А ведь почти удалось…

Провайдер веб-хостинга, которым я пользуюсь для своего блога, заставил понервничать. Двое суток мой сайт лежал. А вместе с ним лежали ещё 400 тысяч сайтов других клиентов хостера. Причиной стала хакерская атака на провайдера, в ходе которой злоумышленники, судя по всему, получили доступ к внутренней сети хостера, зашифровали все файлы, включая базы данных клиентов и их резервные копии, и стали требовать выкуп:

Вкратце тут сказано, что всё зашифровано, не пытайтесь расшифровать, иначе потеряете все данные. Предлагают для доказательства того, что они могут вернуть данные, расшифровать любые три файла на выбор.

Сначала у хостера перестала работать система обслуживания клиентов, так что пожаловаться на проблему было некуда. Затем пропала их группа в Фейсбуке. Единственным источником информации стал твиттер, в котором можно было отслеживать ситуацию, ища сообщения по тэгу с названием хостера. К концу вторых суток я, признаться, уже начал думать, что свой блог мне больше уже не увидеть. Точнее, увидеть, но без записей за последние полгода, так как я сам очень редко делаю резервные копии.

Тем не менее, надо отдать хостеру должное: они работали без устали и в конце концов смогли расшифровать все файлы. Сайт, как видите, работает. Без потерь данных. Как и сотни тысяч сайтов других клиентов хостера. Осталось поймать злоумышленников и надрать им задницы свершить над ними великое мщение.

Эта история навеяла одно старое воспоминание. Тогда, в 1995 году (четверть века назад!), мой компьютер подхватил вирус OneHalf, принесённый другом на дискете с играми. Нынешняя ситуация с хостером похожа на ту давнюю историю в том, что тот вирус тоже зашифровал файлы на компьютере. С другой стороны, он не требовал выкуп, в отличие от нынешних кибер-жуликов.

Я даже нашёл запись о том происшествии в своём, тогда ещё оффлайновом, блоге. Вот, привожу целиком, без купюр (обратите внимание: это написано в 3:34 ночи; не знаю, почему я не спал 🙂 ):

