1

Тема: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

Собственно, кто-то уже успел ощутить на себе всю "прелесть" данного зловреда? Что о нем думаете?

/media/support/forum/wannacry.jpg

Первая массированная атака была замечена в нашем регионе 12-го мая между 18 и 19-ю часами.

Будьте доброжелательны и Вам уделят максимум внимания smile

2

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

Андрей пишет:

Собственно, кто-то уже успел ощутить на себе всю "прелесть" данного зловреда? Что о нем думаете?

Думать о нём я могу только матом!


В интернете говорят, что Микрософт выпустила обновление безопасности, рассчитанное специально на эту пакость, в том числе и для WinXP, но что-то найти его я не смог. Видел кто-нибудь этот апдейт?


Рекомендуют также для предотвращения атаки по SMB закрыть на компьютере порты 445 и 139. Интересная рекомендация, если учесть что SMB (если мне память не изменяет) используется для доступа к файлам и принтерам по сети. Отказаться от использования сетевого принтера я не готов. Впрочем это теоретически, с портами на компьютере я экспериментировать не стал. А вот закрыть эти порты в роутере на входе интернета в квартиру наверное можно. Я сделал так:
http://pelih-ev.narod.ru/x-images/ssa/WannaCry/WC1_mini.PNG
http://pelih-ev.narod.ru/x-images/ssa/WannaCry/WC2_mini.PNG

Как думаете, смысл в этом есть?

Здесь дважды два не четыре, а около четырех, да и то лишь в ясную погоду. Андрей Лазарчук «Транквилиум»

Был этот мир глубокой тьмой окутан.
Да будет свет! И вот явился Ньютон.
Но сатана недолго ждал реванша.
Пришел Эйнштейн - и стало все, как раньше.

3

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

Есть идея, что можно отделаться легким испугом, отключив использование в системе протокола SMB версии 1, через который и происходит атака. Сам не пробовал, если кто уже проходил это, отпишитесь, будет интересно узнать.

По поводу заплаток, выкладываю ссылку там для Windows XP и 2003 сервера разной разрядности.

Также, насколько я понимаю, в зоне повышенного риска находятся исключительно компьютеры под управлением Windows 7. ХР, вроде бы, могут быть носителями и распространителями этой гадости, но сами "болезни" не подвержены. По крайней мере, фактов шифрования на них файлов выявлено не было. Максимум - выпадение в синий экран и "тормоза" вследствие чрезмерно активной работы жесткого диска. Также относительно спокойно (по крайней мере "пока") могут чувствовать себя пользователи Windows 8 и выше.

По поводу портов (теоретически) все верно, но это в том случае, если, к примеру, у тебя за роутером нет своей "локалки", через которую и может проникнуть вирус?

Будьте доброжелательны и Вам уделят максимум внимания smile

4

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

Пока теория https://www.comss.ru/page.php?id=4021  https://www.comss.ru/page.php?id=4015

Есть инструмент для защиты от шифровальщика WannaCry NoMoreCry Tool https://www.comss.ru/page.php?id=4023

Меры по предотвращению и смягчению последствий
CCN-CERT рекомендует следующие меры профилактики заражения:
- Обновить системы до последней версии и установить все новейшие патчи.
- Изолировать уязвимые компьютеры от сети.
- Заблокировать порты 137 и 138 протокола UDP и порты 139 и 445 протокола TCP.
- Проверить, какие системы являются уязвимыми и принять меры по их изоляции от сети, обновлению или завершению работы.
- Воспользоваться инструментом NoMoreCry Tool. Утилита создает мьютекс (взаимно исключающий алгоритм) на компьютере, который предотвращает выполнение вредоносного кода WannaCry 2.0 (WannaCryptor, WanaDecryptor). Инструмент должен запускаться после каждого перезапуска системы.

Почему "Винда-отстой" кричат громче всех те, кто и в Линухе ничего не понимают...

