Pull to refresh

Comments 353

Так, скорее всего, имейл просто хакнут и к нему злоумышленики имеют доступ.
Зачем взламывать чей-то email, от которого, теоретически, владелец может восстановить доступ, если проще регнуть новый? Да и название ящика тематическое.
Я не знаю, зачем — не я это делал. Но если бы делал я, воспользовался бы каким-нибудь левым ящиком, к которому у меня есть доступ, сменил бы пароль и избавился от возможности пользователю вернуть его обратно себе, нежели чем сам бы регистрировал какой-то там ящик, да еще и привязывал его к аккаунту фейсбука, ну их нафиг, эти корпорации.
Менее палевно выглядит регистрация ящика из под условного Tor c активацией на левый номер (желательно бесплатный, типа как тут), потому что если акк ломать, то надо вместе с сим-картой, иначе владелец доступ быстро восстановит, а если покупать, то это уязвимость в плане «вычислить по покупке».

Привязка к FB несомненно странно выглядит, но злоумышленники часто так тупо и прокалываются.
Подождем когда Linux системы под этих людей прогнутся. вопрос времени. когда поймают неприятных людей?
На линуксе тоже есть шеллшоки и хартблиды.
UFO just landed and posted this here
Как правило любой более-менее прошаренный юзер делает бэкапы независимо от системы
UFO just landed and posted this here
Системы нет, но ценной информации делают многие
Бэкапы делает каждый, кто хоть раз терял информацию с жесткого диска. (неважно, по какой причине — шифровальщик, или отказ железа). А если терял и не делает бэкапы — то такой человек просто идиот.
(Сисадмины делятся на тех, кто не делает бэкапы и тех кто уже делает — народная мудрость)
… И тех кто их проверяет ;)

Честно говоря, я не делаю бэкапы по одной простой причине — у меня уже очень давно на компьютерах физически не живет никакой важной информации. Все мои фотографии в Google Photos, все нужные файлы — в Google Drive / Dropbox (как правило, и там и там), музыка вся в Google Music / Spotify. Я искренне не могу понять, что еще мне реально нужно бэкапить из того, что мне реально жалко будет потерять. Ну коллекцию фильмов может быть? Она лежит на NASе с RAID'ом — один диск недавно накрылся, я его поменял, снова все хорошо, но если даже я их потеряю, не случится ровным счетом ничего страшного.

А если утечка, или атак на сервера гугл? Или блокировка доступа из России? случится может все что угодно, вопрос только когда, понятно что никто не просит бэкапить все, но всегда лучше иметь под рукой бэкап того что нужно на каком-нибудь физ.носителе, просто потому что доступа в облако может и не быть, или произойдет утеря аккаунта, либо просто забудите доступы, можно много чего придумать, но вот с 1 единственным бэкапом на независимом физ. носителе это не страшно, ну если конечно Вы его не уничтожите сами.
Все облака и акаунты Google можно привязать к номеру телефона и тогда точно не потеряете доступ!
Бэкап на сервер с Linux, где всё хранится в облаке, в котором вся инфа снапшотится…
Объясните для нубов про домен этот. Зачем он?
Такие домены используют как триггеры: вредонос стучит по определенному адресу и, к примеру, получает там новые инструкции. В данном случае при получении ответа от домена, вредонос, согласно заложенной инструкции, прекращал сканирование и выявление новых жертв для распространения.
Это механизм управления вредоносами/ботнетом. Можно провести анализ вредоноса и выявить эти домены или алгоритм генерации таких доменов, после чего зарегистрировав такие домены можно использовать их для перехвата и нейтрализации ботнета. Такая операция называется sinkholing.
Все равно немного не понятно, если вредонос итак лезет в тор через входные ноды, то почему не разместить «сервис валидности окружения» там? Все-таки судя по некоторой сложности вредоноса, до такого додуматься и сделать не сильно сложно. Или есть какие-то неочевидные неудобства?
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
не всё измеряется деньгами. скажем, то что «компания Microsoft пошла на беспрецедентный шаг — был выпущен патч даже на снятую с поддержки Windows XP.» — вполне можно считать именно головокружительным успехом.
UFO just landed and posted this here
XP негласно на поддержке до 2019го года.
Кто то может сказать что то против?
https://blogs.msdn.microsoft.com/windows-embedded/2014/02/17/what-does-the-end-of-support-of-windows-xp-mean-for-windows-embedded/
Такой домен можно легко определить в локальной системе используя, например, hosts файл. Таким образом обезопасив себя и свою сеть. А попав во внешнее окружение вирус уже не находит такого стоп сигнала и начинает распространение.
Способ остановить эпидемию.
Где то читал, что таким образом разработчики вируса пытаются затруднить анализ поведения вируса в искусственно созданной песочнице. В реальном мире маловероятно что такой домен будет кем-то зарегистрирован, а песочница скорее всего вернет ответ на любое сетевое обращение.
Этот домен вроде как использовался для обнаружения песочницы. Видимо некоторые песочницы отвечают кодом 200 на запросы в надежде перехватить что-нибудь.
Случайно обнаруженный способ остановить распространение вируса-вымогателя WannaCry больше не работает. Создатели вируса усовершенствовали его код и выпустили новую версию вредоносной программы

http://www.rbc.ru/technology_and_media/14/05/2017/5918bae09a7947ce8cc186a1?from=main
Есть в топике: по состоянию 22:00 14.05.2017 обнаружены второй и третий варианты вредоноса, в том числе без киллсвитчера.
UFO just landed and posted this here
ссылки на все заплатки всех виндоус — http://artkiev.com/blog/windows-virus-wana-decrypt0r.htm
Пол дня упорно искал патч под 2003 R2, потом вспомнил, что такой нет :D
Интересно, а что происходит при оплате? Расшифровка выполняется, или это просто развод? Если да, то как криптор определяет факт оплаты и нельзя ли его обмануть, симулировав процесс оплаты?
Ничего не происходит. Файлы криптуются ключем, который генерится в процессе работы, а потом уничтожается. Пока ещё не проверил, но вероятно, если сделать дамп памяти процесса непосредственно после завершения шифрования, то можно попробовать вытянуть приватный ключ и восстановить файлы. Но это пока просто теория
Не очень разбираюсь в шифровании, но разве для зашифровки недостаточно просто публичного ключа? Зачем где-то хранить приватный?
Публичный и приватный ключ математически связаны. На самом деле, когда говорят «сгенерировать пару ключей» генерируется вовсе не пара ключей. Генерируется приватный ключ и на его основе и создаётся публичный. Т.е. публичный ключ не генерируется, а лишь является результатом некоей функции над приватным ключом. Другой вопрос, что этот криптор мог и не генерировать вовсе никаких легетимных ключей — а тупо забить рандомом и всё.
Под «зашифровано RSA» обычно имеется ввиду следующее:

1. Есть публичный RSA-ключ.
2. Генерируется (к примеру) AES ключ.
3. AES ключ шифруется публичным RSA-ключом.
4. Файлы шифруются AES ключом.
5. AES ключ уничтожается, остается только его зашифрованная RSA копия.

как видно, приватный RSA-ключ на клиенте не генерируется.
Ага и получить не простое случайное число, чем насмешить пол мира и войти в историю, как самая наивная авантюра с RSA…
Ну тогда уж наоборот по стандартному алгоритму из публичной пары ключей {e,n} получается приватная {d,n}:
image
Поправьте, если ошибаюсь.

Пока не закрыт CSP handle все keysetы валидны. Зная имя провайдера и тип алгоритма можно достать ключи

Удивительно, что по этой теме нет никакой информации.
Никто не хочет признаваться, что заплатил)
Информация по кошелькам общедоступна, на данный момент поступило на них меньше двухсот платежей. Что на фоне сотен тысяч заражений очень мало.
Вот тут человек пишет, что заплатил ещё в пятницу — ждёт до сих пор.
На самом деле даже хорошо, что никакой расшифровки нет. Ещё несколько таких шифровальщиков-кидал, и данный вид программ просто вымрет, т.к. перестанет окупаться.

То есть очень нескоро, так как для этого должны вымереть идиоты, которые платят.

