техника

ЖРАТ

Один из наиболее часто встречаемых мною вирусов за прошедшую неделю -- троян JRAT. Имя которого вызывает однозначные ассоциации (см. заголовок).

А так троян так троян. JRAT это Java Remote Access Trojan (хотя афффтар его называет Java Remote Administration Tool). Administration Tool, ага. С существующими плагинами для отключения индикатора работы вебкамеры. Уж прямо такой Administration Tool, что дальше ехать некуда, обадминистрироваться можно. Довольно хитрый вообще троян, хотя распространяется весьма тупо -- аттачами jar файлов в емайлах.

Что характерно -- так это то, что афффтар оригинального кода особенно даже не прячется.

hxxs://jrat.io -- вот его вебсайт.

Вообще, интересно кому-нибудь, как в домашних условиях провернуть несложный анализ не сильно замудрённого вируса? Я могу описать.

Я вот немного не погнимаю, как можно отключить индикатор видеокамеры, там же это в железе зашито, включили камеру, загорелся светодиод.

А реализация бывает разной. Где железная на уровне "диод подключен в параллель с питанием матрицы" -- там, понятное дело, поломать нельзя.

Но реализация также возможно на уровне прошивки камеры (которую можно взломать), а также на уровне драйвера камеры (это, понятное дело, самое простое ломать). Реализация на уровне драйверов также является весьма распространённой. Скажем, в Деллах с Реалтековской камерой -- именно так.
Она обязана быть железной и не ломаться снаружи.

Ну вот пока такие люди будут производить такие камеры и писать операционные системы с бесплатным обновлением, вы, ребята, без работы не останетесь.

А "существующий" плагин - авторства автора, или сторонний? Просто если плагин сторонний, то автор формально как бы не при чём...
Плагин автора.

За задницу автора взять проблематично, так как сам он не занимается распространением этого вредоносного кода. Он его просто пишет. И продаёт по 40 долларов штучка, уже тем, кто занимается распространением. Это именно то, что называется malware as a service.

Плюс он принимает платежи только в биткоинах, так что проследить их тоже весьма непросто.
А вот как от таких напастей обезопаситься? типа таких жратов и шифровальщиков всяких
судя по интернету сейчас всплеск у шифровальщиков (как в своё время порнобаннеры ловили направо и налево), которые тоже через емейлы заражают
Причем пишут, что раскодировать нереально в большинстве случаев... либо вычищать вирус и удалять зашифрованные файлы или платить за расшифровку

Ограничение прав учетной записи поможет? А то у жены работа через интернет и соответственно переписки с клиентами/поставщиками немеряно... что-то переживаю как бы случайно чего на винчестер не намотала))
Понимаешь, тут такое дело, что одной мерой данная проблема не пресекается. Безопасность всегда была комплексом мероприятий: как в Фотошопе нет кнопки "сделать охрененно", так и тут нет одного ответа, махом разрешающего всё.

Основная проблема -- она, увы, не технологическая, а пресловутый человеческий фактор. Несмотря на то, что интернет в развитых странах есть уже лет двадцать, народ в массе так и не может освоить несложную мантру "если неизвестный мне человек прислал неизвестный мне файл, то этот файл, скорее всего, открывать не надо".

Именно с этим нужно (и можно) бороться в первую очередь. Есть конторы, которые именно таким обучением зарабатывают деньги. В частности, наша :))

Что касается чисто технологических средств борьбы с заразой, то наиболее действенный -- это переход на операционную систему, слабо подверженную распространённым вирусам. Например, FreeBSD (PC BSD в её десктопной инкарнации), Линукс или Мак. ЖРАТ, правда, будет работать и там, если установлена поддержка Джавы -- но это же опция ;-)

Но тут есть очевидная проблема -- такое возможно не всегда, из-за ограничений нужного по работе софта или малоопытности пользователей.

Вторым по действенности технологическим средством я назову ежедневные бекапы. Это лучше всего работает против шифровальщиков. Ну, зашифровали тебе документы. И хрен с ним, восстановил машину из бекапа, и файлы назад воткнул. Пропадёт день работы -- это да. Только там надо по уму подходить -- бекап не должен быть доступен с машины. Т.е. подцепил внешний диск -- бекапнулся -- отцепил.

На данную тему написаны толстые тома, не обессудь -- я не смогу в комменте объять необъятное. Если подходить по уму, начать на самом деле надо с определения возможного ущерба бизнесу от простоя. То-есть, если вдруг ты потерял компьютер -- то сколько это будет в день стоить конторе? Сколько дней это может продолжаться, прежде чем это станет серьёзной проблемой? Исходя из полученных цифр, составляется бюджет, отведённый под безопасность. И в рамках этого бюджета берутся наиболее действенные средства.

Но, повторюсь, самый лучший выхлоп будет от обучения пользователей азам компьютерной безопасности в сети интернет.

> судя по интернету сейчас всплеск у шифровальщиков

Так и есть.

> Причем пишут, что раскодировать нереально в большинстве случаев... либо вычищать вирус и удалять зашифрованные файлы или платить за расшифровку

Ежедневные бекапы, сделанные с умом -- основа. К сожалению, в небольших конторах, где нет своего сисадмина или сисадмин приходящий, обычно это налажено из рук вон плохо.

> Ограничение прав учетной записи поможет?

Против дохлых вирусов -- да. Против серьёзных -- нет.
>>бекап не должен быть доступен с машины. Т.е. подцепил внешний диск -- бекапнулся -- отцепил
У меня есть NAS (WD MyCloud EX2) и в нем есть встроенная утилита по резервному копированию (собственно говоря и настроена на резервное копирование документов)
Правда вот к ней (папке с бекапом) есть доступ (как к сетевой шаре)
Буду думать как ограничить доступ

>>переход на операционную систему, слабо подверженную распространённым вирусам
сложно, ибо:
>>из-за ограничений нужного по работе софта или малоопытности пользователей

>>Против дохлых вирусов -- да. Против серьёзных -- нет.
ну вот например против шифровальщиков поможет? Или они тоже разные бывают?
> ну вот например против шифровальщиков поможет?

Нет, конечно, ведь атака идёт на документы -- т.е. файлы, к которым у пользователя и так есть полный доступ.
Я так и подозревал в принципе, но надеялся на лучшее)
надо представить, что внезапно сдох диск
вот шифровщик - примерно то же самое
чуть похуже, если используется dropbox или что-то подобное, причем без поддержки версионности файлов