12.01.1995  Чт  3:34 - 4:12
      Ну и  ну!  Только что я обнаружил у себя на компьютере самый что
   ни на есть настоящий вирус! Нашла его программа  Dr.Web версии 1.07
   от 15.11.94 (325 вирусов), списанная мною с работы. Вирус называет-
   ся OneHalf.3544 и относится к файлово-бутовым полиморфным резидент-
   ным вирусам!  А началось все с замедления процесса загрузки машины:
   после вывода таблички с параметрами  системы  происходила  заметная
   пауза, в  течение  которой компьютер что-то бодро делал с винчесте-
   ром. Поначалу я не обратил на это особого внимания, меня это слегка
   разражало, и только.  Думал, дело, наверное, в сильной фрагментации
   файлов на системном диске и т.п. Провел полную оптимизацию размеще-
   ния файлов.  Ничего не изменилось.  Тут я слегка встревожился. Пос-
   мотрел на объем свободной оперативной памяти:  она  уменьшилась  на
   4К. Я,  уже  не на шутку встревоженный (уж больно все это похоже на
   проявления вируса), стал запускать все подряд антивирусные програм-
   мы. Для начала - aidstest (версия от 14.11.94).  Он молчит,  ничего
   не говорит,  будто воды в буфер вывода информации набрал.  Запустил
   tntvirus. Результат аналогичный. Почти успокоенный, запускаю Dr.Web
   и тут, на тебе:
         В памяти обнаружен резидентный бутовый вирус OneHalf.3544
         Main Boot Record содержит бутовый вирус OneHalf.3544
      Я так и сел.  Срочно перезагрузился с загрузочной дискеты. Прос-
   мотрел список вирусов,  обнаруживаемых программой aidstest. Там та-
   кого вируса  нет.  Заглянул в аналогичный список программы Dr.Web и
   нашел там полную информацию по  этому  вирусу,  которую  и  привожу
   здесь для истории:
  ╔═══════════════╤════╤════╤════╤═════╤═══════════╤═════╤═══════════╗
  ║      Name     │Inf.│TSR │Eff │ Len │ Infected  │Inf. │File's len ║
  ║               │way │    │ects│( L )│   files   │place│  growing  ║
  ╠═══════════════╪════╪════╪════╪═════╪═══════════╪═════╪═══════════╣
  ║OneHalf.3544   │INT │MCB │ HV │3544 │.C.E&CE+boot i+e │ L *       ║
  ╚═══════════════╧════╧════╧════╧═════╧═══════════╧═════╧═══════════╝
  OneHalf.3544, OneHalf.3577
        Очень опасные  полиморфные  файлово-загрузочные  стелс-вирусы.
        Используют алгоритм заражения,  похожий на алгоритм Commander-
        Bomber. Но помимо того, что "усеивают пятнами" своего кода (10
        "пятен" по 10 байт) инфицированный файл, производят шифрование
        основного тела вируса,  расположенного в конце файла. При пер-
        вом запуске инфицированного файла,  заражают MBR "винчестера".
        Оригинальный MBR и 7 секторов своего тела "прячут" в последних
        секторах 0 цилиндра жесткого диска. При перезагрузке компьюте-
        ра,  "отрезают" от доступной DOS памяти 4K, считывают в "отре-
        занную" верхнюю область памяти свое продолжение - 7  секторов,
        и перехватывают INT 13h и INT 1Ch.  Контролируют с помощью INT
        1Ch установку DOS'овского INT 21h,  и перехватывают  его.  При
        каждой  перезагрузке системы с жесткого диска последовательно,
        начиная с последних цилиндров,  шифруют все сектора  трех  ци-
        линдров на каждой головке диска.  Когда вирусы находятся в па-
        мяти, они контролируют чтение секторов данных цилиндров и рас-
        шифровывают их.  Если же вирусы будут удалены из MBR и памяти,
        то восстановление зашифрованных секторов окажется невозможным.
        Иногда выводят на экран фразу:  Dis is one half. Press any key
        to continue ...  После этого ожидают нажатия на любую клавишу.
        После  чего  продолжают  свою дальнейшую инсталляцию в память.
        При попытке трассировки резидентной части вируса, предпринима-
        ют некоторые простые, но действенные меры "завешивания" систе-
        мы.  Содержат текстовые строки "Did you leave the  room?"  или
        "DidYouLeaveTheRoom?".
      Вот такая вот история.  Ну,  недолго думая, я запустил Dr.Web на
   уничтожение вируса. На это ему понадобилось минуты две. Причем, ан-
   тивирус не только удалил вирус,  но и уничтожил все (!)  следы  его
   деятельности,  т.е.  восстановил все файлы, которые тот смог испор-
   тить за время своего паразитирования на моем компьютере.  А  испор-
   тить он успел, насколько я смог заметить, только одну игрушку - The
   Incredible Machine,  ту самую, которой я недавно зафанател (кстати,
   я прошел ее всю,  от начала и до конца). Возможно, она и была пере-
   носчиком вируса. Кстати, этот вопрос надо еще изучить... А испорти-
   лась она так: сама по себе она работала, но при входе в меню работы
   с файлами в режиме Free Mode зависала.  Причем, сначала, как только
   она у меня появилась, этого не было.
      Короче, из всех антивирусных средств,  которые у  меня  имелись,
   только Dr.Web помог мне избавиться от вируса, в связи с чем я поду-
   мываю, не стать ли мне зарегистрированным пользователем сего  заме-
   чательного программного продукта.
2+

Братва

Интересная статья в блоге «Путинизм», подкрепляющая мою давнюю точку зрения о том, что существующая власть в России — это «братва» из девяностых, выполнившая свою задачу-максимум, прорвавшись к власти и сделав общаком всю страну.

https://putinism.wordpress.com/2018/05/02/bratva/

Я не думаю, что сейчас ещё можно что-то изменить. Все нужные гайки давно закручены, и система давно консолидирована. Впрочем, радует наличие хоть какой-то оппозиции. Может быть, ей удастся хотя бы постепенно как-то оздоровить ситуацию. Но знать об истоках нынешней власти в России, её корнях, необходимо. Чтобы помнить об этом смотря все эти помпезные инаугурации и ежегодные пресс-конференции.

