Вирус-вымогатель WannaCry

[Ladomir]

Только что были два звонка от знакомых, пострадавших от шифратора (скорее всего, именно от этого шифратора). Компьютеры домашние.

Первый был подключен к Телплюс через роутер, второй к Билайну, но напрямую...

[melifaro]

21 минуту назад, Ladomir сказал:

второй к Билайну, но напрямую...

У билайна локалка, один подхватил и понесется.

Цитата

IPv6, teredo — не слышали? 

Я на своих компах и роутерах  IPv6 отключаю сразу, толку пока особо нет, а все лишнее можно рассматривать как источник потенциальных проблем.

Цитата

Например сейчас в хомке нельзя отключать автоапдейт, в про тоже полностью не отключается.

А может для некоторого среднестатистического, не обремененного знаниями пользователя оно и лучше?

[Recruit2]

Так файерволл помогает или нет? Вробще инфы нет...

[queyron]

3 часа назад, AMA3OH сказал:

в следующий раз примется к сведению. Если бэкапы не большие, то нарезай на ДВД-диски. Будут пыжиться, но не смогут перезаписать или изменить.

Таки да, надо бы разрулить такой вариант. Писать на DVD-R, с мультисессией.

[queyron]

3 часа назад, ░▒▓▒░ сказал:

Что значит "в моём случае" ? Ты заразился штоле ?

 

Если домашние машины, то нет.
Если на работе, на работе где я работаю ЧП.

[HUNTER LIBERTY]

В 13.05.2017 в 09:27, Ladomir сказал:

Теперь и так все кинутся обновлять свои старые винды на десятку, а услуга-то теперь не бесплатна!

что-то не кинулся я куда-то обновляться -стояла стоит и будет стоять хрюша

[Pangolin]

А если установить у файла "Только чтение" - поможет от шифрования? для фоток

[queyron]

5 минут назад, Pangolin сказал:

А если установить у файла "Только чтение" - поможет от шифрования? для фоток

Атрибут Read Only помогает только от сидящего напротив монитора пользователя напару с Microsoft Explorer.

[Ladomir]

 

Директор Европола Роб Уэйнрайт:
кибератака, жертвами которой в пятницу стали более 200 тыс. человек в 150 странах мира, была беспрецедентной по своим масштабам, и предупредил, что в понедельник она может повториться и затронуть еще больше людей.
Хотя ранее временная мера задержала распространение вируса, хакеры уже успели обновить свою программу.

[ГМО]

На хабре пишут что ваннакрай первым делом хреначит теневые копии винды (средствами самой винды). Поэтому виндовые админы имейте еще один ручной бэкап с рандомным расширением, где то на отключенном томе.

[AMA3OH]

10 минут назад, ГМО сказал:

ваннакрай

название интересное - чуть ли не ванна через край.

[queyron]

11 минут назад, AMA3OH сказал:

название интересное - чуть ли не ванна через край.

Иными словами - хочется плакать, если дословно.

[Se®gio]

 

10 минут назад, AMA3OH сказал:

название интересное - чуть ли не ванна через край.

Wanna cry (want to cry) - хочу плакать. Если все шифранет, то точно захочется...

[queyron]

32 минуты назад, ГМО сказал:

На хабре пишут что ваннакрай первым делом хреначит теневые копии винды (средствами самой винды). Поэтому виндовые админы имейте еще один ручной бэкап с рандомным расширением, где то на отключенном томе.

Да, правда. Вот такими командами с помощью UAC bypass средств:

C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Вот хорошие примеры повышения привилегий чтобы запустить что-нибудь без пароля

https://habrahabr.ru/company/pm/blog/328008/

[Ladomir]

 

В общем да, лучшей защитой от заражения остается надежная и продуманная система резервного копирования.
И единственный способ вернуть доступ к файлам - это восстановить резервную копию или заплатить выкуп.

К сожалению в случае с WCry, нет способа восстановить зашифрованные файлы без доступа к закрытому ключу, сгенерированному шифровальщиком. Поэтому маловероятно, что бесплатный инструмент дешифрования будет доступен для жертв угрозы.

