Имя: Пароль:
IT
Админ
Как вытащить mdf файлы?
,
0 makfromkz
 
04.10.22
11:00
Шифровальщик зашифровал все файлы, но ms sql-сервер героически защищает свои файлы.
Как вытащить mdf-файлы ?
55 Kassern
 
04.10.22
12:12
(52) Если ту же картинку запустить в браузере, то вполне можно выполнить код.
56 PR
 
04.10.22
12:12
(53) Туши уже компьютер, чудо в перьях
Выдергиванием из розетки
57 PR
 
04.10.22
12:13
(55) Какой формат файла?
58 Kassern
 
04.10.22
12:13
Например те же pdfки любят открывать через браузер виндовый
59 PR
 
04.10.22
12:15
(58) pdf - формат картинки?!!
Все, тушите свет, сливайте воду
60 ads55
 
04.10.22
12:15
(56) я ему уже на другом ресурсе час назад сказал из розетки выдернуть, сделать копию диска и запустить сервак с другого загрузочного диска.
61 Kassern
 
04.10.22
12:16
(59) Причем тут свет и вода? Я же пишу по факту, что вирусом могут быть заражены остальные файлы. При желании можно и в картинке его запустить, через тот же браузер. Почитайте переписку всю. Вы же утверждаете, что этот вирус никак не вызвать и не запустить без другой вредоносной программы. Картинка тут была лишь как пример, можно использовать и более уязвимые файлы.
62 Gary417
 
04.10.22
12:17
(54) (54)
4. программа просмоторщик использует уязвимую либу которая передает управление коду внутри картинки

а при "любви" многих пользователей к обновлениям, это вполне вероятно
63 Gary417
 
04.10.22
12:17
(62) https://www.opennet.ru/opennews/art.shtml?num=50857 -- вот пример как вирус в чисто текстовом файле бывает
64 Kassern
 
04.10.22
12:17
(62) пускай человек верит, что переустановка винды решит все его проблемы с вирусами.
65 Kassern
 
04.10.22
12:19
И уязвимостей ведь не бывает в виндовых приложениях, через которые эти файлы открываются. Винду же пишут святые люди.
66 Gary417
 
04.10.22
12:20
(63) +древний пример с виндовой дыркой, как раз с картинкой, гуглить 'JPEG of Death"
67 PR
 
04.10.22
12:20
(60) Да ему и здесь уже в (25) написали, но чукча не читатель по ходу
68 Смотрящий
 
04.10.22
12:24
(66) Эти дыры давно закрыты и неактуальны. Новых пока не обнаружили
69 PR
 
04.10.22
12:24
(61) Еще раз, мы говорили исключительно про картинки
Если какой-то идиот из этого сделает вывод, что, к примеру, и в файлах офиса не может быть ничего плохого, то это проблемы идиота
Не нужно из утверждения "Вирус может сохраниться в файле docx и потом выполниться при открытии этого файла вордом" делать вывод "Вирус может выполниться при открытии чего угодно, bmp, gif, jpg и пр."
70 PR
 
04.10.22
12:25
(62) У программы просмоторщика есть имя?
71 PR
 
04.10.22
12:28
(63) Я правильно понимаю, что ты мне приводишь примеры, когда в программах просмотра/редактирования предусмотрено выполнение кода, каким-либо образом, не важно?
Если так, то еще раз, прочитай (54) пункт 3
И еще раз, мы говорили ИСКЛЮЧИТЕЛЬНО про картинки
И да, разные другие форматы и разные другие программы вполне себе возможно, что МОГУТ выполнять код из файла
72 Kassern
 
04.10.22
12:28
(69) Если вы прочитаете мое начальное сообщение на эту тему, то помимо картинок я привел еще несколько типов файлов. Но даже ту же картинку можно использовать для запуска вируса, пример тому запуск через браузер и эксплойты в нем. Это тоже будете отрицать? Вполне возможно есть эксплойты и в виндовой проге просмотра картинок.
73 Gary417
 
04.10.22
12:29
(68) да? часто CVE мониторишь? я за 5 секунд дыру 19 года нагуглил вот https://learn.microsoft.com/en-us/security-updates/securitybulletins/2015/ms15-029
74 PR
 
04.10.22
12:29
(64) Да хватит уже так старательно натягивать сову на глобус, у совы уже глаза повылазили
75 Kassern
 
