Wana decrypt0r 2.0

Kam · 12.05.2017

Будьте осторожны! Идёт масштабная атака на Windows ПК: троян Wana decrypt0r 2.0 поражает компьютеры через уязвимость нулевого дня в ядре Windows и шифрует все данные на жестком диске. После этого он выводит экран с инструкциями по переводу биткоинов на кошелек и требует выкуп в эквиваленте $300. Если не отправить деньги, то через какое-то время троян стирает все данные.Антивирус Avast зарегистрировал 57 тысяч заражений по всему миру. Для получения вируса достаточно выхода в интернет и наличия статического IP-адреса.

DAE · 12.05.2017

Статья для ITшников https://geektimes.ru/post/289115/

Патч для исправления https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

evn · 13.05.2017

Kam сказал(а):
Будьте осторожны! Идёт масштабная атака на Windows ПК: троян Wana decrypt0r 2.0 поражает компьютеры через уязвимость нулевого дня в ядре Windows и шифрует все данные на жестком диске.

Что сказать, молодцы

Атака, по сути, только на корпоративные сети

зы Если у кого такая беда случится, звоните мне в телефон. НО. Что бы такое НЕ случилось, звоните, пишите, пытайтесь любым способом со мной связаться.
ззы денег можно перечислить любый известным на сегодняшний день способом. Золотом тоже беру))

Nusferatus · 13.05.2017

evn сказал(а):
[video=youtube;s23OLr0ZNPI]ззы денег можно перечислить любый известным на сегодняшний день способом. Золотом тоже беру))

За что?

Kam · 13.05.2017

Nusferatus сказал(а):
За что?

Краудфандинговая компания по сбору средств на приобретение бензопилы

Спамит.

external · 13.05.2017

Уязвимость нулевого дня - это для которой разработчик еще не выпустил патч. Для этой уязвимости исправление вышло еще в марте.

Вообще, нужно гнать поганой метлой админа, который не закрыл 139 и 445 порты фаерволлом, и выставил непропатченную винду в сеть с белым ip-шником. Все места, где обитают такие админы, показывают сегодня в новостях.

evn · 13.05.2017

external сказал(а):
Уязвимость нулевого дня - это для которой разработчик еще не выпустил патч. Для этой уязвимости исправление вышло еще в марте.

Вообще, нужно гнать поганой метлой админа, который не закрыл 139 и 445 порты фаерволлом, и выставил непропатченную винду в сеть с белым ip-шником. Все места, где обитают такие админы, показывают сегодня в новостях.

Ты много знаешь хороших админов?)

evn · 13.05.2017

Nusferatus сказал(а):
За что?

за предотвращение таких случаев.

Kenny · 13.05.2017

Ну хз. мы закрыты по самые уши и утоплены в щи безопасностью.
и патч был роздан ещё в марте. и даже стоит везде.

почти. как пошла шумиха - проверили, есть небольшой % где не встал автоматом. поэтому вышли в поля и устраняем. пока не пришёл (и не придёт, уверен. но патч всё равно нужен).

по инфе с широких полей, попали РЖД, СК, МВД, Мегафон, Сбер и прочие крупнячки.

Nusferatus · 13.05.2017

evn сказал(а):
за предотвращение таких случаев.

Понятно.
Ну вот этим и отличается девелопер (пост #2) от админа-эникейщика.

DAE · 13.05.2017

Nusferatus сказал(а):
Ну вот этим и отличается девелопер (пост #2) от админа-эникейщика.

Это ты меня похвалил или поругал? ;-)
ЗЫ Я не девелопер уж лет 8 как )

эрмак · 13.05.2017

external сказал(а):
Вообще, нужно гнать поганой метлой админа, который не закрыл 139 и 445 порты фаерволлом, и выставил непропатченную винду в сеть с белым ip-шником. Все места, где обитают такие админы, показывают сегодня в новостях.

Это норма. Так же как и не обновленные с момента инсталла оси, что линь что выньда на фирмах с многомиллионными оборотами. Так же как и отключеная политика сложности паролей в сети потому, что любимая секретарша шефа органически не может запомнить что то сложнее 1234 вместо пина на карте и 123456 вместо пароля везде. Не то что зеродеи или вандеи, тудей и фридей уязвимости работают годами из-за этого.
"Человек разумен. А толпа это склонный к панике тупой и опасный зверь" (с) Люди в черном, часть 1.