 

Признаки заражения:

Спойлер

Признаки заражения

Реестр

• HKLM\SOFTWARE\WanaCrypt0r
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\: “” <каталог шифровальщика>\tasksche.exe””
• HKLM\SOFTWARE\WanaCrypt0r\wd: “<каталог шифровальщика>”
• HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWallpaper.jpg”
• HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “<каталог шифровальщика>\@[email protected]”

Файловая система

• @[email protected] – размещен во всех папках с зашифрованными файлами
• @[email protected] – размещен во всех папках с зашифрованными файлами
• %DESKTOP%\@[email protected]
• %DESKTOP%\@[email protected]
• %APPDATA%\tor\cached-certs
• %APPDATA%\tor\cached-microdesc-consensus
• %APPDATA%\tor\cached-microdescs.new
• %APPDATA%\tor\lock
• %APPDATA%\tor\state
• <каталог шифровальщика>{PAGE_TEXT}000000.eky
• <каталог шифровальщика>{PAGE_TEXT}000000.pky
• <каталог шифровальщика>{PAGE_TEXT}000000.res
• <каталог шифровальщика>\@[email protected]
• <каталог шифровальщика>\@[email protected]
• <каталог шифровальщика>\b.wnry
• <каталог шифровальщика>\c.wnry
• <каталог шифровальщика>\f.wnry
• <каталог шифровальщика>\msg\m_bulgarian.wnry
• <каталог шифровальщика>\msg\m_chinese (simplified).wnry
• <каталог шифровальщика>\msg\m_chinese (traditional).wnry
• <каталог шифровальщика>\msg\m_croatian.wnry
• <каталог шифровальщика>\msg\m_czech.wnry
• <каталог шифровальщика>\msg\m_danish.wnry
• <каталог шифровальщика>\msg\m_dutch.wnry
• <каталог шифровальщика>\msg\m_english.wnry
• <каталог шифровальщика>\msg\m_filipino.wnry
• <каталог шифровальщика>\msg\m_finnish.wnry
• <каталог шифровальщика>\msg\m_french.wnry
• <каталог шифровальщика>\msg\m_german.wnry
• <каталог шифровальщика>\msg\m_greek.wnry
• <каталог шифровальщика>\msg\m_indonesian.wnry
• <каталог шифровальщика>\msg\m_italian.wnry
• <каталог шифровальщика>\msg\m_japanese.wnry
• <каталог шифровальщика>\msg\m_korean.wnry
• <каталог шифровальщика>\msg\m_latvian.wnry
• <каталог шифровальщика>\msg\m_norwegian.wnry
• <каталог шифровальщика>\msg\m_polish.wnry
• <каталог шифровальщика>\msg\m_portuguese.wnry
• <каталог шифровальщика>\msg\m_romanian.wnry
• <каталог шифровальщика>\msg\m_russian.wnry
• <каталог шифровальщика>\msg\m_slovak.wnry
• <каталог шифровальщика>\msg\m_spanish.wnry
• <каталог шифровальщика>\msg\m_swedish.wnry
• <каталог шифровальщика>\msg\m_turkish.wnry
• <каталог шифровальщика>\msg\m_vietnamese.wnry
• <каталог шифровальщика>\r.wnry
• <каталог шифровальщика>\s.wnry
• <каталог шифровальщика>\t.wnry
• <каталог шифровальщика>\TaskData\Tor\libeay32.dll
• <каталог шифровальщика>\TaskData\Tor\libevent-2-0-5.dll
• <каталог шифровальщика>\TaskData\Tor\libevent_core-2-0-5.dll
• <каталог шифровальщика>\TaskData\Tor\libevent_extra-2-0-5.dll
• <каталог шифровальщика>\TaskData\Tor\libgcc_s_sjlj-1.dll
• <каталог шифровальщика>\TaskData\Tor\libssp-0.dll
• <каталог шифровальщика>\TaskData\Tor\ssleay32.dll
• <каталог шифровальщика>\TaskData\Tor\taskhsvc.exe
• <каталог шифровальщика>\TaskData\Tor\tor.exe
• <каталог шифровальщика>\TaskData\Tor\zlib1.dll
• <каталог шифровальщика>\taskdl.exe
• <каталог шифровальщика>\taskse.exe
• <каталог шифровальщика>\u.wnry
• C:\@[email protected]

 

[Gungan]

Как хорошо когда у тебя рдс и ксен

[nickita.mihalckov]

упор в основном идет на серваки компаний, обычный юзерам, которые обычто не качают и не открывают, можно передохнуть

[Iron Monkey]

Делайте своевременные бэкапы, господа...