Какие антивирусные продукты сейчас могут эту хрень обнаружить и предотвратить запуск?
Судя по Customer Guidance for WannaCrypt attacks:
For customers using Windows Defender, we released an update earlier today which detects this threat as Ransom:Win32/WannaCrypt. As an additional “defense-in-depth” measure, keep up-to-date anti-malware software installed on your machines.
UFO just landed and posted this here
c:\documents and settings\48=8ab@0b@\desktop\mapkep.bin — меня одного этот «маркер.бин» смущает?
Меня тоже смутило это название, хотя это может быть и map keep, ну в качестве бреда :-)
Нет, я думаю, что тут русские хакеры опять постарались. Всякие «пети» и «миши» уже не в моде. Этакий кривоватый транслит, в моде у любителей cs1.6.
Кстати, странно, что тут documents and settings используется, а в другом месте vssadmin да bcdedit — оно не детектирует ОС чтоли?
Вирус в реальном времени перестраивает сам себя. Это только разминка! Стоит ожидать вторую более крупную волну вредоноса.
Ну вот и настал судный день!
Согласен, всё будет по стандартному сценарию
Нет доступа к сети — нет проблем)
Человеческий фактор никто не отменял, как и безрукость админа ¯\_(ツ)_/¯
Хотелось бы увидеть подробный разбор механизма оплаты и расшифровки.

  1. Расшифровывает программа файлы после оплаты?
  2. Если да, то как она удостоверяет факты оплаты?
  3. Что делает кнопка Decrypt?
По поводу кнопки Decrypt информация уже есть. Криптор создаёт два типа файлов: сперва некоторая часть шифруется с использованием 128-битного AES, при этом сгенерированный ключ для расшифровки дописывается непосредственно к криптованному файлу. Файлам, зашифрованным таким способом, криптор даёт расширение .wncyr и именно их потом расшифровывает при нажатии на Decrypt. Основная же масса закриптованного получает расширение .wncry и там уже ключа нет.
При этом шифрование идёт не в самом файле, а сперва на диске создаётся файл, куда кладётся криптованное содержимое, а потом исходный файл удаляется. Соответственно, в течение какого-то времени есть шанс восстановить часть данных при помощи различных undelete-утилит.
Для борьбы с подобными утилитами, криптор постоянно пишет на диск всякий левый мусор, так что место на диске выжирает достаточно быстро.
А вот почему до сих пор нет никакой информации по поводу оплаты и механизмов её проверки, это действительно удивляет. Возможно, влияет довольно приличная сумма ($300), которая требуется для подобной проверки.
О, спасибо. Думаю, что в намерения авторов расшифровка после оплаты не входит. Наверное, тяжело это сделать, не спалившись. Если бы они расшифровывали файлы, то была бы инструкция, что делать после оплаты.
Если для приема денег злоумышленник использует один или очень маленькое количество адресов для приема, значит он изначально не собирался идентифицировать оплативших клиентов (это было бы возможно только для тех, кто оплатил со своего кошелька, подтвердив владение адресом подписанием текстового сообщения, что явно не подходит для массового пользователя), т.е. у злоумышленника тупо нет механизмов, как определить, какой клиент оплатил чтобы ему можно было выслать ключ расшифровки.

для того чтобы это было возможно, каждый клиент должен получить свой адрес пополнения
у злоумышленника тупо нет механизмов, как определить, какой клиент оплатил

Есть механизмы. Можно, например, выставлять каждой жертве разную сумму в BTC. Не знаю, до какого знака после запятой можно делить биткоин, но неплохую квазиуникальность это даст в любом случае.
в принципе да, она будет разной, потому что курс обменный не константа.
т.е. можно попросить клиента о точной сумме, которую он перевел и точное время перевода.

Не обязательно каждому клиенту свой адрес пополнения.
Можно как с краудсорсингом — когда наберется нужная сумма, открыть ключ расшифровки всему миру ))

Назовите хоть один антивирус, который умеет делать: «новый файл в системе — вызывает криптофункцию — обращается более чем к 5 файлам — запретить» С момента зарождения криптолокеров прошло больше 5 лет и ни один антивирь не умеет детектить стандартные паттерны. Зато бабла хотят.
Забавно, что бабла хотят и те и те, при этом и те и те обещают сохранность файлов если заплатить.
Да тут не только криптофункция. Ну вот как антивирусы вообще могли пропустить объект, который:
— прописывает себя в автозапуск
— отключает теневое копирование и тут же удаляет уже созданные теневые копии
— регистрирует свежесозданные exe как системные службы
— создаёт кучу exe по разным директориям
Уже этого должно было бы хватить, чтобы насторожиться и как минимум проверить подпись данного exe — что это вообще такое и подписано ли вообще.
А вот кстати если нет достаточных прав у учетки из под которой он работает, всякие reg add
не должны прокатить…
Пишут, что после атаки на Самбу он начинает работу с правами Самбы, а это уровень драйверов.
Помогут ли права NTFS? Например, если отобрать права у SYSTEM? Ведь штатно, даже если ты админ, и у тебя нет прав на какую-то папку, то их всё равно можно выдать себе, назначив себя владельцем (или просто выставив права, если уже в группе владельцев). Умеет ли вирус отлавливать ошибки доступа, и выставлять нужные права на файлы?
упс… не дочитал https://habrahabr.ru/company/pentestit/blog/328606/#comment_10216334
А что такое «вызывает криптофункцию»? Приложение может использовать собственную реализацию криптоалгоритмов. Тут вообще хороших эвристик нет на поведение, только параноидальные разной степени тяжести, которые будут мешать обычному пользователю во многих ситуациях. Иначе бы уже была какая-нибудь защита от вымогальщиков.

Если программа удаляет больше 10 файлов в минуту, то надо спросить пользователя.

Как тогда настраивать автоматическую очистку админам?

Сделать список с хэшами доверенных программ.
И админ добавляет туда свою очистку.

Тогда малварь (не забываем, она ведь с рутовым доступом) добавит хеши всех нужных программ в "хэши доверенных", а потом будет делать все то же самое. Стало сильно лучше?

Если доступ рутовый, то защищаться нет смысла, т.к. некому.
А иначе она не сможет в эти списки попасть.

Ну так изначально же сказано было, что заражение идет через драйвер и доступ к системе полный. Таким образом как раз и получается, что предложенным образом не защититься.

SentinelOne. Умеет и 0деи и рансом.
Скажу что ловит пока что все существующие рансомы.
UFO just landed and posted this here
Kaspersky, но обнаружит, что «программа однозначно ведет себя как вредоносная» и предложит лечение уже после запуска. Так что что-то успеет зашифроваться.
Вот никак не могу найти ответ на один вопрос. Вся выше перечисленная деятельность шифровальщика требует прав админа. Куча статей уже на эту тему, но ни одна не раскрывает темы «прав» шифровальщика. Он все эти админ права имеет так как заражает пользователя работающего как обычно под правами админа или шифровальщик умеет повышать свои права сам. Т.е поймав его под правами обычного пользователя я теоретически не лишусь теневых копий тома, а он судя по действиям удаляет их. В сухом остатке уязвимость SMBv1 позволяет просто проникнуть на компьютер или она же задействована в повышении прав?
Он пролазит через драйвер SMBv1 используя уязвимость класса remote code execution и, следовательно, работает с его (драйвера) привилегиями.
Ехх, печаль. Значит соблюдение всех строгих правил с разграничением прав доступа и своевременными бэкапами оказались до лампочки. Особенно я уповал на теневое копирование тома, думал уж не вжизнь они не доберутся до них. А они оказывается это легко крутят. Но спасибо за ответ, хоть буду знать чего ждать.
UFO just landed and posted this here
И все же эпизодически стоит делать криптоконтейнер хотя бы чтоб потом сказать, что сделал все что смог, никто же не обязует криптовать фильмы с картинками, а вот ключевые файлы стоит иногда обезопасить, ведь лучше иметь устаревшие версии файлов, чем не иметь их вовсе. \

Это конечно мое мнение и никому я его не навязываю, но один жесткий отделил именно под это дело, выдернул его в случае чего и живи спокойно…
НО еще раз повторюсь, это лично мое
UFO just landed and posted this here
Это само собой, но у меня не внешний у меня просто стоит еще один хард, на котором контейнер, в случае чего его выдергиваешь хард, и все данные мало того что целы, так еще и запаролены. Благо конструкция моего компа позволяет? (у меня все расположено в столе под оргстеклом)
А если вы подключили свой бэкап, к уже зараженной, но еще не шантажирующей надписью системе? Вирус вам же и на внешнем диске зашифрует файлы.
На все воля облака…

Ну а если серьезно, носители с бэкапами подключаются обычно как раз в тот момент когда ты полностью уверен, что машина чиста аки помыслы админа, ну или на край есть еще бэкап.
Установите пароль на теневое копирование тома. Правда я не знаю, есть ли такая функция
Ну что, в очередной раз «мегакарпарация» обкакалась по полной. И еще раз мы увидели стойкость SMB-сервера от мелкомягких. И насколько нужно быть нубом, что бы выставлять в сеть с белым IP интерфейс с поднятой SMB. Насчет лавинной атаки, это по моему ооочень крупное преувеличение. По данным касперов 45000, по данным авастов 36000. А теперь давайте очень грубо посчитаем, 32 бита это 4 294 967 295 компьютеров, именно столько может адресовать ipv4, а как известно он на сегодня кончился. Не будем вдаваться в динамические пулы и т.д. Значит примерно такое количество компьютеров торчит в сети с белыми IP. Ну конечно не все из них имеют недооперационку, и еще меньше нубов которые выставляют в интернет SMB. Ну очень грубо примерно это так.
И даже по данным автора о 236000 зараженных, это составляет 0,0055098906% от общего числа. Те 0.006% не рановато для паники?