3+

Пользователи, которым понравился этот пост:

  • Alex

Жульё в Пулково

Вчера вернулся из небольшого путешествия по Казахстану и Байконуру. Мне очень понравилась эта поездка, особенно запуск ракеты. 🙂 Обязательно более подробно напишу о своих впечатлениях чуть позже (с фото и видео). Однако вчера, на финишной прямой — по дороге из аэропорта Пулково (Санкт-Петербург, Россия) домой — случилось такое происшествие, которое по силе полученных впечатлений даже несколько отодвинуло Байконур с Казахстаном на задний план. Происшествие, к сожалению, неприятное. А именно — пришлось пообщаться с мошенниками. Рассказываю свой опыт в этом посте. Возможно, кому-то когда-то это поможет сохранить свои деньги.

Развод касается такси. Как во всех аэропортах и у всех вокзалов, у выхода из зоны прилёта в аэропорте Пулково дежурят таксисты, предлагающие свои услуги. Сейчас они выглядят вполне внушающими доверия. Ну, во всяком случае, солидно выглядящие бейджи, висевшие на шеях у таксистов, заставили меня думать, что это нечто официальное, а не какие-то произвольные бомбилы. К сожалению, это было ошибочное впечатление.

Как бы то ни было, мы решили воспользоваться услугами одного из таких «официально выглядящих» таксистов. Я сказал, куда нам надо ехать (на Гражданку) и поинтересовался ценой. Ответ был таким: «Мы — официальное такси Пулково, оплата производится по счётчику. Но получится чуть больше тысячи». Отметим, он сам назвал цену. Это вполне адекватная цена, столько оно и стоит. Поэтому я согласился. Мужик сразу подхватил наши сумки, донёс их до машины и погрузил в багажник. При этом был подчёркнуто учтив и, я бы сказал, услужлив. Возможно, даже чрезмерно. Когда сели и начали отъезжать, начался небольшой неадекват. Беседу таксист начал с того, что стал с каким-то нездоровым блеском в глазах и переполняющим его возмущением жаловаться на обилие гостей из ближнего зарубежья («узбеков всяких»), работающих в Убер и Яндекс.Такси, которые «грабят и насилуют наших женщин, подонки». Имхо, это немного странная тема для начала беседы в поездке. Ну ладно, поехали. На подъезде к выезду из аэропорта он снова начал вести себя странно. Очень торопился выехать за шлагбаум. Насколько я понял из его разговоров с «коллегами» по мобильнику, ему по каким-то причинам нужно было успеть выехать в течение трёх минут. Видимо, иначе пришлось бы платить какие-то деньги. А движение на выезде довольно плотное: недавно прибыло несколько рейсов, и авто с приехавшими потянулись в город. Перед нами какой-то джип пытался встроиться, включив поворотку. Наш водила очень сильно не хотел его пускать, но джип таки втиснулся. И тут начался цирк и клоуны. Наш водила выбежал из машины, чтобы, видимо, что-то высказать владельцу джипа, но увидев, что джип двинулся дальше, на полпути развернулся и побежал обратно. Но тут джип остановился, и наш «решала» снова бросился к нему. Так и метался как дурак, выставляя себя на посмешище. В общем, в итоге, он таки добежал до джипа, что-то сказал сидевшему в нём человеку, тот не отреагировал, и на этом инцидент был исчерпан. В этом, конечно, нет никакого криминала — это так, просто штрих к портрету нашего не совсем адекватного водителя.

А дальше начал постепенно разыгрываться сценарий развода. Водила включил некий «счётчик», который выглядел как небольшое электронное устройство типа навигатора или сотового телефона. Я успел заметить, что с самого начала там отображалась сумма что-то типа тридцати рублей. Видимо, «за посадку». Ну, это нормально. Но после этого он переключил счётчик в режим, в котором отображаются только какие-то кнопки, а текущей суммы не видно. Меня это, честно говоря, совсем не встревожило. В тот момент у меня просто ещё не было никаких подозрений.

Бóльшая часть поездки не отметилась ничем примечательным. Водитель вёл себя вполне адекватно. Поговорили о погоде, об Алма-Ате, из которой мы прилетели, и на прочие подобные, ничего не значащие темы. Отмечу однако один вопрос, который он нам задал: «Вы живёте в Алма-Ате?» Вполне естественно, что приезжих разводить гораздо проще, и наш ответ о том, что мы были там туристами, а живём в Питере, его, как мне показалось, разочаровал. Он даже пропустил мимо ушей мою реплику о том, что мы ездили на Байконур (это всё-таки не совсем типичное место для туризма, и обычно люди начинают этим активно интересоваться).

