Aktuality  |  Články  |  Recenze
Doporučení  |  Diskuze
Grafické karty a hry  |  Procesory
Storage a RAM
Monitory  |  Ostatní
Akumulátory, EV
Robotika, AI
Průzkum vesmíru
Digimanie  |  TV Freak  |  Svět mobilně
29.3.2016, Milan Šurkala, aktualita
Protože zašifrování celého disku je velmi nákladná operace, nový ransomware Petay na to jde mnohem jednoduše. Napadne zaváděcí záznam MBR na pevném disku, zašifruje MFT a ten se tak stane nečitelným. Útočníci pak vyžadují výkupné.
BlackRider (105) | 29.3.20167:24
Tak krome toho ze na novejsich pocitacich s UEFI vubec MBR nemusi bejt, tak MBR je tak jednoduchy opravit, ze na tohle muzou skocit jen nezkuseni uzivatele.
Odpovědět0  0
blue.sun (268) | 30.3.201618:48
Což je přesně typický cíl takových vyděračů. Trošku znalejší uživatel ­(nebo jen člověk s rozumně fungujícím mozkem, i když nemusí rozumět počítačům­) takové maily neotevírá a rovnou maže...
Odpovědět0  0
SpaceExplo (240) | 29.3.20161:24
"Místo celého disku zašifruje pouze jeho MBR, která říká, kde je jaký soubor. Nelze vědět, kde jsou jaká data a ta jakoby ani neexistovala.­" tohle neni pravda. MBR neobsahuje informace o rozmisteni souboru na disku, ale odkud ma zacit bootovat OS. Takze i kdyz mi neco zasifruje MBR nemel by byt problem se k datum dostat budto startem pocitace v nejakeho LiveCD­/DVD­/USB nebo prenesenim disku do jineho pocitace.
Odpovědět0  0
Cemada (1225) | 29.3.20167:06
jj, taky si říkám. Navíc MBR by mělo jít opravit pomocí Windows boot média a příkazového řádku ­(fixmbr, fixboot apod.­).
Ale jestli to nejde, tady není možná přístup k souborům jak zmiňujete a ani nejde opravid MBR, tak by mě zajímalo jak útočníci po zaplacení výkupného dají vše do pořádku.
Řekl bych, že nijak.
Odpovědět0  0
Luk Skywalker (510) | 29.3.20168:00
Pak se ovšem vydělává a o data se přijde tak jako tak.
Odpovědět0  0
Milan Šurkala (5149) | 29.3.201610:39
Tak když to člověk vezme kolem a kolem, jestli je zašifrovaná jen MBR, tak by se člověk k některým datům mohl dostat i pomocí různého softwaru, který hledá soubory na základě jejich typických signatur.
Odpovědět0  0
SpaceExplo (240) | 29.3.201610:48
???
Pane Surkalo, co Vas vede k presvedceni, ze v MBR jsou ulozeny informace o rozmisteni souboru na disku? Mohl bych Vas pozadat o uvedeni zdroju, ve kterych je toto popsano?
Odpovědět0  0
Milan Šurkala (5149) | 29.3.201611:04
Napsal jsem to nešikovně, za což se omlouvám. MBR má informace o diskových oddílech a když se neví tyto informace, pak se nedostane ani k souborům, protože neví, kde jsou, na kterém oddíle,... Nemělo tam být, že MBR říká, kde jsou, ale že poškozením MBR v konečném důsledku přestanu vědět, kde jsou, jaká je struktura disku a kde mám hledat jaký oddíl. Formulaci jsem opravil.
Odpovědět0  1
SpaceExplo (240) | 29.3.201611:14
Diky za opravu.

Porad tam jsou sice trochu ­"bulvarni­" vety, ktere si myslim, ze sem uplne nepatri, ale uz to alespon dava trochu smysl.
Odpovědět0  0
kokyn1 (93) | 29.3.201611:38
ještě že nové disky a OS místo MBR používají novější GPT :­)

btw. opravit MBR je otázkou sekund... a to vč případně detekce oddílů disku.

dokonce i kdyby to někdo neuměl k souborům se dostanete, stačí disk načíst v RAW módu což dělají mnohé recovery nástroje typu NTFS Undelete aj....