На мой взгляд, этот ажиотаж вызван для преследования каких то других целей.
А можно узнать причем тут MS? :D SMB1 Deprecated. Рекомендовали сносить/выносить/съезжать с 15 года. Писали в TechNet'ах. Просили ставить апдэйты. Даже сделали исключение и дали патч на XP/2003. используйте SMBv3 с Kerberos и другими ништяками.
Это вы у googl-ы спросите по какой причине они от ms-серверов отказались.:)
Кто отказался? Google тут как раз активно в свой ComputeEngine их добавляют :D
Проблема тут не в MS. Продукты MS не требуют SMBv1 около 10 лет. Но. Огромное жирное НО: Дофигища вендоров NAS и других железок активно используют только 1 версию… Тут уже в Твиттере проскакивало — последние продукты Sonos используют SMBv1 и в v3 не могут, а в следующей версии 10 v1 вырубают по дефолту. И опять начнется shitshtorm по этому поводу.

Да ну? А как вам такая новость https://www.gazeta.ru/business/2010/06/01/3378380.shtml
6.5 лет назад. Ну ругаются компании — бывает. Они уже успели опять подружиться. И исследователи гугла активно помогают MS сейчас. И MS очень юодро отвечает на все проблемы.


Рекомендую почаще следить за Google Zero project. Например почитать natashenka и taviso.

Заодно узнаете много интересного и про дургие OS и их уязвимости.

UFO just landed and posted this here
я искренне не понял, почему решили вас big-town заминусовать… Все сказано по делу и в самую точку: если ты выпустил Win сервер через белый IP и при этом элементарно его даже не «апдейтишь» — жди соответствующего результата((( в противном случае не будет этой заразы — придет другая или другой хацкер и через другую уязвимость грохнет ваш дедик — дело времени

если ты не обновляешь линукс-сервер, то тебя ждёт Shellshock, Heartbleed и что там ещё было.

Shellshock? А вы сами представляете о чем пишите? Это уязвимость в bash, каким надо быть нубом что бы дать доступ из интернета к командному шелу, без проверки строки. Достточно просто проверять строку перед передачей шелу и чистить её от всяких регулярок. Эти уязвимости ооочень раздуты. Ну в чем то вы правы, если ты нуб, то без разницы что использовать, все равно вляпаешься;).
1.5 миллионов нубов на IoT девайсах собрали примечательный ботнет.
UFO just landed and posted this here
Это уязвимость в bash, каким надо быть нубом что бы дать доступ из интернета к командному шелу, без проверки строки.
Множество интернет-сервисов, в том числе веб-серверы, могут использовать Bash для обработки некоторых запросов, например при исполнении CGI-скриптов.

А также SSH-серверы, DHCP-клиенты и многое другое.
Не обращайте внимания, я например давно так делаю :). Это сказывается стадный инстинкт на хабре, «детей» от инстограма и контакта. Стоит одному поставить минус и понеслась. Меня это ни как не трогает.
Плюсанул вам карму. То же не люблю когда обсуждения минусуют. Но хотелось бы в более конструктивном ключе, нежели все говно :)
Тут я с вами полностью согласен, люди высказывают свое мнение и любое мнение имеет право быть!

По поводу конструктивного ключа. я не буду лицемерить и говорить что я не предвзято отношусь к MS, предвзято и еще как. И собственно почему? Это коммерческая операционная система которая стоит немалых денег. Сервера получаются мегадорогие. За все дай! За терминальные лицензии дай, за SQL дай, за офис и т.д. И при всем при этом потребитель по сути является бэта-тестером. Я не против комерческой ОС, но уж если делаете такую, то она должна быть на порядок выше опенсорсной! Иначе за что платить деньги?! А так как делает МС — это подло, подсадить всех на свой продукт, заставить людей написать кучу софта и только потому что вам не куда деться, эксплуатировать вас. Люди очень не любят перемен. На деле получается что любой путный вирус вас может оставить без данных и положить вам всю структуру.

Я помню 2000-ые года когда гуляли в интернете msblast-клоны и что бы заразится, нужно просто было выйти в интернет без стороннего файрвола. Дыры в MS не закрываются годами, да и кто знает что еще в их закрытом коде. Ели уж гоночки в офис защили :)(см. пасхальные яйца).

От себя еще добавлю в далекие времена я был, как и наверное все, win-админом, Novell угасала, Linux был еще маленьким, и собственно альтернатив не было. Строил сети на PDC 2000 а затем 2003. И вот когда уже LInux подрос я переборол свою лень и стал углубленно изучать новую для себя ОС. Затем потихоньку стал переводить на неё свои организации. И уверяю вас что проблем стало значительно меньше. У меня еще живет и здравствует сервер с ASP12+wine@etersoft+1cv7+NX+samba, который не разу не упал и когда я его поставил уже даже не помню.

И как вывод, MS не обеспечивает должного качества своей продукции как коммерческой ОСи, а потому я не желаю ею пользоваться, когда есть на порядок лучший опенсорс. Поэтому на каждое обкакивание MS я просто смотрю с улыбкой.
По поводу стоимости не соглашусь. В моей сфере выбор обычно между IBM, Oracle, RedHat и Microsoft. И уж цены мама не горюй. MS там бедный родственник :D

Вы не видели еще людей подсаженных на Oracle…

Никсы то же обкакиваются с завидной регулярностью… Но никто не вспоминает что на роутерах Linux, что на телевизорах, устраивающих ддос — Linux и тд и тп.

Я придерживаюсь политики что есть места где Windows лучше себя проявляет, а есть где Linux. И все окружения достаточно гетерогенные.
Я придерживаюсь политики что есть места где Windows лучше себя проявляет, а есть где Linux. И все окружения достаточно гетерогенные.

Не могу с этим поспорить.
В моей сфере выбор обычно между IBM, Oracle, RedHat и Microsoft.

Если не секрет, то какие задачи решаете? Почему выбор именно в таком наборе? Можно в личку.
компания Microsoft пошла на беспрецедентный шаг — был выпущен патч даже на снятую с поддержки Windows XP

Они просто выложили патч для клиентов с Custom Support Agreement, собранный ещё в феврале.
Ни чего они не выкладывали для XP. Патч что скачивается по ссылке для embeded версии и на обычную XP не ставится windowsxp-kb4012598-x86-embedded-rus_772fa4f6fad37b43181d4ad2723a78519a0cc1df
Нету ни чего для XP, только что скачал WindowsXP-KB4012598-x86-Embedded-Custom-RUS.exe
Этот патч для терминалов по выньхп.
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598


http://www.catalog.update.microsoft.com/DownloadDialog.aspx

Да, спасибо, вы правы патч действительно есть. Недавно качал отсюда, видимо пропустил.
Его выложили ближе к полуночи 12-го мая, я тоже вначале скачал для Embedded и хотел негодовать про решето.
Апдейт для Embedded можно использовать после небольшого твика.
Похоже ошиблись и в центр загрузки (вчера их там не было) два раза закачали файл для Embedded, вот ссылка на патч для нормальной XP.
Возможно это нубский вопрос, но объясните мне. Почему, когда находятся уязвимость, да еще такая как «SMBv1 используя уязвимость класса remote code execution», никогда нет информации, кто собственно закомитил такой код? Складывается ощущение, что все эти дыры в безопасности — не плод плохого программного кода, а запланированный ход.
Потому что глобальные уязвимости такого уровня как авиакатастрофы — это сочетание многих факторов. В софтверных гигантах вроде MS никто не может просто так взять и закоммитить код в основную версию винды — есть и code review, и тесты, и нанятые хакеры, которые пытаются сломать и много еще чего. В таком баге виноват в последнюю очередь программист — ответственность на других людях обычно.

Ну а кроме того — ну допустим обвините вы программиста, который 10 лет назад написал некачественый код (который прошел много стадий проверки), и что дальше? Что делать с этой информацией? Повесить его на витой паре? :)
Складывается ощущение, что все эти дыры в безопасности — не плод плохого программного кода, а запланированный ход.


