации всё правильно изначально настроено, работа всех компов восстанавливается за час, а чаще, вообще за 1 минуту.
хотел бы я посмотреть как полсотни железячных серваков с криптованными MBR восстанавливаются за минуту. даже в полностью виртуальной среде восстановить за час маловероятно. если там конечно не какая-то параноидальная схема снэпшотов с резервированием места, на порядок превышающего суммарную емкость всех данных конторы.
я как-то участвовал в ликвидации последствий пожара в датацентре одной западной компании, тогда сгорела san-овская стойка с данными нескольких сотен серваков. данные конечно же были забэкаплены, поэтому восстановилось практически все. но времени на все восстановление ушло от пары дней на наиболее критических ресурсах до чуть больше недели на всем остальном. причем пришлось задействовать довольно значительную толпу людей с организацией полностью беспрерывного процесса работы в 3 смены.
в организациях, которые активно совершают процессинг в реальном времени, потеря даже нескольких часов результатов работы (т.е. между суточными бэкапами) достаточно неприятна и убыточна.
кроме того, когда объем баз измеряется в терабайтах, бэкапную схему уже приходится допиливать в соответствии с содержимым.
конечно небольшую контору до сотни компов можно поднять быстро, но в промышленных предприятиях чуть другие масштабы.
кроме того, бэкапы это уже план Б. изначально система должна быть настроена не допустить эту порчу.
те, кто не накатил MS17-010 даже после WannaСry - это конечно отдельная история. Что до второй уязвимости - наглядно показала почему third-party софт и даже некоторые компоненты от MS типа серверов баз данных должны запускаться с отдельными сервисными аккаунтами с четко очерченными правами доступа.
на некоторых конторах центральная версия медка запускались прямо на админских серверах с соответствующими аккаунтами. соответственно с правами домен админа вирусу даже не нужно было сканить всю сеть - он сразу получал всю инфу прямо с контроллера.
вирусы с кражей паролей это как раз не сильно больно, все эти операции обратимы и нормально отслеживаются. в масштабе "кто-то снял десятки тысяч с банкоматов" может что-то и выгорит, но безвозвратно и незаметно погонять миллионные суммы по счетам не так и просто.
модифицированный прошлогодний "Петя" с добавками - как-то сложновато для школьника на коленке. сначала получили через оборудование провайдера доступ к серваку медка (благо тот дырявый, на уже не поддерживаемой версии FreeBSD и клиенты не имеют системы нормальной верификации обновлений), заразили компы жертв заранее, после чего дали сигнал на "Пуск" аккурат в день Конституции.
В Петю внедрили WannaCry для распространения через дыру в винде и mimikatz для воровства учетных данных, подредактировали процедуру шифрования MBR, чтобы по данным на экране нельзя было восстановить файлы декриптором от оригинального Пети (вместо реального install id туда писались рандомные цифры). вирус определял наличие в памяти Касперского, Нортона или Симантека и в этом случае просто безвозвратно портил раздел. Однако в файл reamde.txt писал таки реальный AES шифровки (зашифрованный встроенным заданным RSA).
Так что теоретически, имея это содержимое и закрытый 2048-битный RSA авторов вируса, можно восстановить все зашифрованные файлы.
Хотя есть все основания предположить что целью было именно положить системы, а не получать выкуп, просто авторы слепили все что у них было и не заморачивались переписыванием алгоритмов.
насчет "мытья сортиров" - у нас не та ситуация на рынке труда. все более-менее толковые уходят в аутсорс либо компания должна им платить зарплаты не украинского уровня (как-то директор одного интернет-сми признался что у его админов зарплата больше, чем у него).