5

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

Несмотря на всю свою технологичность, работа вируса в некоторых аспектах выглядит довольно... странной: он не трогает файлы с расширением *.exe, а также файлы, кот которые не имеют расширения в принципе. То есть, чисто теоретически (на практике тоже проверялось), можно "положить" рядом с вирусом здоровенный архив, содержащий кучу документов, убрать у него расширение (zip, rar и т.д.) и вирус его не тронет. Также странным выглядит тот факт, что зловред пытается установить себя в качестве службы (как-то это слишком... не профессионально что ли)? Соответственно, на загруженной в безопасном режиме машине просто не запускается! Также не логичной выглядит сама реализация шифрования файлов: в том смысле, что шифруемый файл сначала копируется рядом с исходным и шифруется именно копия, а оригинал удаляется. Соответственно, применив любую из программ для восстановления удаленных файлов, можно (с некоторой долей вероятности) получить обратно исходный не зашифрованный файл. К слову, именно таким образом у нас на работе была восстановлена важная база данных! Короче говоря, странным выглядит сочетание элегантных систем проникновения и распространения вируса и какого-то... детского подхода в реализации всего остального. А Вы как считаете?

Будьте доброжелательны и Вам уделят максимум внимания smile

6

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

John пишет:

В интернете говорят, что Микрософт выпустила обновление безопасности, рассчитанное специально на эту пакость, в том числе и для WinXP, но что-то найти его я не смог. Видел кто-нибудь этот апдейт?

Уже нашёл, в том числе и прямо с Википедии ссылки появились.


Андрей пишет:

По поводу заплаток, выкладываю ссылку там для Windows XP и 2003 сервера разной разрядности.

Спасибо, вот ещё:
Customer Guidance for WannaCrypt attacks
Microsoft Security Bulletin MS17-010 - Critical
Каталог Центра обновления Майкрософт - KB4012598

Здесь дважды два не четыре, а около четырех, да и то лишь в ясную погоду. Андрей Лазарчук «Транквилиум»

Был этот мир глубокой тьмой окутан.
Да будет свет! И вот явился Ньютон.
Но сатана недолго ждал реванша.
Пришел Эйнштейн - и стало все, как раньше.

7

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

Андрей пишет:

Также, насколько я понимаю, в зоне повышенного риска находятся исключительно компьютеры под управлением Windows 7.

Не только, все системы уязвимы.


Андрей пишет:

ХР, вроде бы, могут быть носителями и распространителями этой гадости, но сами "болезни" не подвержены. По крайней мере, фактов шифрования на них файлов выявлено не было.

Было, но там вроде как есть возможность расшифровать.


Андрей пишет:

По поводу портов (теоретически) все верно, но это в том случае, если, к примеру, у тебя за роутером нет своей "локалки", через которую и может проникнуть вирус?

Само собой. Это только от проникновения снаружи локалку прикрыть.

Здесь дважды два не четыре, а около четырех, да и то лишь в ясную погоду. Андрей Лазарчук «Транквилиум»

Был этот мир глубокой тьмой окутан.
Да будет свет! И вот явился Ньютон.
Но сатана недолго ждал реванша.
Пришел Эйнштейн - и стало все, как раньше.

8

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

Андрей пишет:

Короче говоря, странным выглядит сочетание элегантных систем проникновения и распространения вируса и какого-то... детского подхода в реализации всего остального. А Вы как считаете?

Так было ж сказано, что эксплойт и бэкдор уперли у АНБ, а остальное дописали сами. Ждём целого семейства заразы, основанной на этих модулях.

Здесь дважды два не четыре, а около четырех, да и то лишь в ясную погоду. Андрей Лазарчук «Транквилиум»

Был этот мир глубокой тьмой окутан.
Да будет свет! И вот явился Ньютон.
Но сатана недолго ждал реванша.
Пришел Эйнштейн - и стало все, как раньше.

9

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

John пишет:

Ждём целого семейства заразы, основанной на этих модулях.

Звонили из местного банка (первые заплатки там уже везде проставили), так снова компьютеры заражены. Причем Windows XP тоже. У нас пока нет. Наша версия вируса на старых (и новых) OC Windows файлы не шифровала. Также методом тыка установили, что если время, отведенное вирусом на оплату заканчивается, то ничего не происходит. Мало того, можно перевести часы на зараженном компьютере и увидеть заново запущенный таймер и надпись, изменившуюся с 600 долларов на 300 smile Из чего сделали вывод, что "с той стороны" никто ничего расшифровывать за деньги и не собирался и отправлять их бесполезно!

Будьте доброжелательны и Вам уделят максимум внимания smile

10

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

John пишет:

Было, но там (на Windows XP) вроде как есть возможность расшифровать..

Пробовали, не расшифровывает. У кого есть опыт удачной расшифровки файлов под ХР? Насколько понимаю, все должно происходить в одной сессии (до перезагрузки ПК) и с запущенным (активным) вирусом?

Будьте доброжелательны и Вам уделят максимум внимания smile

11

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

Андрей пишет:

Пробовали, не расшифровывает. У кого есть опыт удачной расшифровки файлов под ХР? Насколько понимаю, все должно происходить в одной сессии (до перезагрузки ПК) и с запущенным (активным вирусом)?

А чем пробовали? Я эту заразу вживую ещё не видел, исхожу из информации в интернете.

Википедия пишет:

Однако существует надёжный метод расшифровать пользовательские файлы размером менее 200 МБ, а также некоторые шансы восстановить файлы большего размера. Кроме того, на устаревших системах Windows XP и Windows Server 2003 из-за особенностей реализации в системе алгоритма вычисления псевдослучайных чисел даже возможно восстановить закрытые RSA-ключи и расшифровать все пострадавшие файлы, если компьютер не перезагружался с момента заражения. Позднее группа французских экспертов по кибербезопасности из компании Comae Technologies расширила эту возможность до Windows 7 и реализовала её на практике, опубликовав в открытом доступе утилиту WanaKiwi, позволяющую расшифровать файлы без выкупа.

Здесь дважды два не четыре, а около четырех, да и то лишь в ясную погоду. Андрей Лазарчук «Транквилиум»

Был этот мир глубокой тьмой окутан.
Да будет свет! И вот явился Ньютон.
Но сатана недолго ждал реванша.
Пришел Эйнштейн - и стало все, как раньше.

12

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

Пользовались другой тулсой. Не помню точно название. Она все время находила разные ключи, которыми зашифрованы файлы (одного универсального не было). Соответственно, и расшифровать такой массив файлов, зашифрованных (по мнению программы) большим количеством разных ключей не смогла.

Будьте доброжелательны и Вам уделят максимум внимания smile

13

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

По данным Википедии:

По состоянию на 19 мая 2017 г., на счета злоумышленников было совершенно 291 переводов на общую сумму 92 880 долларов США.

По состоянию на 21 мая 2017 г., по данным сайта MalwareTech Botnet Tracker, инфицированы 303 706 компьютеров во всем мире, из них онлайн — 102 549.

Итак, точно доказано, что в мире на данный момент имеется 291 полный и абсолютный идиот. Разумеется это не окончательное число, но и так можно уже прикинуть грубо, что процент умственно безнадёжных среди компьютеризованного населения равен 0,1%.
Это число очень радует. Я ожидал от 2 до 5 процентов, искренне рад, что ошибся.

Здесь дважды два не четыре, а около четырех, да и то лишь в ясную погоду. Андрей Лазарчук «Транквилиум»

Был этот мир глубокой тьмой окутан.
Да будет свет! И вот явился Ньютон.
Но сатана недолго ждал реванша.
Пришел Эйнштейн - и стало все, как раньше.

14

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

Это просто те (из заразившихся), у кого деньги отправить получилось, а сколько таких (это только из заразившихся), кто даже этого не смогли правильно сделать?! big_smile

Будьте доброжелательны и Вам уделят максимум внимания smile

15

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

О, майн готт! Об этом то я и не подумал...
То есть ты намекаешь, что моя оценка (2%-5%) может быть верна и эти ... просто не сумели сконвертировать наличку в биткоины? Кош-ш-ш-шмар-р-р!

Здесь дважды два не четыре, а около четырех, да и то лишь в ясную погоду. Андрей Лазарчук «Транквилиум»

Был этот мир глубокой тьмой окутан.
Да будет свет! И вот явился Ньютон.
Но сатана недолго ждал реванша.
Пришел Эйнштейн - и стало все, как раньше.