В данном случае, это очень вряд ли «закладка». Протокол SMBv1 был дырявым с самого начала, но, не по злому умыслу, а тупо потому, что, когда его разрабатывали (а это, на минуточку, самое начало 90х), Интернета в современном понимании ещё не было, и авторы вполне справедливо предполагали изолированную от внешнего мира локальную сеть, работающую по собственным протоколам MS. Прикручивание SMBv1 к TCP происходило позже, и, видимо, в спешке, в погоне за Sun с их WebNFS.
Ну а как вы сами думаете? Не ужели америкосы не оставят бэкдор в системе с закрытым исходным кодом, ну так на всякий случай :). По моему ни кто и не отнекевается что в АНБ был «разработан» эксплоит EternalBlue. А по моему скромному мнению этот код был туда просто предоставлен.
Вот вам еще один пример наш ГОСТ-овский алгоритм шифрования, который основан на элептических кривых. И который как оказалось не такой уж «случайный». Почему К-9 циски были запрещены в России? Да в конце концов почему всех операторов заставляют ставить СОРМы, а АТС без СОРМа сейчас вообще не купишь. Спец службы желают знать все :).
В конце был бы уместен мануал по отключению SMB v1
UFO just landed and posted this here
Вчера с опаской запустил ноут на десятке (ноут включается достаточно редко) — сразу со старта увидел сообщение о применяемых обновлениях. А на стационарную 8.1 обновления так и не дождался — качал вручную.
Я вообще понять не могу, MS же выпустили обнову, которая затыкает эту дыру или она нифига не затыкает?
Понять все просто — апдейт дыру затыкает, люди апдейты не ставят :).

Не все умеют в обновления...

У многих обновления выключены, потому что на пиратках они полностью ломали систему, а на лицензионных машинах внедряли вредоносный код (рекламу, например). Часть пользователей раздражает сам механизм обновлений, когда самообновляющаяся система не даёт им продолжить работу, требуя перезагрузки или устанавливая обновления неопределенно долго. Фактически, проблема в том, что MS довольно скверно организовала систему обновлений и, к тому же, сама её скомпрометировала в глазах пользователей, распространяя рекламу и телеметрию под видом обновлений безопасности.
Обновление, призывающее обновиться до Windows 10, было рекомендуемым. Microsoft рекомендовала обновиться до Windows 10. Обновления телеметрии также в рекомендуемом. Достаточно было снять галочку с автоматической установки рекомендуемых обновлений вместе с важными обновлениями — и «проблема» решена. Всё что действительно важно будет обновлено.

image

Что касается проблем с обновлением пираток — не Microsoft виновата в том, что люди ставят кривые активаторы, которые лезут напрямую в память ядра и патчат его. Всегда были более аккуратные способы активации. Впрочем, лучше конечно же приобрести легальную копию.
пока эту хрень кто-то не запустит изнутри сети.
Выпустила еще в марте. Все «затыкает».
Кто нибудь посмотрел полученное количество btc?
Рабочая неделя только началась.
UFO just landed and posted this here
то есть получается заражение было возможно только у компов сидящих через мобильные «свистки» ?


Первичное заражение — да. Но, достаточно заразить один такой компьютер, и, если у него есть второй сетевой интерфейс, «смотрящий» в локалку — то зараза быстро полезет по всей сети.
UFO just landed and posted this here
UFO just landed and posted this here
Все «свистки» что мне попадались — имели NAT и вирус бы не смог пролезть через них.
1, 2 — а вы не рассматриваете вариант, что вредонос мог просто по почте прийти в виде «приказ.doc.exe»?
Достаточно, чтобы вложение запустил один пользователь из десяти тысяч находящихся во внутренней сети предприятия.
UFO just landed and posted this here
Интересно, как вы закроете, скажем, возможность пересылки RAR-архивов с паролями.
Если только метод Гугла использовать (никаких архивов с паролями вообще) — но к такому мало кто готов.
UFO just landed and posted this here
Хорошо, но вот только просмотреть список файлов и их расширения в ZIP-архивах можно, а вот в RAR нельзя, например.
Как быть?
UFO just landed and posted this here
Антивирь на новые образцы вирусов, увы, не отрабатывает. :-(
UFO just landed and posted this here
А в каких продуктах вы видели подобный функционал? Мне, честно говоря, навскидку такого не попадалось.
UFO just landed and posted this here
Любопытно. Я как-то просматривал настройки McAfee, к примеру — и там опции «Блокировать исполняемые файлы при распаковке архива» не видел.
UFO just landed and posted this here

Есть такая штука — стандартная функциональность антивируса, почтового клиента и архиватора, про неё и был вопрос. И есть такие люди как админы, им программирование не очень упёрлось.

UFO just landed and posted this here
Обычно это называется как то типо контроль активности программ
UFO just landed and posted this here
UFO just landed and posted this here
С поправкой на то, что письмо должно в таком случае не доставляться пользователю, а задерживаться до проверки (иначе пользователь раньше откроет, чем админ/безопасник).
Ну и все должны согласиться, что их почту может просматривать сотрудник СБ.
В таком виде — да, более-менее работоспособно.
С архивами разобрались.
Остались, правда, документы MS Office с макросами и эксплоитами.
UFO just landed and posted this here
Увы, но антивирусы *не детектируют* новые образцы.

К сожалению, у VirusTotal нет возможности показать историю проверок. Но вот, к примеру, статистика детектов на момент выхода одного из предыдущих шифровальщиков:
https://hsto.org/files/caa/187/97b/caa18797b4f249c497abe03ae9b5adfa.png
https://hsto.org/files/a80/336/f11/a80336f119c6490e83adf6313aee38eb.png

А вот, кстати, данные по самому образцу из статьи (кликабельно):
UFO just landed and posted this here
Насколько я понимаю, при сканировании образца на VirusTotal используются оба движка антивируса, в том числе и эвристический.
Но не помогает.
UFO just landed and posted this here
И насколько реально использовать в корпоративной сети такую эвристику?
UFO just landed and posted this here
UFO just landed and posted this here
Интеллект антивиря? Это что-то новое. Эвристика тоже далеко не всегда срабатывает. Были случаи, гонял с эвристикой на зараженных машинах, файлики вирусни подозрений не вызывали. Зачастую эвристика тоже упирается на известные базы и поведение.
UFO just landed and posted this here

Походу иной раз эвристика для выявления чего-то нового использует критерии угроз весовые критерии, включая схожесть с известными вирусами из базы. В результате иной раз голая эвристика не добирает "балов угроз". Я не знаю внутреннюю кухню, но из наблюдений получается, что известные базы эвристика используется у некоторых антивирусов. нет в базе чего-то схожего — ниже оцениваемая угроза.

UFO just landed and posted this here

Я говорю с чем встречался. После обновления баз срабатывает эвристика, до обновлений нет (именно базы обновлялись, а не модули). Вполне возможно, что в базах весовые коэффициенты разного поведения к примеру или условия на что вообще смотреть. В целом эвристика далеко не гарантия. не уверен, что эвристика отличит дедупликацию/сжатие/архивирование от шифрования если это будет от имени системного процесса.

UFO just landed and posted this here
UFO just landed and posted this here
Антивирь не ловит т.к. сигнатура новая и его в базе нет. Вот и заражение.
UFO just landed and posted this here
Это, к сожалению, суровая реальность — большинству рядовых пользователей не под силу организовать резервное копирование, устойчивое к шифровальщикам. Обычно создание резервных копий в исполнении пользователя выглядит как внешний диск, подключенный по USB. И заканчивается это тем, что бэкап, когда он нужен, тоже оказывается закрпитованным.
UFO just landed and posted this here
домашних юзеров вы лесом посылаете сразу?
UFO just landed and posted this here
не в любом, только там где поддерживается доступ к истории версий, так как шифрованные файлы весело уедут в этот бакап в процессе их шифрования.
2.Как такое возможно в нашем МВД

Элементарно, там регулярно (в разных ведомствах МВД и Внутренней службы с Прокуратурой) что-то вкусное гуляет. Бекапы делаются хорошо если на другой диск, продвинутые пишут на DVD (оно r/o — хоть укриптовымогайся) или ленту — она тоже в шкафу, ожившие компьютеры не доберутся; непродвинутые — "у меня RAID, мне не нужны бекапы"(Ц) реальное заявление одного персонажа "оттуда". Факапы уже случались, но шифровальщиков в те времена ещё не было (по крайней мере массово), а сейчас есть, ситуация же не думаю что улучшилась.

UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Если это файловый сервер

Если, обычно — это "диск D:", т.е. логический раздел этого же физического диска. Или E:, если "C — система, D — данные, E — дистрибутивы и бекапы". Такова суровая реальность.


отсутствие нормального администрирования...

… причина чего — отсутствие нормального финансирования и кадров.

UFO just landed and posted this here
кадры — это следствие финансирования. плюс не самые приятные места для работы разные там госскомпании и подобные ведомства, там нужно ходить строем и выживать в обстановке маразма. Хотя финансирование у подобных структур неплохое, вопрос в приоритетах. IT-безопасность там устроена дешево — все запретить, чтобы невозможно было работать юзеру, плюс издать миллион приказов под подпись сотрудников, в которых юзер заранее берет на себя ответственность «если чё случиться».

Финансирование — где как, одно очень крупное и очень страшное заведение получало хорошее финансирование, но реальных денег до подразделения федерального уровня не доходило и сдохшую технику (типа сервера) реально нечем было заменить, а в одном регионе таймстампы вводимых данных хотели вводить вручную (даже ТЗ сделали), поскольку денег на батарейки не было и время на компах сбрасывалось. Техника — не золотые унитазы, на ней и экономить можно. Потому словившее вирус МВД и всякие [около]госкорпорации не удивляют.

Было бы конечно радостно узнать, что по итогам последуют кадровые выводы в руководствах этих контор. Но скорее всего, пострадают обычные админы, которые сверхурочно все будут восстанавливать, а начальство, наоборот еще и похвалят, мол «не допустили последствий», «вовремя остановили» и совершили прочие геройства. А виноватым объявят «Барака Обаму», Путин вон уже заявил это, вслед за майкрософт.
UFO just landed and posted this here
Хочу заметить, что стоимость серого IP для «свистка» у МТС 100 рублей в месяц http://www.mts.ru/mobil_inet_and_tv/tarifu/internet_dly_odnogo/additionally_services_comp/real_ip/
А по умолчанию все «свистки» за операторским NAT-ом, по крайней мере у четырех известных мне операторов.
«Белый» IP вообще не получить.
UFO just landed and posted this here
хм… а Вы представьте себе масштаб сети за NATом — там же тысячи компов!
Достаточно заразить несколько — и готово. А уж как они заразились — другой вопрос.
А кто сказал, что компы за провайдерским NAT'ом друг друга видят? Даже в дешевом домашнем роутере есть галочка «clients isolation».
Есть отдельная услуга для юриков «Защищенная передача данных», тоже за бапки. А-ля VPN, где шифрование обеспечивается самой GSM сетью — вот там видят.
не понятно каким образом вообще использовалась SMB уязвимость

В статье написано 230 тысяч машин, мне кажется это мало, разве нет? Из сотен миллионов это как раз те, кто торчал белым IP наружу без апдейтов + те, которые были с ними в одной LAN.
«Один мой знакомый» ради эксперимента написал несколько лет назад скрипт, который сканил IP по диапазонам и пытался подключиться с ~10 разными паролями, типа admin:123456. Получилось насканить удивительно много, по несколько тысяч компов в сутки на слабой VPS.
Что уж там автоматизировано, если даже вручную можно «насканить» неплохо. Как-то попался мне на глаза внешний IP одной конторы — nmap нашёл много интересного (на уязвимости не стал сканировать) — и БД, и сайт, и веб-интерфейсы всякого разного (видеонаблюдение, и т.п.). Ну да ладно. Так я просто стал брать +1 от последней цифры IP-адреса, и вручную проверять: и каждый следующий адрес был статическим, белым, и с открытыми портами. Да, снова какая-то организация (другая), и наружу торчал веб-интерфейс маршрутизатора (логин-пароль дефолтные). Какая организация — не смог выяснить, чтобы хоть позвонить или написать. Да и смотрел я один вечер, дальше просто лень стало, и просто забил. Но попадись сканеру хакеров или вирусу такое — жди беды…
Видимо, мне попался целый диапазон адресов, выделенный под статику, и большинство из которых уже занято разными организациями. Чаще же попадаются динамические, рядовых юзеров. Но многие сидят без маршрутизаторов — тупо кабель в сетевушку, и все порты наружу. Обновлениями и вовсе никто не заморачивается, иногда ещё и специально отключают.
Еще и:
Стоимость 1Мб переданной информации в рамках услуги Real IP в домашней сети и роуминге по России составляет:
9,90 руб. на всех тарифных планах, кроме тарифа «МТС Конект-4».
3,00 руб. на тарифе «МТС Коннект-4»
А давно мобильные операторы дают белый ip не за натом? Я такого никогда не видел, такую услугу и подключить за деньги далеко не всегда возможно.
А вот wired соединение вполне может смотреть напрямую, без роутера, корпоративным клиентам обычно дают несколько белых ip (частные как раз за провайдерским натом).
А могли бы сначала «по-тихому» заразить миллионы компов, а потом с «командного центра» дать инструкцию шифровать файлы…
Тогда ему пришлось бы периодически отстукиваться на командный сервер и спрашивать эту команду. Что нерационально, так как: (а) не все ПК имеют выход в Инернет; (б) периодическая сетевая активность довольно легко отслеживается.
Поставить счётчик на 7 дней.

image
Да, вот это уже интереснее.
Но 7 дней — непростительно много. Скорее всего, за это время уже выйдут сигнатуры, и антивирусы всё почистят.
Можно максимум 48 часов, не больше. А ради такого, видимо, решили не заморачиваться.

Или выпустить "какую получится", почитать Хабр, усовершенствовать по багрепорту.

Выложить исходники на github и отслеживать пулл-реквесты. Можно даже ежедневную сборку настроить.
В пятницу поддался общей истерии. побежал ставить патч на свою старенькую семерку. Патч поставился, комп перезагрузился и больше не загрузился. Вылезает синий экран смерти с текстом для простого окошка с ошибкой «Приложение бла бла бла и будет закрыто». Выходит у этих официальных патчей нет вообще никакого контроля версий. Моя вера в человечество слабеет с каждый днем… Хорошо что это был не основной комп.

Минимальное время заражения системы после выставления в интернет 445 портом — 3 минуты
Я правильно понимаю, что если я просидел за компом все выходные и ничего не схватил, то порт у меня закрыт?
Официальные патчи не тестируются на совместимость с варварскими активаторами, которые подменяют актуальное ядро системы устаревшей копией. Это реально ужасный способ, который оставляет пользователя без обновлений ядра (а количество закрытых дыр в ядре достаточно велико).
Ну да, ну да, давайте как всегда все валить на пиратов, а не на свои кривые руки или ленивые задницы. Что мешало патчу проверить версию ядра? Или пираты прямо на моем компе эту версию постоянно правят на подходящую?
Версия может быть старой, но отображать, что она новая. В итоге получаете привет. Такие активаторы — зло. Веселые модификации grub4dos куда лучше.
UFO just landed and posted this here
Её и так закрыли довольно давно. Просто внезапно выяснилось, что пользователи винды боятся обновлений и ставят их только когда уже совсем припекло.

На открытом Android творится примерно то же самое, потому как его за редкими исключениями можно обновить только вместе с девайсом.
Я ставлю. Но ни у меня, ни у других в обязательных обновлениях мартовское не значится https://social.technet.microsoft.com/Forums/en-US/8b072af3-42b0-46b2-84e9-742c1a2fb099/ransomware-wannacry-kb4012212-or-kb4012215-is-not-installed-?forum=w7itprosecurity
UFO just landed and posted this here
Этот вирус очень напоминает акцию маркетингового отдела MS ))

— У вас пиратская винда и отключены обновления? Тогда WannaCry идет к вам.
> пользователи винды боятся обновлений
тут, подозреваю, причина в том, что винды пиратские
не обязательно, я например нервничаю, так как после обновления windows с большим шансом нужно будет перезагружать машину.
не говоря что каждый пакет в неделю кушает гигабайт трафика, тоже об этом надо всегда помнить.
А ещё обновление — процесс не очень безопасный сам по себе. Может опрокинуть операционку в BSOD. Вот, например, вчера попросили глянуть компьютер, который начал выпадать в BSOD при загрузке после того как ось с перепугу полностью обновили. Оказалось обновился в том числе и видеодрайвер, который и привёл к синему экрану.
Открытые исходники вообще никак не кореллируют с безопасностью. Для справки — openssl мэинтэйнил один человек без адекватного аудита. После того как нашли уязвимость собирали деньги, что бы оплатить аудит. Благо спонсоры Linux Foundation выделили средства(MS кстати в их числе). Не совсем вяжется с мантрой — «миллионы глаз постоянно проверяют код».

