Вирус-вымогатель WannaCry

[░▒▓▒░]

В итоге его комп нахватал кучу всякой вирусни, хорошо что безобидной.

 

[AMA3OH]

а как жеж еще. учатся на своих ошибках. Не правда ли?

[░▒▓▒░]

Нихера никто не учится, раз такое постоянно происходит.

 

[dr.Evil]

Цитата

Начиталась на работе смешных историй, посмеялась втихую, но это я еще не знала, что меня ждет дома. Ключ от квартиры только у меня - это важно, вобщем прихожу домой, смотрю мой ноутбук еще работает. Дело в том, что уходя на работу я оставляла закачку, которая мне очень нужна и очень длинна, а дома оставались мои коты на хозяйстве. Заглядываю в ноутбук и вижу найденную через поиск майл ру страницу газеты "Коммерсантъ" и готовый начать закачиваться браузер Амиго. Первой пришла мысль: ничего ж себе, а если я завтра оставлю ноутбук они откроют бизнес? Ну что хочется сказать: в интернет могут быть не только мошенники, но и коты. Причем одно не исключает другого!

 

2 минуты назад, ░▒▓▒░ сказал:

Нихера никто не учится, раз такое постоянно происходит.

 

 

ООО. Я мог бы написать целую поэму о не очень умных юзерах.

[queyron]

8 минут назад, ░▒▓▒░ сказал:

В итоге его комп нахватал кучу всякой вирусни, хорошо что безобидной.

 

Скорей не вирусни, а Adware программ. Ну и вирусни не исключено, но чаще всего программы которые находят антивирусы после заражения, классифицируются как рекламные (Adware иными словами).

[░▒▓▒░]

Короче, есть три пути распространения вирусов, вообще вирусов, не только этого конкретного.

 

1. Вы сами скачали и запустили exe-файл, (вот числе из e-mail.)

 

2. Атака по локальной сети с другого заражённого компа или бука с Windows,

(на всякий случай - если у вас дома несколько компов и или буков и все они подключены к

одному роутеру проводами или wifi, то вот в этой локальной сети возможны атаки одного устройства на другое)

 

3. Прямая атака через интернет на белый IP. Актуально только если у вас нет роутера, а провод провайдера заведён

прямо в комп и этот комп - единственный кто получает инет.

 

[melifaro]

Только я в этом случае не могу понять, как крупные организации то попали, там что почтовые сервера exeшники не режут, юзеры с полными правами сидят и ставят себе кто чего горазд?

[░▒▓▒░]

Всё так и есть !!!

[queyron]

27 минут назад, ░▒▓▒░ сказал:

Короче, есть три пути распространения вирусов, вообще вирусов, не только этого конкретного.

 

1. Вы сами скачали и запустили exe-файл, (вот числе из e-mail.)

 

2. Атака по локальной сети с другого заражённого компа или бука с Windows,

(на всякий случай - если у вас дома несколько компов и или буков и все они подключены к

одному роутеру проводами или wifi, то вот в этой локальной сети возможны атаки одного устройства на другое)

 

3. Прямая атака через интернет на белый IP. Актуально только если у вас нет роутера, а провод провайдера заведён

прямо в комп и этот комп - единственный кто получает инет.

 

1. Запуск файлов .JS, .VBS, .EXE
2. Запуск текстовых документов из писем с OLE объектами, внутри вирус либо документ с макросом. У меня на работе переносится иногда вирус, который заражает doc, docx файлы добавляя OLE объект внутрь. Kaspersky хорошо реагирует
3. Посещение сайтов без антивирусной защиты, маловероятно

4. Атака на открытые порты, брутфорс RDP ваших серверов

 

http://dentnt.windowsfaq.ru/?p=2493

[Ladomir]

Если говорить о расширениях файлов, то WannaCry зашифровывает файлы и документы со следующими расширениями, добавляя .WCRY в конце названия файла:

.lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

[queyron]

10 минут назад, Ladomir сказал:

Если говорить о расширениях файлов, то WannaCry зашифровывает файлы и документы со следующими расширениями, добавляя .WCRY в конце названия файла:

.lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Список не полный. Вирус еще шифрует базы данных, в моем случае тронул файлы fdb, но не затронул бэкапы fbk )))0)

 

https://pastebin.com/xZKU7Ph1

 

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

[░▒▓▒░]

Что значит "в моём случае" ? Ты заразился штоле ?

 

[AMA3OH]

1 минуту назад, queyron сказал:

но не затронул бэкапы fbk )))0)

в следующий раз примется к сведению. Если бэкапы не большие, то нарезай на ДВД-диски. Будут пыжиться, но не смогут перезаписать или изменить.

[melifaro]

Только что, AMA3OH сказал:

в следующий раз примется к сведению. Если бэкапы не большие, то нарезай на ДВД-диски. Будут пыжиться, но не смогут перезаписать или изменить.