DarkLine · 13.05.2017

По нашей сети вчера в двух регионах прилетело сие чудо. 6 точек были заражены, на компах стояла 7ка. Сегодня все вышли в поля, патчим где не прилетали обновы. Основной офис в Самаре тоже встал, все серваки проверяют на наличие уязвимостей.

external · 13.05.2017

evn сказал(а):
Ты много знаешь хороших админов?)

Знаю нескольких, у которых центос и нет особых проблем))) Хотя, хартблид в свое время тоже наделал шуму.
Но это не сравнится с виндузятниками, которые выставят наружу 3389-й порт со словарным паролем, и надеются, что это никто не заметит.

evn · 13.05.2017

DAE сказал(а):
Это ты меня похвалил или поругал? ;-)
ЗЫ Я не девелопер уж лет 8 как )

он не понимает о чем вообще речь. сопоставил новость и выдачу гугла))

DAE · 13.05.2017

Есть мнение что помогает отключение SMB1, инструкция как это сделать:
https://support.microsoft.com/en-us...r-2008-r2,-windows-8,-and-windows-server-2012

evn · 13.05.2017

DAE сказал(а):
Есть мнение что помогает отключение SMB1, инструкция как это сделать:
https://support.microsoft.com/en-us...r-2008-r2,-windows-8,-and-windows-server-2012

Порты не проще\правильнее закрыть?)

Создайте любой текстовый файлик и пропишите в нем такие строки:

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name="Block_TCP-135"

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=137 name="Block_TCP-137"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=138 name="Block_TCP-138"

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=139 name="Block_TCP-139"

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=5000 name="Block_TCP-5000"

Нажмите, чтобы раскрыть...

Сохраните с расширением любое_название_файлика.bat или любое_название_файлика.cmd
и запустите его от имени администратора (правая клавиша мышки на файлике и запустить от имени администратора)

Nusferatus · 13.05.2017

evn сказал(а):
он не понимает о чем вообще речь. сопоставил новость и выдачу гугла))

Я прекрасно понимаю о чём речь и в отличии от тебя, могу подобный энкриптер сам написать, привязав его к какому-нибудь старому бэкдору, который уже не числится за давностью в современных бд антивирусов. Поэтому меня слегка удивляет подобный самопиар и попытки впарить общедоступную информацию. Патч от мелкомягких в обновления добавлен ещё вмарте

Nusferatus · 14.05.2017

Любопытно, что эксплоит(а по факту из-за рукожопства мелкомягких - это бэкдор) который использует эта вирья для внедрения своего тела в компы, разработали в агенстве нац безопасности США.

Гы)) Обратите внимание на карту наибольших заражений

Карта в реальном времени
https://intel.malwaretech.com/WannaCrypt.html

Кстати сам эксплоит лежит в общем доступе на гитхабе (конкретно переносчик сабжа данной темы именуется ETERNALBLUE). Кулхацкеры впердё!
https://github.com/misterch0c/shadowbroker/

DAE сказал(а):
Есть мнение что помогает отключение SMB1, инструкция как это сделать:
https://support.microsoft.com/en-us...r-2008-r2,-windows-8,-and-windows-server-2012

А не SMBv2? Я не вникал, но вроде как в версии 2.0 косяк конвеерной отправки используется, а это появилось в SMBv2

Черный Лотос · 14.05.2017

evn сказал(а):
Порты не проще\правильнее закрыть?)

Закрывать порты в брендмауере винды это как минимум должен быть второй шаг.
Сначала их нужно закрыть на маршрутизаторе/шлюзе.

Wana decrypt0r 2.0

Kam

Участник

DAE

Moderator

evn

LPD: Земля

Nusferatus

Super Moderator

Kam

Участник

external

Активный участник

evn

LPD: Земля

evn

LPD: Земля

Kenny

Новичок

Nusferatus

Super Moderator

DAE

Moderator

эрмак

Участник

DarkLine

Активный участник

external

Активный участник

evn

LPD: Земля

DAE

Moderator

evn

LPD: Земля

Nusferatus

Super Moderator

Nusferatus

Super Moderator

Черный Лотос

Новичок