К концу поездки я заметил, что водила стал заметно нервничать. Барабанил рукой по ручке переключения передач.

Дальше кульминация и развязка. 🙂 Когда мы приехали и остановились около парадной дома, водила таки переключил счётчик в режим отображения суммы. На вопрос, сколько мы должны, он показал на счётчик, на котором отображалась удивительная сумма в 4500 с лишним рублей! Про эту сумму с трудом можно сказать, что она «немного больше тысячи». Она, блин, в 4,5 раза больше тысячи! Дальше обстановка в машине начала стремительно накаляться. Сначала у нас было только недоумение, уверенность в том, что это какая-то ошибка. Я живу в Питере и далеко не первый раз езжу на такси из Пулково, поэтому знаю, сколько стоит в настоящий момент эта поездка. Однако водила очень быстро стал набирать обороты, его речь стала приобретать агрессивный характер, он начал орать про то, что «за 1100 рублей» (сумма, на которую мы рассчитывали) он никогда бы в жизни из Пулково на Гражданку не поехал, что он, якобы, даже бензин не окупит. На вопрос, что же это за тема была с «чуть больше тысячи», которую он озвучил в аэропорте, он вёл себя так, как будто этого никогда не было, указывал на счётчик и говорил, что он тут ни причём, такие тарифы, и надо оплачивать по счётчику. Я сказал, что сейчас позвоню в «Пулково», на что он сам набрал телефон какого-то своего «начальника» и дал мобилку мне. «Начальник» явно был в сговоре с этим жуликом, подтвердил, что у них, якобы, такие тарифы и оплачивать надо по счётчику.

Когда у меня наконец не осталось никаких сомнений, что имеет место попытка развода на деньги, я стал думать над тем, что делать. Просто уйти (заплатив ту сумму, которую такая поездка действительно стоит) я не мог, так как наши вещи были в багажнике, который водила открывать отказывался. Кроме того, он, попеременно, то пытался выгнать нас из машины, то угрожал, что, если мы не выйдем, сейчас поедет обратно в Пулково вместе с нами, только там «мы заплатим уже восемь тысяч». Когда я понял, что миром дело не решить, я набрал на мобилке цифры «112» (полиция) и не нажимая «вызов» показал экран водиле и спросил: «Мне звонить сюда»? Он начал что-то вякать про то, что «звони, куда хочешь» и т.п. Потом пошёл на попятную и предложил «сделку»: я заплачу 2500 рублей и он отдаёт сумки. Тут я понял, что вовлечение в конфликт полиции не входит в планы жулика и что «противник поплыл» и надо его додавливать. 😆 Твёрдым голосом я сказал, что мы заплатим 1100 рублей и ни копейкой больше, или я звоню в полицию. Он продолжил упорствовать, и я привёл свою угрозу в исполнение. Когда он услышал, что я сообщаю собеседнику на другом конце провода марку и цвет его машины и диктую гос.номер, багажник тут же оказался открыт. Мы забрали свой багаж, я отдал водиле 1100 рублей, и мы разошлись. Хотя жулик попробовал ещё слегка поугрожать словами «мы ещё пересечёмся». На что я ответил «непременно». Что теперь вполне может оказаться реальностью, так как я написал на этого горе-афериста заявление в полицию.

Хочется ещё сказать, что будучи в Алма-Ате мы таким же образом наняли водителя-казаха в аэропорте. Вот только в отличие от его питерского «коллеги» тот оказался прекрасным человеком, рассказывал нам про город, останавливал машину в местах с красивыми видами, чтобы мы могли пофоткать, и брал за проезд строго заранее оговоренную сумму. Мы обменялись с ним номерами и пользовались его услугами несколько раз пока были в Алма-Ате. Остаётся лишь сожалеть, что в Питере нас ждал полностью противоположный опыт. 🙁

Будьте осторожны! Заказывайте только настоящее официальное такси на стойке в здании аэропорта и желательно с оплатой по карточке при заказе, а не наличностью водителю.

Ещё хочется отметить интересный эффект таких происшествий — когда человек нагло врёт тебе в глаза, и вообще меняется в одночасье так, что даже не верится, что это тот же самый человек. Эффект заключается в том, что, блин, просто пропадает вера в человечество. 🙂 Начинаешь всех и каждого подозревать в неискренности. Слава богу, это быстро проходит.

5+

Пользователи, которым понравился этот пост:

  • Alex