Zašifrování MBR je tedy problém opravdu jen pro neznalé a v každém slušném obchodě s PC ­(kde dělají i servis­) by to měli dát bezproblémů dohromady

Odpovědět0  0
kokyn1 (93) | 29.3.201611:47
a ještě pokud čtu na webu dobře pak nešifruje MBR ale MFT

Vir se zapíše do MBR a tváří se jako chkdsk, následně zašifruje MFT. MBR tedy napadá jen kvůli zajistění vlastního spuštění

"When first installed, the Petya Ransomware will replace the boot drive­'s existing Master Boot Record, or MBR, with a malicious loader.It will then cause Windows to reboot in order to execute the new malicious ransomware loader, which will display a screen pretending to be CHKDSK. During this fake CHKDSK stage, Petya will encrypt the Master File Table on the drive. Once the MFT is corrupted, or encrypted in this case, the computer does not know where files are located, or if they even exist, and thus they are not accessible."
Odpovědět0  0
kokyn1 (93) | 29.3.201611:51
co koukám tak se týká jen systémů s MBR... kdo má GPT je v suchu tzn. každý novější PC
Odpovědět0  0
M@jkl (130) | 29.3.201620:49
jenže ono ne každý má nejnovější PC a vzhledem k současný stagnaci nárůstu výkonu a ne zrovna nejlevnějším cenám mám třeba teď pod nohama už cca4 roky starej počítač, vedle mi běží ještě starej s775 Quad a i když vím, že sedmičky jdou strašně jednoduše odheslovat, tak dobrovolně na osmičky nepřejdu a vzhledem k tomu, že nakupovat veškerý nový HW nehodlám, tak nepodpora w10 mne usvědčuje v tom, že holt asi spadám do skupiny, která si prostě stále musí hlídat co otevírá za mejly a občas řešit lidi, který jsou na tom stejně jako já....
BTW: UEFI mi nepřijde zrovna jako krok kupředu, ale je to asi věc názoru....

jak se tedy bránit případný ztrátě dat? externí disk a na něj všechno ukládat? mít data na NASu nebo na linuxovym serveru? může se to svinstvo dostat i tam?
Odpovědět0  0
Milan Šurkala (5149) | 29.3.201621:23
To bude záležet na konkrétním viru. V tomto případě se asi patrně jen podívá, na kterém disku běží Windows a tomu disku přepíše MBR a zašifruje MFT. Možná to udělá na všech, které jsou v počítači, ale se síťovými disky se to asi drbat nebude ­(ono NASy jedou obvykle na Linuxu­). Jinak záloha je ideální řešení.
Odpovědět0  0
SpaceExplo (240) | 29.3.201621:55
Existuji dva druhy dat: ta, ktera mame zalohovana a ta, o ktera jsme jeste neprisli.
Odpovědět0  0
M@jkl (130) | 29.3.201622:17
https:­/­/www.svethardware.cz­/ransomware­-teslacrypt­-301­-posouva­-vydirani­-dale­-uz­-nepujde­-prolomit­/42052?utm_source=svethardware_newsletter_daily&utm_me­dium=email_article_title&utm_campaign=ransomware­-teslacrypt­-301­-posouva­-vydirani­-dale­-uz­-nepujde­-prolomit­/42052
zde se psalo o evidentně promyšlený prasárně, tak jsem se prostě chtěl zeptat i zde, jak tedy nějak nejjednodušeji chráni data a stroj na kterym se pracuje.... ­(s hraním je to složitější­-to je mi jasný)
Odpovědět0  0
kokyn1 (93) | 30.3.201616:46
zálohovat, zálohovat a zase zálohovat....

ideální mít po ruce obraz disku ­(tzn. po instalaci OS a všech aplikací které používám si udělám image­) a důležitá data někde v cloudu či jiném úložišti.

v případě že pak dojde o útoku nějakým takovým virem pak je překlopení PC do funkčního stavu otázkou jednotek až desítek minut podle výkonu stroje. Appky jsou tam, dokumenty jsou v cloudu a útočník si může ty svý dešifrovací klíče za 10tis strčit někam
Odpovědět0  0
kokyn1 (93) | 30.3.201616:41
pokud máte OS Vista a novější s vysokou pravděpodobností máte GPT a nikoliv MBR
Odpovědět0  0
George2005 (42) | 31.3.201622:49
No právě že ta pravděpodobnost zase až tak vysoká nebude ­(zvláště ne u W7 či právě Vista­) ­- stačí se jen podívat jakým způsobem výrobci PC­/NB dělali factory image v době před nástupem W8+ a UEFI ...
Odpovědět1  0
Zajímá Vás tato diskuze? Začněte ji sledovat a když přibude nový komentář, pošleme Vám e-mail.
 
Nový komentář k článku
Pro přidání komentáře se přihlaste (vpravo nahoře). Pokud nemáte profil, zaregistrujte se pro využívání dalších funkcí.