[Delta213]

Файлы шифруются на всех дисках? Или только на системном? Если система регулярно обновлялась (авто обновление включено) антивирус тоже, можно спокойно спать? Суммарно 6+тб, мне столько не забэкапить....

W 8,1

[asooka]

2 часа назад, nickita.mihalckov сказал:

упор в основном идет на серваки компаний, обычный юзерам, которые обычто не качают и не открывают, можно передохнуть

на работе один из пользователей сказал, что у родителей комп подхватил этот вирь (хотя сам лично не видел, может аналогичный шифровальщик), провод был напрямую от провайдера к компу, правда я сомневаюсь, что там был белый ip, но кто знает.

2 часа назад, Delta213 сказал:

Файлы шифруются на всех дисках? Или только на системном? Если система регулярно обновлялась (авто обновление включено) антивирус тоже, можно спокойно спать? Суммарно 6+тб, мне столько не забэкапить....

W 8,1

с шифровальщиками, с которыми я сталкивался, шифровали на всех дисках и искали общие папки, шифровали все, до чего могли дотянуться.

Автообновление + антивирь конечно резко снижают шансы подхватить гадость, но шанс всеравно есть. Ну а бэкап всеравно не повредит, ведь может жесткий накрыться, или ЧП какое типа пожара (тьфу, тьфу, тьфу). Так что все зависит от того, насколько ценная у вас информация.  

 

зы Кто-нибудь ставил заплатку на винду XP от этого шифровальщика ? Я на нескольких компах попытался, чет не прошло, хотя точно лицензия стоит  и на sp2 и sp3 пытался, чет не вышло.  

[F.E.A.R Machine]

13 минут назад, asooka сказал:

Кто-нибудь ставил заплатку на винду XP от этого шифровальщика ?

 

5 машин sp3 про лиц. без проблем.

 

[queyron]

15 часов назад выпущен первый инструмент по дешифровке файлов. Единственный минус - нужен приватный ключ RSA. Как пояснил автор, ключ хранится в памяти ОЗУ очень короткое время. В комментариях к твиту люди предлагают дампить память при нажатии кнопки decrypt

https://github.com/gentilkiwi/wanadecrypt/releases

[asooka]

18 часов назад, F.E.A.R Machine сказал:

5 машин sp3 про лиц. без проблем.

спасиб ) разобрался, ссылка на форуме была для ХП embedded 

[Ladomir]

Китайцы высказались (China Daily)

"Соединенные Штаты должны признать ответственность за кибератаку WannaCry, а вместо этого они чинят препятствия международным усилиям по противодействию глобальным киберугрозам."

"Согласованные усилия по борьбе с киберпреступностью были сдержаны действиями США"

"АНБ должно взять на себя часть вины, потому что компьютерный вирус был создан на основании одного из инструментов взлома, который агентство разработало для собственного использования, но который попал в руки киберпреступников".

 

У Wikileaks тоже новая публикация: о двух хакерских инструментах ЦРУ (AfterMidnight и Assassin).
Правда на этот раз обошлись без публикации исходных кодов, были выложены только описания самих инструментов.
При помощи Assassin можно получить удаленный доступ к системе на базе Windows, собирать и похищать самую разную информацию или устанавливать дополнительное ПО.

 

[Recruit2]

Оказывается не все так просто, и есть еще один злопыхатель!

 

Как удалось поймать Adylkuzz

В процессе исследования ребята подключили к интернету уязвимый к EternalBlue компьютер и ждали, когда он подхватит WannaCry. Но к их большому удивлению, компьютер подцепил неожиданного и менее шумного гостя — вирус-майнера Adylkuzz. Ребята несколько раз повторили операцию подключения чистого компьютера к интернету, результат тот же: примерно через 20 минут он оказывался заражённым вирусом Adylkuzz и подключается к его ботнету.

Судя по всему, атака шла с нескольких VPS, которые сканируют интернет и ищут цели с открытым 445-ым портом.

https://habrahabr.ru/post/328932/