04.10.22
12:29
Не понимаю, зачем вы так рьяно привязались именно к картинке. Моя мысль была проста, что нужно с осторожностью и пониманием запускать оставшиеся на компе файлы после вирусной атаки.
76 PR
 
04.10.22
12:30
(72) Все, я заканчиваю, разговор о сферическом коне в вакууме
77 PR
 
04.10.22
12:30
+(76) Тут ТС розетку дернуть никак не соберется, какие нахрен вирусы в джепеге
78 Kassern
 
04.10.22
12:31
(77) Так он наверное уже винчестер снимает, думаю, через пару часиков отпишется)
79 PR
 
04.10.22
12:31
(75) Спасибо, Кэп
80 Смотрящий
 
04.10.22
12:32
(73) Дядя, 2019 год был три года назад
81 PR
 
04.10.22
12:32
(78) Пока он ни хрена не снимал, все норовил в SMS зайти
82 Gary417
 
04.10.22
12:32
(71) не пункт 3, а то что достаточно, в некоторых случаях, просто зайти в папку где лежит 'специально сформированный файл с картинкой' - чтобы выполнился код
запускать ничего не надо, достаточно не ставить на винду апдейты и качать файлы непойми откуда

конечно такой сценарий нечастый но вполне реальный
83 Gary417
 
04.10.22
12:33
(80) тут каждый второй 'я отключил апдейты в винде'
дядя ты на win server на 1С каждый месяц апдейты ставишь? тут подавляющая часть мисты так почти гарантированно не делает
84 Kassern
 
04.10.22
12:35
(81) бяда...
85 PR
 
04.10.22
12:37
(84) Ну, запорет сейчас боевые базы, напишет, что делать, если бекапов нету, а боевые зашифрованы, уа, уа, памажите пажжалуйстааа
86 Смотрящий
 
04.10.22
12:38
(83) Раз в неделю
87 Kassern
 
04.10.22
12:39
(85) На это я ему уже дал совет в (10)
88 Gary417
 
04.10.22
12:40
(86) молодец, а остальные?
у меня в марте куча народа консультировалось (не на мисте, а вообще) как апдейты отключить, а некоторые радостно вопили что 'воот! правильно! я сразу как систему ставлю все вырубаю чтобы враги ничего не поломали'
89 Смотрящий
 
04.10.22
12:41
(88) Да че мне до остальных ? Не хотят "мыться" раз в неделю - будут ходить как чушки.
А от грязи (0) заводится ...
90 Kassern
 
04.10.22
12:44
Интереснее всего, как умудрились этот вирусняк поймать и куда смотрел админ
91 Kassern
 
04.10.22
12:49
У нас простые смертные юзверы сильно ограничены в доступе в инет, исполняемые файлы скачать не могут. 1ска хранится но отдельном серве, доступы туда так же ограниченные. Бекапы пишутся на отдельную машинку для этих дел, так же с ограниченными правами. Сложно представить, что надо сделать, чтобы словить такой шифровальщик и пролюбить еще и бекапы.
92 mistеr
 
04.10.22
12:54
(3) Вирус зашифровал бэкапы и не смог зашифровать рабочие базы? Это какой-то недоделанный вирус.

Если базы действительно в рабочем состоянии (в чем я сомневаюсь), делай выгрузку в dt.
93 Kassern
 
04.10.22
12:56
(92) Файлы базы могут быть открыты скулем монопольно, что не дает их модифицировать. Как только скуль потушится, вирусняк их скушает.
94 PR
 
04.10.22
13:00
(92) Вот еще один специалЫст
Вирус работает под определенной учеткой
Совершенно нормально, что на файлы скуля есть права только у скуля и поэтому они остались незашифрованными
Совершенно нормально, что на файлы бекапов права не только у скуля и поэтому они зашифровались
Одинеска при этом, скорее всего, и это тоже нормально, работать не будет, потому что что-нибудь нужное для работы зашифровалось
Поэтому не очень понятно, что такое выгрузить в dt
И не очень понятно, почему dt не зашифруется на лету
И не очень понятно, чем это лучше скулевых бекапов
Если тем, что SMS уже не запускается, так это вообще последний звонок, что нужно тушить сервер, а не dt пробовать выгрузить
95 mistеr
 
04.10.22
13:14
(93) В прошлом году в одной конторе было так. Бот сканирует порты, находит RDP, подбирает пароль (или ломает, если старая уязвимая версия; как было в этом случае не знаю). Дальше управление передается человеку. Он заходит, смотрит, где лежат, базы, где бэкапы, тушит скуль и запускает шифровальщик. В логах остались следы всех этих действий, с зачисткой не стали париться.