От шабашка, не проще взять самый примитивный бытовой NAS (на нем виндовый вирус точно не запустится) и настроить прогу для резервного копирования, скажем, раз в сутки, с хранением бэкапов за две недели.

[AMA3OH]

иногда вытаскиваю на свет старые софты, и когда они находятся на винтах, флешках... защита частенько глушит там. А вот на двд- уже ничего сделать не могут. 

Архивирую на 3 источниках, разных. Имел горький опыт лет 10 назад. За полторы сутки восстановил, с тех пор - стал умнее. И когда наступал момент критический, то легко вытаскивал на свет.

 

[Ladomir]

30 минут назад, queyron сказал:

Список не полный. Вирус еще шифрует базы данных

Ну я привел список файлов актуальных для большинства домашних пользователей.
А так да WannaCry шифрует много чего: PDF, текстовые файлы, базы данных, фотографии, музыка, видео и даже  файлы образов, архивы и пр. (полный список включает 166 расширений)

 

Результаты анализов

VirusTotal анализ >>

 

Цитата

WanaCrypt0r сам скачивает клиент TOR из xxxxs://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip и извлекает его в папку TaskData. 
Этот клиент ТОР затем используется им для связи с C&C-серверами: gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion, xxlvbrloxvriy2c5.onion, 76jdd2ir2embyv47.onion и cwwnhwhlz52maqm7.onion.

WanaCrypt0r завершает процессы баз данных:
taskkill.exe /f /im mysqld.exe
taskkill.exe /f /im sqlwriter.exe
taskkill.exe /f /im sqlserver.exe
taskkill.exe /f /im MSExchange
taskkill.exe /f /im Microsoft.Exchange

Записи реестра, связанные с WanaCrypt0r Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "[Installed_Folder]\tasksche.exe"
HKCU\Software\WanaCrypt0r\
HKCU\Software\WanaCrypt0r\wd    [Installed_Folder]
HKCU\Control Panel\Desktop\Wallpaper    "[Installed_Folder]\Desktop\@WanaDecryptor@.bmp"

 

[Grigory]

У меня на одном из компьютеров 7-ка, а на ещё одном даже XP до сих пор стоит.

Что поможет защититься от этого вируса? А то я не читал подробности.

 

[AMA3OH]

дыры залатать. Даже на хрюшу выпустили, хотя и не поддерживают его.

[кИтальянец]

2 часа назад, AMA3OH сказал:

так может он сидел за чужим компом? к примеру, недруга своего, или последний день на работе был...

Напомнило.

 

 

Едут двое, водитель и пьяный пассажир на заднем сидении. 
Пассажир просыпается и говорит: 
— Я закурю! 
— Да пожалуйста. 
Закурил, ему стало плохо. 
— Хреново мне, слушай я блевать буду! 
— Блюй на здоровье! 
Пассажил наблевал. Никак не угомонится и говорит. 
— Слушай, мне ссать охота, а ноги не держат, давай я прямо здесь? 
— Конечно! — разрешает водитель. 
Пассажир поссал, расслабился, закурил снова и говорит. 
— Какое хорошее у вас такси, все можно. Курить, ссать, блевать. 
— Я не таксист, а сотрудник службы «трезвый водитель» — отвечает водитель. 

 

[Ladomir]

14 минут назад, Grigory сказал:

Что поможет защититься от этого вируса?

Самый простой обезопасить себя от атаки — это закрыть порт 445.

Надо только знать, что порт 445 используется Windows для совместной работы с файлами. Закрытие этого порта не мешает соединению ПК с другими удаленными ресурсами, однако другие ПК не смогут подключиться к данной системе.

Block_My_Ports.bat

[░▒▓▒░]

Бред какой-то, зачем закрывать порт, если ты и так за натом.

 

[Ladomir]

К слову этот шифратор сегодня обрушился в основном на Китай. 
Не потому ли, что там очень популярна Windows XP?

 

Из инструментов есть еще "NoMoreCry Tool" от CCN-CERT, который предотвращает заражение шифровальщиком WannaCry 2.0 

[AMA3OH]

потому что пираток много. Да и всех хотят на десятку столкнуть. Сейчас десятка меня полностью устраивает, хотя в самом начале была настолько сырая, что мой ноут жестко с ним конфликтовал. Откатывался не раз на восьмерку.

[Ladomir]

24 минуты назад, ░▒▓▒░ сказал:

Бред какой-то, зачем закрывать порт, если ты и так за натом.

 

 

NAT придумали не как защиту от чего бы то ни было, и рассматривать его как защиту крайне опрометчиво (IPv6, teredo — не слышали? ).

[dr.Evil]

Мелкомягкие определенно склоняют к 10

 

А 10 встаёт на путь ИОС. Всё закрывается, настройки минимизируются, от пользователя остаётся только либо соглашаться, либо соглашаться. Например сейчас в хомке нельзя отключать автоапдейт, в про тоже полностью не отключается. Это только начало