Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

Ladomir

Вирус-вымогатель WannaCry

Рекомендуемые сообщения

Речь идет о вирусе-вымогателе WCry, также известном как WannaCry или WannaCryptor. Он шифрует информацию на компьютере и требует заплатить выкуп в размере 300 долларов биткоинами за расшифровку.

 

Цитата

Хакеры атаковали компьютеры, подключенные к внутренним сетям СК и МВД, сообщил источник «Газеты.Ru» в силовых структурах. Кроме того, атаке подверглись оператор связи «Мегафон» и несколько британских медучреждений. Сообщения о заражении вирусом поступают из Великобритании, США, Китая, России, Испании, Италии, Вьетнама, Тайваня. Программа блокирует компьютеры, шифрует их файлы и требует за разблокировку оплату в биткойнах.

 

00.jpg

C_pR55uWsAErhdC.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Фигня какая то, не должны в серьезных корпоративных сетях сколько нибудь важные данные на рабочих станциях храниться, а если вдруг какой хлам на рабочих станциях и зашифровался, зачем таким организациям как СК, МВД и Мегафон об этом шуметь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата

Специалисты «Лаборатории Касперского» установили, что активно распространяющийся вирус-шифровальщик WannaCry использует известную сетевую уязвимость ОС Windows, закрытую специалистами Microsoft в марте. Об этом говорится в заявлении, поступившем в редакцию «Медиазоны».

"Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит, используя который злоумышленники запускали программу-шифровальщик"

В общем, обновлять надо Windows вовремя

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пользователь geektimes.ru kvaps:

"Некоторые компании советуют своим пользователям выключить свои компьютеры и ждать дальшейших инструкций.

Сконтактировавшись с бывшими коллегами я был удивлен похожими исторями.

Что касается меня, сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.

Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс на ней, как сразу же в течении нескольких минут она была заражена.

Все образы Windows были получены из MSDN, хеши совпадают, так что возможность заражения образа исключена".

 

Цитата

Хакеры, атаковавшие в пятницу медицинские учреждения Великобритании, а также испанскую телекоммуникационную компани Telefónica, использовали модифицированную вредоносную программу Агентства национальной безопасности (АНБ) США, пишет издание Financial Times со ссылкой на аналитиков в области кибербезопасности.

По словам экспертов, инструмент американских разведслужб, известный как eternal blue («неисчерпаемая синева») был совмещен с «программой-вымогателем» WannaCry.

Программа, разработанная АНБ позволяет вирусу распространиться через протоколы обмена файлами, которые установлены на компьютерах многих организаций.

 

На форуме фан-клуба Лаборатории Касперского

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
19 минут назад, Ladomir сказал:

В общем, обновлять надо Windows вовремя

Пользователи Linux'a лишь только усмехнулись...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, KPACAB4Er сказал:

Пользователи Linux'a лишь только усмехнулись...

Ты про Mac забыл...

 

Эдвард Сноуден: из-за разработанных АНБ инструментов теперь страдают пациенты клиник.

 

Директор "Мегафона" по связям с общественностью Петр Лидов:
Компьютеры сотрудников стали внезапно перезагружаться, а после перезагрузки появлялось окно с требованием заплатить $300, которое не позволяло продолжить работу.
Чтобы предотвратить распространение вируса, "пришлось отключить часть внутренних сетей"

 

В общем, вирус

"распространяется вслепую: то есть не выбирает жертв, а заражает тех, кто не защищен. Microsoft закрыл эту уязвимость еще в марте: компания выпустила обновление, которое автоматически установилось на компьютеры обычных пользователей. Всем, у кого система обновилась, вирус не угрожает. В некоторых организациях обновления устанавливаются не автоматически, а с одобрения людей, отвечающих за безопасность. Видимо, с проблемами столкнулись те ведомства и компании, в которых обновление не установили."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
9 минут назад, Ladomir сказал:

Директор "Мегафона" по связям с общественностью Петр Лидов:
Компьютеры сотрудников стали внезапно перезагружаться, а после перезагрузки появлялось окно с требованием заплатить $300, которое не позволяло продолжить работу.
Чтобы предотвратить распространение вируса, "пришлось отключить часть внутренних сетей"

:facepalm:Если это правда, то как мне это развидеть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Похоже у большинства заразившихся стоит семерка.

 

На карте количество зараженных компьютеров растет как на дрожжах. Астрахань тоже есть на карте.

 

:P Мой совет: вырубайте компы и побухайте недельку. Как говорится, бережёного...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Чтобы заразиться этим надо иметь белый ip прямо на компе с виндой.

У кого сейчас так ?