Частичная автоматизация оказывается эффективнее полной.

P.S. Базу восстановили с дт-шника, сохраненного на компе пользователя. Он их иногда делал по старой памяти, еще со времен файловой.
96 mistеr
 
04.10.22
13:17
(94) Возможно и не сработает, но если скуль жив, можно попробовать.

В совеременных версиях скуль при установке на папку бэкапов назначает права только себе.
97 Kassern
 
04.10.22
13:19
"Бот сканирует порты, находит RDP, подбирает пароль" - это ппц какая дыра в безопасности, просто так жопку сервака во внешку выставлять. По уму должна быть ВПНка поднята и через нее удаленка оформлена. Или это вирусняк уже внутри компании доступы подбирал с зараженного компа?
98 Chai Nic
 
04.10.22
13:19
(95) Это уже не вирусная, а полноценная хакерская атака
99 stix2010
 
04.10.22
13:22
(0) а dt то не выгрузить с другого компьютера, пока sql героически сражается?
100 Kassern
 
04.10.22
13:23
(99) он от сетки отсоединил сервак, боится, что вирус остальные компы заразит
101 mistеr
 
04.10.22
13:29
Интересно, а на линухе можно dt выгрузить? Через Исполнитель какой-нибудь или как-то еще...
102 Garykom
 
гуру
04.10.22
13:54
(0) машина то хоть какая? физический доступ есть к дискам?
103 makfromkz
 
04.10.22
15:06
Всем спасибо за участие.
Оказывается хакеры не все предусмотрели, и нам повезло USB флешка с Live CD увидела райд и позволила с ним работать.
Мы вытащили MDF + LDF файлы и через SQL сервер знакомых конвертировали в DT файлы.
У нас базы еще помещаются в файловых форматах 1С.

Так что глБух перестала лить слезы ручьем в преддверии ручного набивания данных за год.
104 Kassern
 
04.10.22
15:08
(103) И что планируете делать, чтобы подобной свистопляски не повторилось?) Завтра может по второму кругу все пойти, если забить на проблему.
105 Chai Nic
 
04.10.22
15:46
(104) Главный принцип - НЕ РАБОТАТЬ на сервере 1с. Когда он не соблюдается, возникает вот это. Вероятность использования сетевой уязвимости на несколько порядка меньше, чем запуска юзером-раздолбаем вредоноса из интернета или с флешки.
106 mistеr
 
04.10.22
17:12
(105) Давай, объясни это миллионам, работающим в терминале. :)
Ну и админский доступ по-любому есть, админов-раздолбаев тоже хватает.
107 Chai Nic
 
04.10.22
17:15
(106) Работа в терминале - особый случай, требующий жесткого ограничения прав простых юзеров, и высокой квалификации админов, знающих что можно запускать а что нельзя.
108 Kassern
 
04.10.22
17:15
(106) Так терминальник - это обычно отдельный сервак. Там где все в одном, такая задница и получается.
109 vovastar
 
04.10.22
17:24
Кстати, а кто скажет, вот сейчас распространяется Астра Линукс, надо ли на него ставить антивирус? Или шифровальшику пофигу?
110 Kassern
 
04.10.22
17:27
(109) Лучше поставить. "Или шифровальшику пофигу" - смотря как код написан
111 Злопчинский
 
04.10.22
18:30
(9) я написал: если бардак и разгильдяйство - см (5)
112 Fram
 
04.10.22
18:58
(109) Так же как с виндой. Если в системе работают пользователи, то надо. Если только службы вроде 1с сервера и SQL то толку ноль, вред только
113 Повелитель
 
05.10.22
06:49
(34) (21) Вот вы фантасты ребята.
Вирусы в бут-секторах, в биосе, сами собираются из mp3 и jpg.

Вся информация по этми вирусам в свободном доступе, посмотрите как они работают.
Вариантов конечно много, но не такие же фантастические.