16

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

Буду рад, если ошибаюсь! wink

Будьте доброжелательны и Вам уделят максимум внимания smile

17

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

Кто в теме, тот поймет big_smile

/media/support/forum/petya.jpg

Будьте доброжелательны и Вам уделят максимум внимания smile

18

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

https://upload.wikimedia.org/wikipedia/commons/thumb/7/7a/Schoty_abacus.jpg/207px-Schoty_abacus.jpg?uselang=ru

http://www.leningrad.su/jj/2012/kim-mar.jpg


Эти вычислительные устройства абсолютно надёжны и не подвержены заражению вирусом Wanna Cry. И другими тоже.

Здесь дважды два не четыре, а около четырех, да и то лишь в ясную погоду. Андрей Лазарчук «Транквилиум»

Был этот мир глубокой тьмой окутан.
Да будет свет! И вот явился Ньютон.
Но сатана недолго ждал реванша.
Пришел Эйнштейн - и стало все, как раньше.

19

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

Да, да! Можно пойти еще дальше: счеты и пустографка! Тогда и отключение электричества не страшно! smile

Будьте доброжелательны и Вам уделят максимум внимания smile

20

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

Тут уже вирус Петя рулит
Эксперты пришли к мнению, что вирус Petya не является простым вымогателем — в отличие от WannaCry, он не предусматривает восстановление зараженных файлов, а удаляет их навсегда, делая уплату денежного выкупа бесполезной. В чем особенность вируса-стирателя и что о нем думает бывший сотрудник АНБ Эдвард Сноуден — в материале «Газеты.Ru».

Вирус Petya, который изначально причислили к семейству шифровальщиков-вымогателей, на деле представляет собой куда большую угрозу, чем WannaCry. Хакеры требовали выкуп от пользователей зараженных компьютеров, чтобы разблокировать личные данные, но на этот раз вирус не шифровал их — он просто стирал жесткий диск целиком, не оставляя возможности спасти информацию.

Петя не вымогатель, Петя стиратель

Эксперт по информационной безопасности Мэтт Свише сообщил в своем блоге, что ранняя версия вируса Petya технически имела способность шифровать файлы пользователя, а его обновленный собрат, который теперь зовется NotPetya, наносит необратимый ущерб.

«Petya 2016 года модифицирует диск так, что в принципе изменения можно обратить, в то время как Petya 2017 года бесповоротно поражает систему», — пишет Свише.

Специалист-безопасник назвал NotPetya стирателем и объяснил разницу между ним и вирусом-вымогателем. По словам Свише, целью вымогателя является получение денежной выгоды, в то время как стиратель направлен исключительно на уничтожение и нанесение ущерба.

«Разные намерения. Разные мотивы. Разные схемы», — заявил эксперт.

К такому же выводу пришла «Лаборатория Касперского», которая поменяла имя вируса на ExPetr, сославшись на то, что «прошлогодний» Petya относится совсем к другому семейству.

«Проведенный нашими экспертами анализ показал, что у жертв изначально не было шансов вернуть свои файлы. Исследователи «Лаборатории Касперского» проанализировали ту часть кода зловреда, которая связана с шифрованием файлов, и выяснили, что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно», — говорится в сообщении компании.

Почему "Винда-отстой" кричат громче всех те, кто и в Линухе ничего не понимают...

21

Re: Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

Какую версию "Пети" поймали мои знакомые (крупная организация по торговле продуктами) не скажу точно, но он шифровал таблицу разделов (MFT) вместе с главной загрузочной записью (MBR). Что интересно, при первой перезагрузке (когда вирус "кладет" систему), на системном диске (аккурат между 100 мегабайтным разделом восстановления, что создает Win7 и системным) появляется еще один раздел на 100 мб с "липовым" загрузчиком (с которого и происходит очередной после падения запуск) и имитатором штатного чекдиска системы, который и показывается пользователою при перезагрузке. И пока пользователь "ждет окончания проверки", вирус занимается своим делом: шифрует, пакует, удаляет или что он там еще делает?

/media/support/forum/petyawork.png

Правда, и здесь промашка вышла: левый чекдиск не похож на оригинальный! wink

Будьте доброжелательны и Вам уделят максимум внимания smile