Обычный роутер уже спасает от этого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
6 минут назад, ░▒▓▒░ сказал:

Чтобы заразиться этим надо иметь белый ip прямо на компе с виндой.

А зачем тогда "компьютерам сотрудников" в корпоративных сетях белый IP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот это хороший и правильный вопрос.

 

cloth-children-039-s-room-cute-cat-pig-m

А теперь снова время офигительных историй от дядюшки Свина.

Однажды в 2003 году я сидел дома в инете через дилап от Реала.

Тогда на модемы все в общем-то провайдеры давали белые IP.

А виндовс у меня был 2000й, который интересен тем, что в нём что ломать

(служба RPC) уже есть, а брендмауера встроенного ещё нет никакого.

 

Сидел я сидел, смотрел на свой модем, и вдруг на нём побежал входящий трафик,

набежало +50кб, а дальше сообщение: Виндовс будет перезагружен через 60 секунд.

Тогда мы уже знали, что так заражает MSBLAST или как там его.

Антивируса у меня не было.

Что делаю - загружаюсь с какого-то лайв-цд, нахожу на винте самый свежий exe-шник

с датой за сегодня и размером как раз 50кб, стираю. Всё.

Но - проблема-то повторится, что делать ?

Из того что у меня было поставил AGNITUM OUTPOST.

Тогда он ещё был очень лёгким - только IP-файрвол, минимум функций, и не так заметно его на компе со 128MB RAM.

В нём создал два правила:

1. исходящие соединения разрешить.

2. входящие соединения запретить и вести лог.

И больше никакого функционала в нём не задействовал, ибо нафик.

(точно такой же эффект даёт просто нахождение компа за роутером с натом)

Всё. Повторных заражений не было.

А в лог постоянно сыпались попытки подключиться ко мне на порт RPC с соседних со мной в /24 IP Реала.

 

На этом всё. Подписывайтесь. Ставьте лайки. А видео на обзор присылайне сюда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 час назад, ░▒▓▒░ сказал:

Чтобы заразиться этим надо иметь белый ip прямо на компе с виндой.

У кого сейчас так ?

Обычный роутер уже спасает от этого.

Шифровальщик использует для проникновения уязвимость в сервере Samba. Он атакует компьютеры в локальной сети. Достаточно иметь один компьютер с интернетом, и все остальные без интернета будут тоже заражены. Вот как только передается ключ-пара, и другие данные не знаю.
 

Шифровальщик при работе удаляет теневые копии системной командой, затрагивает диск C:, на моем примере пока еще не видел шифрованных данных на D:. Накопители не трогает, autorun не прописывает на них и не заражает файлы. 

Если на компьютере часть данных защифрована, а часть нет - шифровальщик не успел завершить начатое. Теневые копии должны сохраниться, на рабочем столе и в других папках будут лежать файлы @[email protected] и @[email protected]

Содержание:

Спойлер

Q:  What's wrong with my files?

A:  Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
    If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
    Let's start decrypting!

Q:  What do I do?

A:  First, you need to pay service fees for the decryption.
    Please send $300 worth of bitcoin to this bitcoin address: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

    Next, please find an application file named "@[email protected]". It is the decrypt software.
    Run and follow the instructions! (You may need to disable your antivirus for a while.)
    
Q:  How can I trust?

A:  Don't worry about decryption.
    We will decrypt your files surely because nobody will trust us if we cheat users.
    

*   If you need our assistance, send a message by clicking <Contact Us> on the decryptor window.

Если запустить @[email protected] на машине где он не закончил процесс, расшифровщик продолжит дело. В конце поменяется заставка на рабочем столе и появится окно с обратным счетчиком.
wx1080.jpg

Компьютер в таком случае можно отключить лишь аварийным путем (зажатие кнопки выкл. или родительский способ), остальные способы он блокирует и не дает выключить компьютер.

Помимо этого, дешифровщик (@[email protected]) проверяет транзакцию BTC через btcfrog если нажать кнопку Check Payment, если оплата прошла то кнопка Decrypt будет доступна, детального механизма работы шифровальщика нету в сети. После 3 дней сумма возрастает с 300 до 600 долларов. Оплата в BTC, кошельков как минимум 4 и у всех разные. Детектироваться должен как:

1. Kaspersky - MEM:Trojan.Win64.EquationDrug.gen или Trojan-Ransom.Win32.Wanna.c

2. ESET NOD32 - Win32/Filecoder.WannaCryptor.D

3. Dr.Web - Trojan.Encoder.11432

https://www.virustotal.com/ru/file/b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25/analysis/

 

А чтобы обезопасить тебя, надо поставить KB4012215 (накопительный пакет, много весит, содержит много критических исправлений) или KB4012212 (то самое исправление в сервере Samba). Прямые ссылки на KB4012212 - x64 , x86

После чего проверить компьютер на вирусы, в основном по процессу лежат в C:\Windows\ и C:\Program Data\
Если компьютер нагружен на 100%, то 146% вирус в данный момент шифрует данные.