Сейчас часть шифровальщиков работает так. В случае получения нужного доступа, вирус сигнализирует владельцу. Владелец удаленно входит и контролирует процесс.
Поэтому есть случаи, когда систему переставил, а вирус опять шифрует. Просто у вас остался открытый доступ. И в вашей сети, хакер как дома уже.
У знакомого так было, их зашифровли и они переписывались с хакером 3 дня, не хотели платить, но сделать ничего сами так не смогли. Так как были зашифрованы базы, бэкапы и второй сервер с бэкапами. Хакер признался, что поработал у них удаленно. В итоге заплатили 0,1 биткоина ему. Расшифровали.

Поэтому как тут уже писали. После атаки первые действия, это переставлять зараженную ОС и второе срочно закрывать доступ, менять пароли для доступа везде.
114 Kassern
 
05.10.22
09:12
(113) "Вирусы в бут-секторах, в биосе" -вы считаете, что вирусов там быть не может?
"сами собираются" - это же как обычные приложения по своеобразному манифесту. Что в этом фантастического? Взять того же "Computer Killer" - "При получении управления вирус выделяет себе блок памяти посредством вызова функции PageAllocate и “собирает себя по частям” в единое целое в этом выделенном участке памяти"
"mp3 и jpg" - это всего лишь возможные контейнеры для вируса, возможно использующие эксплойты системных приложений.
115 Обработка
 
05.10.22
09:15
(0) Ты уже второй мой близкий знакомый кому зашифровали данные.
И это всего за месяц.
Очень страшно жить с такими случаями.
Благо работаю на компанию где думаю с безопасностью норм.
А вот я боюсь про домашний комп.
Там в принципе ничего жалко кроме фото семьи за 15 лет!
116 Повелитель
 
05.10.22
09:23
(114) В обычной жизни, я думаю "Вирусы в бут-секторах, в биосе", когда он туда случайно попал.
Считаю что такое возможно только в случае целенаправленной хакерской атаке. Поэтому считаю это маловероятно. Я лично как ответственный за сохранность и работу баз, не переживаю из-за этого.
Так как шифровальщики напали на 2-х моих хороших знакомых. Один из них я написал в (113).
То я переговорил с руководством об реальной опасности шифровальщиков, провел некоторые работы. Самое главное, в каждом офисе стоит бэкап сервер, который включается по расписанию и забирает бэкапы в себя, в сети не отсвечивает, к интернету не подключен. Руководство одобрило данное решение.
117 Повелитель
 
05.10.22
09:24
(116) В обычной жизни, я думаю "Вирусы в бут-секторах, в биосе", когда он туда случайно попал, практически исключено.
118 Повелитель
 
05.10.22
09:29
(115) У меня дома бэкапы в 2 места, первое это на внешнем диске и ещё второй комп собрал из старого железа. Включаю второй комп раз в месяц, чтобы слить на него бэкапы важной информации, в том числе и фото/видео.
Так же важные данные бэкапы в облаку делаю.
Самый простой вариант, купить внешний диск, его подключать только для того, чтобы слить на него бэкапы.
119 Обработка
 
05.10.22
09:32
(118) У меня в доме 3 компа большинство файлов продублировано именно фото и видео семейное. ))
120 1c-kind
 
05.10.22
11:36
ПО - ходу самый действенный способ защиты - это отдельный человек, который раз в день будет переписывать бэкапы на внешний диск, лучше на два ))
121 Bigbro
 
05.10.22
11:39
когда началась вся заваруха у нас издали отдельное распоряжение помимо обычных бэкапов раз в неделю переносить копии основных баз на отдельный внешний диск который хранится отключенным от компутера.
122 Смотрящий
 
05.10.22
11:39
(120) Самый действенный - автоматический.
Отдельный человек накосячит обязательно
123 Kassern
 
05.10.22
11:43
(120) У одного моего клиента в 3 места бекап пишется, один рядом на сервак, другой на сетевой NAS, а третий пишется на удаленный сервер. Везде различные ограничения по доступу.
124 1c-kind
 
05.10.22
11:54
(123) Думаете это спасет от мотивированных , грамотных хакеров?
125 Krendel
 
05.10.22
11:55
(124) В большинстве случаев-да
126 Kassern
 
05.10.22
12:01
(124) это не скуль сразу в 3 места пишет. Это делают разные проги. Еще вроде зеркальная копия сервака через акронис делается время от времени и скидывается на удаленный сервак.
127 Обработка
 
05.10.22
13:05
На сколько я понял причиной всегда это простой пароль на сервера который подбирается на раз два.
Ввели бы более серьезные пароли который подобрать сложно не было этого у большинства.
128 Chai Nic
 
05.10.22
13:09
(127) Тогда бы их стали в файликах сохранять на рабочем столе или на стикерах подписывать
129 Kassern
 
05.10.22
13:09
(127) + еще и девайсы сетевые оставляют с дефолтными логинами и паролями.
130 Kassern
 
05.10.22
13:10
(128) В чем проблема запомнить пароль из 8 знаков?) Это делается на подкорке после раза 10-20 ввода.
131 Krendel
 
05.10.22
13:12
(130) У меня сейчас активных 37 паролей ;-)
132 Kassern
 
05.10.22
13:15
(131) И один мастер пароль "admin"?)
133 mistеr
 
05.10.22
13:20
(130) Сегодня 8 знаков уже мало. На арендованном GPU кластере подбирается за часы.
134 1c-kind
 
05.10.22
13:28
(133)  От этого спасет политика попыток неправильного ввода пароля - Например 3 попытки , далее блок учетки на час.
135 mistеr
 
05.10.22
13:37
(134) От офлайн подбора не спасает. Если удается перехватить сетевой трафик при входе пользователя, там передается хэш пароля. Дальше офлайн подбор.
136 Смотрящий
 
05.10.22
13:41
В даркнете давно существуют гигабайтные таблицы хэш/пароль. Методу шифрования знать надо только.
137 mistеr
 
05.10.22
13:43
(136) Для простых и словарных паролей да. Для сложных нет. Там уже не гигабайты, а петабайты будут, Интернет лопнет.
138 Смотрящий
 
05.10.22
13:45
(137) Так таких простых и словарных 99.(9)%
139 Chai Nic
 
05.10.22
13:46
(130) Если бы это был один пароль) А то каждый сервис требует свою авторизацию. И пароли по идее должны быть уникальными. Что вступает в противоречие с возможностями человека - нереально обычному не-гению помнить десятки бессмысленных комбинаций.
Отсюда делаем вывод, что пароли в современных условиях - профанация защиты.
140 1c-kind
 
05.10.22
14:41
Раз уж пошла такая тема, есть Qnap подключен в общую сеть на сервере MS sql как IScsi. Включается по расписанию , назначенный bat файл копирует свежие бэкапы, Qnap выключается.
Так два раза в сутки. Wake on lan отключен.
Насколько это оптимально и безопасно ? Может есть более интересные способы?
141 mistеr
 
05.10.22
14:46
(140) А старые бэкапы кто стирает?
142 1c-kind
 
05.10.22
14:47
(141) Эникей )
143 Kassern
 
05.10.22
14:49
(140) А бекапы хоть как-то проверяются на корректность? Если вирус уже как с месяц бекапы шифрует, а остальное не трогает?) В итоге старые бекапы перезапишутся новыми зашифрованными, а узнаете вы об этом, только когда решите развернуть базу с бекапа, или когда вирусняк получит команду зашифровать систему.
144 1c-kind
 
05.10.22
14:50
(143) Раз в неделю минимум восстанавливаю из бэкапа базы в тестовые копии для разработки.
145 Smallrat
 
05.10.22
15:18
(137) Там вроде тема была, что если мы перехватили хэш и знаем метод вычисления хэша, то по таблице просто подбираем пароль, которые дает такой-же хэш и всё - типа этот пароль подойдет. Или сейчас все сложнее?
146 Arbuz
 
05.10.22
16:11
(145) Сейчас всё то же самое.
Во-первых: размер таблицы? Например, прямая таблица хеш-пароль; md5 и 10-ти символьный пароль большие-маленькие латинские буквы + цифры: строка таблицы - 128 бит хеш + 10 байт пароль + (разделители полей, но х.. с ним) = 26 байт; стойкость пароля 62 бита (26+26+10); 62^10*26 = 19 эксабайт (это которые за пета), Карл!
Во-вторых: Скорость генерации таких таблиц? Как правило чистые хэш-функции не используются, добавляется хотя бы соль, т.е. для каждого значения алгоритм/соль нужна своя таблица. Тащемто повсеместно используются алгоритмы типа md5 + соль(n) поверх sha1 100500 раз, как раз для повышения трудоёмкости расчёта, сиречь снижения скорости подбора/генерации пар хеш-пароль.
Таким образом криптостойкий (нигде не повторяющийся, случайносгенерированный, от 12 символов большие/маленькие/цифры/спецсимволы) - считается невосприимчивым к брутфорсу/подбору_по_таблицам.
Есть конечно нюансы, типа криптоуязвимостей алгоритмов, радужных таблиц, спектральных подборов и т.д., но если на стороне криптопроцессинга всё сделано как полагается, то это всего лишь нюансы.
147 Повелитель
 
07.10.22
06:27
(146) Хороший расклад. А то недавно спорил с коллегой, который утверждал что пароли это всё ерунда, так как в среднем делают 8-10 символов и на видеочипах, которые по нескольку миллионов хэшей в секунду перебирают, подберут любой пароль.
Моя же позиция такая. Хакеру нет смысла к каждой учетке пароль подбирать, если это занимает много времени, или ему нужно будет брать в аренду сервер на видеочипах, платить за это деньги. Хакера заинтересует это если он будет уверен, что данная учетка принесет ему большой куш. Таким образом криптостойкий (нигде не повторяющийся, случайносгенерированный, от 8-10 символов большие/маленькие/цифры/спецсимволы) уже считается очень надежным.
И вторая моя позиция, на данный момент когда пишут, что кого-то сломали, я практически не встречал что кто-то подобрал пароль, обычно его слили. Сколько сообщений, то Яндекс базу сольёт, то Пикабу, то ВБ, то ещё кто-то. А если учесть что у многих 1 пароль на всё, то это просто подарок хакерам. Если на предприятии с безопасностью проблему, а сисадмину наговнили, то этот сисадмин берет базу и сливает в сеть. В Яндекс-браузере как-то появился сервис по хранилищу паролей, который выдает регулярно сообщения, такие-то и такие учетки на них скомпрометирован пароль, поменяйте.
Поэтому переборов я лично не боюсь, проблема в слитых данных.

Хотя в 2014 году столкнулся с перебором. У нас админ один недалекий, открыл RDP на сервере порт стандартный 3389, учетка была "Администратор" пароль там был 111, блокировка по количеству неверных паролей отключена. Примерно через неделю шифровальщик был уже на сервере и всё там зашифровал.
148 Обработка
 
07.10.22
06:39
Достаточно такой пароль примерно.

WERsdf!1 или XCVsdf@2
149 Chai Nic
 
07.10.22
07:49
(148) Скорее всего, все легко запоминаемые клавиатурные комбинации уже включены в эти гигатаблицы для подбора. Так что запоминать нужно истинно случайные символы.
150 Обработка
 
07.10.22
08:29
(149) А ведь у меня так и мысля была. Значит буду придумывать себе новые пароли везде.
151 Йохохо
 
07.10.22
09:36
(150) держи идею "Lacio мерде"
152 makfromkz
 
16.10.22
17:26
(150) ? Как ты думаешь вот такой пароль комп (программа переборщик) быстро подберет: "Я волком бы выгрыз бюрократизм"
153 makfromkz
 
16.10.22
17:29
(130) Доживёте до моих лет, поглядеть бы как вы запоминаете 8-байтные пароли :)
154 Bigbro
 
17.10.22
06:22
помню в старые добрые времена учебы в универе сисадмины заставляли менять пароль каждый месяц кажется.
и при этом напоминание о необходимости его смены выходило уже через 2 недели, что бесило разумеется.
поэтому каждый раз при смене пароля в конец дописывалось очередное матерное слово в адрес этих @#%$@@!!
и главное было при вводе пароля не перепутать порядок.
рекомендую.
Xnj, xthnb lhfkb "nb[ ljk,fys[ Blbjnjd rjnjhst ghblevfkb Negjq vt[fybpv t;tvtczxyjq cvtys {htyjds[ gfhjktq!!!111
это очень мягко и примерно одна четверть от того что было реально использовано
думаю это не подобрать по таблицам.
Выдавать глобальные идеи — это удовольствие; искать сволочные маленькие ошибки — вот настоящая работа. Фредерик Брукс-младший