Так же еще многие упускают самую болезненную часть вопроса — opensource вам не поможет в сфере медицинских устройств и систем например. Все должно быть сертифицировано, каждый патч апрувнут вендором и куча других приколов. Вы же не думаете что вам разрешать пересобрать ядро на аппарате МРТ за 15 лямов долларов?
Ну не то чтобы совсем «никак» не коррелируют с безопасностью. Разумеется никто не гарантирует. что хоть кто-то проверяет код в open source проекте, куда уж там миллионы.

Но зато это можно сделать в любой момент. Вот все заинтересованные лица взяли и провели полный публичный аудит.

А в случае SMB1 от Microsoft как? Они там что-то на скорую руку залатали, но может быть даже сама уязвимость не закрыта, а просто изменились условия ее эксплуатации пока опять их кто-то не обнаружит.А заинтересованное сообщество, возможно, могло бы предложить лучшее решение.

Разумеется гарантировать ничего нельзя, но открытость немного улучшает ситуацию, некоторая корреляция в наличии.
Согласен. Но ключевое слово — немного. Скажем так — сам по себе опенсорс не панацея. Допустим тот же аппарат для МРТ. Поставили на него никсы году так в 2000, сертифицировали набор компонентов. В 2017 году выходит уязвимость и что будем делать? :) Вендор мог уже обанкротиться, тоесть фикса нет. Сторонним разработчикам туда вообще фиг допуск дадут. Просто обновить набор пакетов? — тем более нет. И даже если они будут сидеть и смотреть на кусок кода с дырой — по факту ничего не смогут сделать. Вот тут самая большая печаль-беда :(

У вас немного поверхностное мнение о разработчиках в MS :)
Так если поставить туда Windows (в двухтысячном году это было бы в лучшем случае Windows 2000, в худшем — NT 4.0), то сейчас бы тоже ничего с дырой сделать не получилось, для Windows 2000 и уж тем более NT 4.0 патчей не выходило.
Ну XP ставили куда только можно. FYI На британских подлодках Trident бортовые системы на XP :D
Тут только изолировать нафиг все. Хотя и тут есть подводные камни — мрт аппараты и аппараты для лучевой терапии соединяются с системами планирования лечения пациентов, в которых ведутся расчеты необходимой дозировки и тд. Ну и облачные решения подоспели…
С МРТ всё печально в любом случае: если вендор не сказал что это обновление совместимо, то и ставить его нельзя. А уж открытое или закрытое ПО — вообще не важно (ну, с открытым, чисто теоретически, ты способен собрать всё, протестировать, и заново пройти сертификацию — не знаю какая больница способна на такое).
Вы же не думаете что вам разрешать пересобрать ядро на аппарате МРТ за 15 лямов долларов

Админу местной больницы/университета — дадут, довольно легко. 15 млн. $ для западной организации часто не является такой уж большой суммой. Обычно этого (ненужных обновлений) не происходит, потому что люди адекватные, но если у админа будет желание — особых препятствий не будет.
Вы шутите? Никто даже близко не подпустит — это потенциальная уголовщина. Вы видимо никогда не сталкивались с регуляторами и требованиемяи строжайшего соответствия нормативным актам, протоколам обновления и реакции на инциденты. Я уж не буду говорить, что медицинские системы проходят такое тестирование, что большинство разработчиков в жизни не видели такого количества документации и тестов.
15 лямов это гигантская сумма для того же NHS. И даже если чудом не превратите его в тыкву, то нет никаких гарантий, что все будет работать корректно, а это опасно для жизни пациентов.
Вы видимо никогда не сталкивались с регуляторами и требованиемяи строжайшего соответствия нормативным актам
Я знаю, о чём говорю. Напрямую, лично, с мед. приборами не сталкивался, но с регуляторами и правилами — да. И был свидетелем того, как на Западе на это забивают, отмахиваясь как от назойливых формальностей. И регуляторы тоже часто не слишком буквоедством занимаются и нередко стараются по сути действовать, а не просто наказывать за невыполнение формальных предписаний, если видят что намерения «нарушителей» адекватные.
Никто даже близко не подпустит

15 лямов это гигантская сумма

Я на прошлой неделе «live» правил код прибора за более 2 млн $ просто что бы показать коллеге, как это делать, прям на работающем приборе. Это является ежедневной нормой. Приборы за 10-15 млн тоже никто не боится. Во многих случаях не существует физических механизмов «недопускания». Всякие «страшные» вещи происходят очень редко потому, что люди осознают ответственность и просто стараются не совершать глупостей, даже если имеют доступ. Ну и уголовная ответсвенность тоже останавливает, но не физический механизмы «никто не подпустит». Как вы себе это представляете? Кто или что может не подпустить к прибору технический персонал больницы/мед центра/research facility?

Вот в этом видео описываются примеры, как к вещам, воспринимаемым (и являющимися) чрезвычайно опасными относятся их операторы. Видео тоже не без глупых выводов, но кое-что интересное есть.
Уточните страну вашего проживания.
Не подпустить? Система контроля доступа. Проверить целостность — то же есть способы.
Вы понимаете, что для всего этого есть серьезные последствия? Что будет если человек погибнет? Подобной безответственностью не надо хвалиться. Попадете на нормальный аудит и гудбай.

Я и не хвалился, просто описываю реальную ситуацию. Вероятно есть места где строгий контроль и будут последствия неавторизованных действий, но обычно ответственность наступает только в случае когда дело доходит до аварии, и то не всегда. В моем случае прибор безобидный и мог угрожать лишь жизни бактерий, ну и выходом из строя, хотя это крайне маловероятно. Но от этого застраховаться нельзя — дешевле починить.

Опять же, если это мед прибор, то сам оператор это осознает и работает/модифицирует его осторожно, но не потому, что ему не разрешат тяп ляп, или не допустят, а потому что он ответственный человек и работает добросовестно. Обычно.

Ну и уголовная ответственность тоже никуда не денется, если серьезно напортачить.

А теперь сравните безобидный прибор с аппаратурой для диагностики и лечения рака. Я когда впервые увидел как рассчитываются параметры курса терапии на основе периодических анализов и сканирований офигел. Точнее ОФИГЕЛ. Тем более что-то там модифицировать не стал бы.
Конечно не стал бы, я бы тоже не стал, но не потому, что «не подпустят», а потому, что это было бы глупо и безответственно. То есть «не подпустят» там просто при приёме на работу: персонал, который работает с такими приборами (админы, программисты) — это чаще образованные адекватные люди, которым объясняют (они и сами понимают) возможные последствия их работы.
У вас очень странные представления как об админах и security процедурах в медицинском IT, так и о бюджетах госпиталей (впрочем, безотносительно к бюджетам, $15 «лимонов» это просто огромная сумма).
В общем, вы неправы буквально в каждом слове.
$15 «лимонов» это просто огромная сумма

Смотря для чего или для кого. Для какого-то госпиталя может и огромная, а для другой организации — нет. Бюджет NIH, к примеру ~ 33 bil. $. Бюджеты на оборудование в некоторых организациях тратятся по принципу «если не потратим до конца года, то бабки пропадут». Если есть возможность — их пытаются перевести в фонд ЗП, но часто этого сделать нельзя и покупают приборы за сотни тысяч и миллионы просто потому, что могут.

15 млн — это годовые расходы на фонд ЗП отдела в 5-10 человек в какой-нить фарм. компании. Только ЗП.
Бюджет на покупку аппаратов £500 в год. На всю страну. Или врачам платить не надо например?

Вы о каком бюджете и каких аппаратах? Один день лечения ракового больного стоит в разы дороже чем пятьсот британских фунтов.

500 mln GBP. Извиняюсь. Это сумма выделяемая из бюджета NHS на покупку новой аппаратуры.
15 млн — это годовые расходы на фонд ЗП отдела в 5-10 человек в какой-нить фарм. компании. Только ЗП.

Откуда вы взяли, что в «фарм компании» рядовые сотрудники получают от $1.5M до $3M годовой зарплаты?! Честно говоря, после таких «заявлений» продолжать разговор с вами отпала охота… До вас самого идиотизм ваших заявлений не доходит? И в гугле вас, очевидно, забанили?

Отвечаю не вам, а тем кто возможно будет это читать. Во-первых с зарплатой я по ночи несколько просчитался. По моему опыту сотрудник исследовательского отдела, не считая тех персонала может получать от 100000 до 2000000 в год в зависимости от должности и т.п. компания при этом потратит сумму в полтора раза больше из-за налогов примерно. То есть реально получится скорее не 15 млн., А 5 млн. $

В прочем, для некоторых передовых направлений может получится и больше. Один только​ начальник отдела может 5$млн получать.