Что странно, Kaspersky не реагирует по началу на выполнение уязвимости, но после уже реагирует на шифрование данных (детектирует данные действия модуль "Мониторинг системы" и "Контроль запуска программ") и предотвращает выполнение. но при лечении с перезагрузкой шифровальщик возвращается снова.

Странно, но если переустановить Windows и не обновить (до пакетов с исправлением уязвимости), то через некоторое время компьютер заражается снова. Скорей всего виноваты открытые порты 135 и 445 через которые происходит заражение злоумышлениками. Вот просто сидишь и ничего не делаешь и антивирус даже не поможет. Наибольшее число зараженных компьютеров пока в России по картам заражения. Тут описано от пострадавшего, сканил через nmap.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, KPACAB4Er сказал:

Пользователи Linux'a лишь только усмехнулись...

И вспомнили про Linux.Encoder.1

Сейчас даже MacOS уязвима и атакуется, но первое место всегда будет у Windows.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Три основные особенности программы-шифровальщика WannaCry:


1) Она использует эксплоит ETERNALBLUE из арсенала шпионских инструментов Агентства национальной безопасности США (АНБ), который был выложен в открытый доступ хакерами Shadow Brokers. Патч, закрывающий эту уязвимость, для ОС Windows Vista и старше стал доступен 9 марта в составе бюллетеня MS17-010. При этом патча для старых ОС вроде Windows XP и Windows server 2003 не будет, так как они выведены из-под поддержки.


2) Помимо шифрования файлов она осуществляет сканирование интернета на предмет уязвимых хостов. То есть если зараженный компьютер попал в какую-то другую сеть, вредоносное ПО распространится и в ней тоже – отсюда и лавинообразный характер заражений.


3) Файлы шифруются не все, а избирательно - выбирают наиболее «чувствительные», т.е. документы, базы данных, почту

 

Мне сейчас пришло в голову: а ведь майкрософту вся эта шумиха вокруг вируса-шифровальщика очень даже выгодна. Теперь и так все кинутся обновлять свои старые винды на десятку, а услуга-то теперь не бесплатна!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, queyron сказал:

И вспомнили про Linux.Encoder.1

Сейчас даже MacOS уязвима и атакуется, но первое место всегда будет у Windows.

Да. Не забывайте, что когда 9 и 15 апреля хакерская группировка The Shadow Broker опубликовала арсенал так называемого «цифрового оружия» АНБ, там были множество инструментов для взлома  не только Windows, но и Unix.
Microsoft то как раз среагировала оперативно и уже 15 же апреля объявила, что пользователи Windows, установившие последние обновления, надежно защищены от обнародованных хакерской группировкой вирусов.

 

 

00_новый размер.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

АНБ и мягкотелые одна контора что ли? Почему так получается что винда фактически решето с огромными возможностями для различного рода хакерских  атак?! Так за это нужно платит?! Но не много политики добавлю, не зря Путин указ издал на днях про Стратегию. В которой написано много интересного в том числе и про создание программных продуктов!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Понятное дело что если ты архитектор здания ты знаешь все входы и выходы, а так же где стены слабенькие

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так вот почему курс Биткоина растет :fu: Добровольное участие в ботнет-сети. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Microsoft выпустила обновления для операционных систем, которые уже не поддерживаются, чтобы остановить распространение вируса-вымогателя WannaCrypt. Обновление вышло, в том числе для Windows XP, операционной системы 2001 года, хотя она уже три года не поддерживается. Обновление можно скачать здесь.

 

Цитата

Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, dr.Evil сказал:

Понятное дело что если ты архитектор здания ты знаешь все входы и выходы, а так же где стены слабенькие

Иногда эти дыры в "здании" специально делают: для своих (АНБ и т.п.). Да вот беда - чужие прознали, ключик украли  и воспользовались.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ну или так. Сноуденов везде хватает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Только что товарищ принес комп с этой шнягой. Avast не справился.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Только что, Se®gio сказал:

Avast не справился.

Да и с другой подобной шнягой ни один антивирь не справлялся

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, dr.Evil сказал:

Да и с другой подобной шнягой ни один антивирь не справлялся

Да вроде как уже во многих антивирусных базах есть он.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты