Мы продолжим: вирус действительно на .Net, т. к. был встроен в .Net сборку ZvitPublishedObjects.dll. Вредоносный код не использовал запросы к сторонним серверам. В отличие от легитимного он лишь посылал собранные данные в куках на сервер M.E.Doc.
Мне вот только непонятно, как мог левый код попасть в сборку проекта? Никто не смотрел на содержимое системы контроля версий? Или хакнули билд сервер и пересобрали проект с другими исходниками?
Здравствуйте, Sharowarsheg, Вы писали:
S>А чисто теортически, зачем бы его обсфуцировать? Мы обсуждаем эту тему через неделю после того, как эпидемия кончилась.
Чисто теоретически обфусцировать бы стоило, чтобы:
— увеличить время эпидемии (не обфусцированный код проще проанализировать и прикрыть дыры)
— по возможности скрыть, какая информация собирается (например, чтобы затруднить определение заинтересованной в информации стороны)
А ещё лучше не писать для этого на дотнете
Здравствуйте, Sharov, Вы писали:
S>>>Зачем тогда вообще светиться, шифровать чего-то? Или просто следы заметают, косплея под вирус? S>>А денег-то им заплатили в конце концов хоть сколько-то?
S>по ссылкам пишут что копейки, несколько биткоинов. А так не знаю.
Да я почитал википедию, после этого вообще запутался
Additionally, although it still purports to be ransomware, the encryption routine was modified so that the malware cannot technically revert its changes
Вообще выглядит так, что кто-то взял чужой код и правил его. Дурь какая-то, в плане искать в этом мотивации какие-то мы тут замучаемся — этих мотиваций может быть два или три слоя от разных авторов
Здравствуйте, Sharov, Вы писали:
S>Меня уже опередили, но это набор замечательных историй: вирус на дотнете, даже не обфусцированный.
А чисто теортически, зачем бы его обсфуцировать? Мы обсуждаем эту тему через неделю после того, как эпидемия кончилась. Реально, скорее всего, вся эпидемия вместе со всем сбором данных заняла часа четыре. То, чем мы сейчас занимаемся, называется closing stable door after the horse has bolted. Ну посмотрели на исходник, прикольный, это же не дает ничего практически применимого.
Здравствуйте, vmpire, Вы писали:
V>Здравствуйте, Sharowarsheg, Вы писали:
S>>А чисто теортически, зачем бы его обсфуцировать? Мы обсуждаем эту тему через неделю после того, как эпидемия кончилась. V>Чисто теоретически обфусцировать бы стоило, чтобы: V>- увеличить время эпидемии (не обфусцированный код проще проанализировать и прикрыть дыры)
Время эпидемии не имеет особого значения в случае, когда нужно данные собрать. Атакующий же не хочет, чтобы всё лежало, он хочет побольше данных собрать. Тут существеннее будет скорость распространения и время работы организаций.
V>- по возможности скрыть, какая информация собирается (например, чтобы затруднить определение заинтересованной в информации стороны)
Это хорошо, но только если атакующий хочет сразу же использовать эту информацию. За три дня всё равно разберут, обсфуцируй или нет, и если данные будут использоваться через три дня, то уже всё равно.
Здравствуйте, Sharowarsheg, Вы писали:
S>Здравствуйте, vmpire, Вы писали:
V>>Здравствуйте, Sharowarsheg, Вы писали:
S>>>А чисто теортически, зачем бы его обсфуцировать? Мы обсуждаем эту тему через неделю после того, как эпидемия кончилась. V>>Чисто теоретически обфусцировать бы стоило, чтобы: V>>- увеличить время эпидемии (не обфусцированный код проще проанализировать и прикрыть дыры)
S>Время эпидемии не имеет особого значения в случае, когда нужно данные собрать. Атакующий же не хочет, чтобы всё лежало, он хочет побольше данных собрать. Тут существеннее будет скорость распространения и время работы организаций.
Зачем тогда вообще светиться, шифровать чего-то? Или просто следы заметают, косплея под вирус?
Здравствуйте, Sharov, Вы писали:
V>>>Чисто теоретически обфусцировать бы стоило, чтобы: V>>>- увеличить время эпидемии (не обфусцированный код проще проанализировать и прикрыть дыры)
S>>Время эпидемии не имеет особого значения в случае, когда нужно данные собрать. Атакующий же не хочет, чтобы всё лежало, он хочет побольше данных собрать. Тут существеннее будет скорость распространения и время работы организаций.
S>Зачем тогда вообще светиться, шифровать чего-то? Или просто следы заметают, косплея под вирус?
А денег-то им заплатили в конце концов хоть сколько-то?
Здравствуйте, Sharowarsheg, Вы писали:
S>Здравствуйте, Sharov, Вы писали:
V>>>>Чисто теоретически обфусцировать бы стоило, чтобы: V>>>>- увеличить время эпидемии (не обфусцированный код проще проанализировать и прикрыть дыры)
S>>>Время эпидемии не имеет особого значения в случае, когда нужно данные собрать. Атакующий же не хочет, чтобы всё лежало, он хочет побольше данных собрать. Тут существеннее будет скорость распространения и время работы организаций.
S>>Зачем тогда вообще светиться, шифровать чего-то? Или просто следы заметают, косплея под вирус?
S>А денег-то им заплатили в конце концов хоть сколько-то?
по ссылкам пишут что копейки, несколько биткоинов. А так не знаю.