Хватит писать ерунду! Да еще подтверждать свой бред «минусованием» кармы — так делают только злобные невоспитанные детки. Ошибся, наговорил глупостей — ну, признайся, с кем не бывает. Так поступит взрослый человек. Инфантильный «подросток» (притом любого возраста — по интеллектуальному и моральному уровню) будет тупо доказывать свою «правоту»…

По интересному совпадению, один из моих близких друзей — IT администратор в большом бостонском госпитале, а другой — химик-синтетик, долгие годы работающий на фармацевтические компании. Все, что было вами написано — не имеет ни малейшего отношения к реальности, по крайней мере, в США (но не думаю, что существуют места, где компьютерных администраторов пускают ковыряться в firmware MRI сканнеров, а бюджеты маленьких исследовательских групп составляют даже $5 миллионов долларов в год на зарплату — я же привел уровень зарплат в индустрии выше!).

В какой стране вы живете, откуда «высосаны» данные идиотские утверждения? Я пишу о реальности, о том, о чем знаю! О чем пишете вы — могу только догадываться.
Хватит писать ерунду! Да еще подтверждать свой бред
Хватит бездоказательно меня обвинять и хамить.
«минусованием» кармы

Я действительно минусанул Вам карму, т.к. Вы мне нахамили и в грубой форме и без доказательств написали какое-то нечто.
Ошибся, наговорил глупостей — ну, признайся, с кем не бывает.
Единственная ошибка была с точной цифрой зарплатного бюджета, нужно было написать 5$ млн, я написал 15, это я признал сразу и без Ваших советов. Однако это один порядок и не это был основной аргумент. От уменьшения суммы в три раза суть ситуации не меняется. Остальное — мои личные наблюдения, если у Вас другие наблюдения — поделитесь, а переходить на личности и учить меня жить не нужно.
не думаю, что существуют места, где компьютерных администраторов пускают ковыряться в firmware MRI сканнеров

Что значит «пускают»? Кто им помешает, кроме профессиональной (и уголовной, в случае последствий) ответственности. Я не слишком хорошо знаком непосредственно с госпиталями в целом, но я видел, как в разных странах доступ к дорогим приборам (в т.ч. и медицинским раз видел) ни административно ни технически не ограничен для обслуживающего персонала.
я же привел уровень зарплат в индустрии выше

Ваша ссылка была ни о чём, по ней вообще никаких выводов нельзя сделать. Всего десять примеров не пойми чьих зарплат. Мои личные (не друга) наблюдения (буквально в феврале последний раз общался с исследователями из одной крупной калифорнийской фармацевтической компании) говорят о том, что молодой специалист (~28 лет) там получает примерно от 100 тыс, на должности без подчинённых. Когда запускают важный для компании проект, то руководителей привлекают где найдут посредством семизначных зарплат.
НИКТО в здравом уме не полезет ставить перекомпилированные модули в МТ, так как схлопочут иск от производителя, а потом еще и пациентов на суммы, большие чем покупка нового томографа.
Согласен, но что бы дошло до иска нужна авария или хотя бы что бы стало известно, что кто-то вообще вмешивался, а этого делать не нужно было. Люди не вмешиваются в приборы не потому, что им «не дают», а потому, что в этом не заинтересованы. Если же какой-то администратор из каких-то неизвестных побуждений захочет модифицировать прошивку прибора — кто ему помешает и смогут ли этот факт вообще обнаружить? Далеко не всегда.
Бездоказательно как раз пишете свои выдумки и измышления вы! Я привел ссылку на медианные зарплаты по отрасли, при минимальном желании, можете найти хоть «стопятсот» тысяч таких ссылок, притом ВСЕ будут подтверждать мои слова!

Еще раз повторю: я живу в США (и довольно долго), и в близких друзьях у меня профессиональный IT администратор из бостонского госпиталя, и профессиональный химик с большим стажем, работающий на фармацевтические компании. Вдобавок, я работал по контрактам с госпиталями, и прекрасно знаю, о чем говорю.

Все, что вы «высасываете» непонятно откуда — неправда, глупая выдумка, навеянная дешевыми голливудскими фильмами.

Думаю, что, скорее всего, вы живете в России, и не имеете ни малейшего представления о том, как обстоят дела в реальности западного мира. Также думаю, что сумма в $15 миллионов долларов лично для вас так же фантастична, как и $150 тысяч (да, пожалуй, и $15 тысяч ;) ), потому-то вы и не осознаете, почему $15 миллионов долларов являются действительно очень большими деньгами.

P.S. Да и сама сумма в $15 миллионов возникла только от вашего невежества — эти сканеры стоят гораздо дешевле, но тоже очень дорого (но, конечно, по нашим, американским меркам, а не Васи из Задрищенска).
Я привел ссылку на медианные зарплаты

Вы привели ссылку на зарплаты каких-то работников фармацевтической отрасли не связанных напрямую с исследованиями, к тому же взяли медиану, а я говорил об исследовательской группе, к тому же в Калифорнии, да и компании бывают разные и даже подразделение может сильно отличаться от соседнего. В вашем списке нет руководящих должностей.
можете найти хоть «стопятсот» тысяч таких ссылок
Но мне не нужно их искать, я знаю ситуацию из первых уст. Поделился ею с Вами. Вы не верите — пожалуйста.
Все, что вы «высасываете» непонятно откуда — неправда, глупая выдумка, навеянная дешевыми голливудскими фильмами.
Думаю, что, скорее всего, вы живете в России, и не имеете ни малейшего представления о том, как обстоят дела в реальности западного мира. Также думаю, что сумма в $15 миллионов долларов лично для вас так же фантастична, как и $150 тысяч (да, пожалуй, и $15 тысяч ;) ), потому-то вы и не осознаете, почему $15 миллионов долларов являются действительно очень большими деньгами.

Это Ваши догадки. Будете ли Вы готовы посыпать голову пеплом? Если мои наблюдения не совпадают с Вашими — это ещё не повод для хамства.
Я уже писал, что свои данные взял из деловых разговоров с сотрудниками калифорнийской фарм. компании, а также из общения с коллегами на профильных конференциях и просто в командировках. Некоторые вещи, которые я описывал, я лично наблюдал во Франции, США и Германии.
Ваше впечатление лишь говорит о том, что независимо от того, где человек проживает — от невежества и хамства это не излечивает.
А по поводу голивудских фильмов — то это как раз по ним можно подумать, что до приборов не допустят т.к. от админа их будут охранять титановые стены, автоматчики и охранная система со сканером сетчатки глаза, которые «не допустят» админа до изменения прошивки прибора.

P.S. Да и сама сумма в $15 миллионов возникла только от вашего невежества — эти сканеры стоят гораздо дешевле,

сумма возникла из поста Razaz. Я нигде не писал о конкретном приборе, а говорил о спокойном отношении к ценной технике с семизначным ценником в некоторых (довольно многих) организациях на Западе.
но тоже очень дорого (но, конечно, по нашим, американским меркам, а не Васи из Задрищенска).

Вы считаете, что это делает Вас на фоне Васи лучше и достойнее? :)
Вы пишете ерунду, притом, не подтвержденную никакими фактами, от слова совсем!

Ни один IT администратор в госпитале, в здравом уме и рассудке, не пойдет «перекомпилять ядро» медицинского дивайса: этим занимаются (за весьма круглые деньги) специалисты от manufacturer-а или vendor-а, госпитальному персоналу напрочь запрещено лезть во внутренности, а обслуживание специализированных медицинских приборов, естественно, не входит в круг обязанностей госпитального IT! Это — факт, не мои домыслы, вне зависимости, с кем вы там беседовали…

Уровень зарплат в фармацевтике я вам привел; специально спросил друга-химика, много ли у них народу в его группе получают сильно больше $150K, он в ответ только грустно усмехнулся.

Бюджет зарплаты исследовательской группы из 10 человек — вовсе не $15 миллионов, и не $5 миллионов, а гораздо меньше. И «начальники отдела» (кстати, «начальников отдела» на Западе нет! А есть team leads и project managers) НЕ МОЖЕТ "$5млн получить", просто напросто нет таких зарплат, от слова СОВСЕМ!

Многомиллионные зарплаты и бонусы — это удел топ-менеджмента и chairman-ов (правда, в качестве исключения, в некоторых финансовых организациях очень талантливые ведущие разработчики делают больше «лимона» в год, но, повторю, это, скорее редкое исключение).

P.S. Смеха, а не пруфа ради, кинул линк на эти комментарии своим друзьям (благо, они доступны сразу и прямо сейчас, хоть по IM, хоть по телефону). Они — сильно занятые люди (особенно администратор, в связи с WannaCry), чтобы доказывать неправоту анонимусу из интернета, но то, что они мне посоветовали ответить, я опущу по соображениям приличия… :D
Ни один IT администратор в госпитале, в здравом уме и рассудке, не пойдет «перекомпилять ядро» медицинского дивайса
А где я с этим спорил? Я говорил про админа как раз в не здравом уме и говорил, что если админу ударит что-то в голову и он захочет куда-то влезть — вряд ли что-то ему помешает.
Уровень зарплат в фармацевтике я вам привел; специально спросил друга-химика, много ли у них народу в его группе получают сильно больше $150K, он в ответ только грустно усмехнулся.
Я и не говорил, что у меня репрезентативная выборка для медианного фармацевта. Я могу лишь уточнить что для исследователей с опытом 15-25 лет в медицине/фармацевтике на руководящей (но не высшего звена даже) зарплата ~1 млн — это не исключение.
И «начальники отдела» (кстати, «начальников отдела» на Западе нет! А есть team leads и project managers
Да как хотите их называйте. Я по-русски писал.
team leads и project managers) НЕ МОЖЕТ "$5млн получить", просто напросто нет таких зарплат, от слова СОВСЕМ!
Есть, я одного знаю конкретно, о других слышал от коллег, Вы видимо не встречали. Когда большая компания видит, что открывается новый рынок по новой болезни/терапии и им надо в него войти, — они пытаются на него нанять самого топового специалиста, который на этой теме уже собаку съел, еще до того как она стала «трендом», а таких людей в мире единицы. Под таких людей создается отдел, и им дают семизначную зарплату. Я не говорил, что это все начальники отделов такие, я сказал что такое бывает.
Я на прошлой неделе «live» правил код прибора за более 2 млн $ просто что бы показать коллеге, как это делать, прям на работающем приборе. Это является ежедневной нормой. Приборы за 10-15 млн тоже никто не боится. Во многих случаях не существует физических механизмов «недопускания».


Я говорил про админа как раз в не здравом уме и говорил, что если админу ударит что-то в голову и он захочет куда-то влезть — вряд ли что-то ему помешает.


«На этой юмористической ноте, дорогие радиослушатели, мы заканчиваем нашу увлекательную программу!» :)

P.S. На этот раз это действительно мой последний пост в этом треде, ибо становится уже не смешно…
Вы вырываете из контекста.
Первая цитата относится к просто ценному прибору, работа с которым — обычное дело для меня и лишь хотел показать на личном примере, что никаких барьеров для «ломания» такого прибора не существует. Я не один имею доступ к этому и еще нескольким таким приборам и не припоминаю, что бы за последние 5 лет кто-то нанес серьезный ущерб им. При этом что-то правится едва ли не каждую неделю. Тут я показываю отсутствие пиетета перед ценными железяками среди их операторов.

Вторая цитата относится к приборам, которые обычно не трогают, даже если и могут.
Пожадничали ребята с 300 долларами, брали бы 50 или 10 даже, так озолотились бы. В российских условиях среднему домашнему пользователю да и даже простому офисному сотруднику дешевле винт отформатировать или даже новый купить. Ну что может у отдельного представителя планктона пропасть на компе, стоимостью >300 баксов? Какой-то срочный отчет или проект даже, возможно из головы восстановить, пусть даже героическими усилиями работы по ночам и выходным. Да и сроки начальство сдвинет, в рамках борьбы с кознями АНБ:)
Ну что может у отдельного представителя планктона пропасть на компе, стоимостью >300 баксов?

Например, архив фотографий и видео детей за nn-цать лет (учитывая то, что OneDrive/GoogleDrive довольно быстро «подтянут» зашифрованные фотки); у владельцев малых бизнесов — документация и бухгалтерия за nn-лет (грозит серьезными потенциальными проблемами).
А с другой стороны, разве $300 — это настолько большая сумма для современной России? Я встречал неоднократные утверждения, что нынешние россияне живут, благодаря «стабильности», хорошо и богато, и даже в «замкаде» зарплаты в $1000/month давным-давно уже устоявшаяся реальность (а для Москвы так это вообще зарплата дворника).
Конечно, 300 баксов не так и много, только почему-то многие предпочитают использовать пиратскую винду, антивирусы и прочее ПО, лишь бы только немного этих долларей сэкономить.
Про бухгалтерию соглашусь, может быть что-то ценное потеряно. Не знаю, как в этих 1С-ах все устроено, но думаю, где с ней ежедневно и серьезно работают, там есть и админы и бэкапы. А мелкому ИПшнику, который изредка только отчеты сдает в налоговую, проще будет заново из первички все документы руками в систему забить, да этот способ и для относительно больших доже подойдет, все бумаги хранятся, бухгалтерия все может повторно внести.
Архивы фото- видео- вряд ли настолько ценны. Все интересное люди заливают в соцсети, а остальное хранят забивая винты, думая, что когда-то пригодится. Обычно это «когда-то» никогда не наступает. Я лет 7 назад потерял часть фото-архива (кое-что именно в соцсетях сохранилось), когда умер винт, Земля не остановилась от этого, баксов 10 отдал бы, чтобы вернуть, но никак не 300.
А вот это уже идея поинтереснее: грохнуть всю бухгалтерию, свалить всё на вирус, сказать, что бэкапы тоже пошифровались и т. д. А там глядишь и правительство какой указ издаст типа «О мерах по поддержанию пострадавших от WannaCry» — понять, простить и налог посчитать по минимуму.
Бумажные версии должны были остаться, компьютерный вирус до них пока не может добраться. А раз так, вот тебе штраф, сиди восстанавливай.
К примеру я очень редко что-то выкладываю в соц сети и потеряв семейный альбом за НН лет… Ну я бы отдал 300 $
Что касается мелкого ИП. Потеря базы данных мне бы сильно помешала. Честно

Благо, что все хранится в облаке, которое с компом синхронизируется только руками и все важные данные отправляются туда скриптами. Настроить такое в принципе не так и сложо.
в «замкаде» зарплаты в $1000/month давным-давно уже устоявшаяся реальность

Реальность для кого? Для мэра города? $350 — уже неплохо, и вряд ли кто-то станет отдавать почти всю месячную зарплату даже за очень важный архив фото.
Говорю честно: знаю о достатке россиян только по форумам и сайтам. Поскольку для довольно многих, судя по их постам на некоторых форумах, например, покупка нового смартфона за $800-1000 выглядит достаточно рядовой, я и думал, что все не так уж и плохо…

Месячную зарплату я бы отдавать не стал (но она и не $300), а вот $300, наверное, отдал бы , если бы был самонадеянным «лохом» и невеждой, рассчитывающим на «авось не подхвачу»
Вот у нас 21350 руб средняя (сейчас может 22к руб), а медианная, естественно, и того ниже. Как раз на вымогателя и на 70% коммуналки. А посты — это 1% или типа того, но у них, наверное, и бэкапы есть\апдейты стоят.
Добавлю по поводу особенностей шифровальщика, о чем не написали:
taskshe.exe инжектит длл непосредственно из зашифрованного файла t.wnry, код шифрования, открытые ключи RSA в этой библиотеке. Кстати, авторы вредоноса просмотрели один таймстамп и не потерли. AES реализован в библиотеке, а для RSA и генерации сессионных ключей используется CryptoAPI.
Зашифрованные файлы содержат сигнатуру, зашифрованный ключ AES и собственно зашифрованные данные файла
Интересно, а просто использовать зараженные компьютеры для майнинга не было бы «выгоднее»? Сотни тысяч машин по всему миру — это довольно серьезная вычислительная мощность. Да и не было бы столько воплей по этому поводу, многие годами могли бы не догадываться о заражении.
Уже через несколько дней вирус попал бы в сигнатурные базы всех антивирусников и тихо сдох, не успев намайнить сколь-нибудь существенные суммы. Криптор позволяет собрать «урожай» до того, как антивирусы начинают его детектить.
Это полуправда.
Чтобы получить с 200к компьютеров те же 40 тысяч долларов за день, каждая из машин должна «выдввать» по 2 мегахеша. Что в реальности будет существенно выше за счет GPU и отсутствия затрат на электричество. В реальном мире примерно за 8 часов можно было бы получить сопоставимую сумму.
Спустя месяцы после волны десятки тысяч компьютеров, не оснащенных антивирусами, продалжали бы выдавать ту же сумму еженедельно.
Что мешает скомбинировать майнер и шифровальшик? Что-то вроде «не расшифруем Ваши файлы, пока на вашем компьютере не намайнится определенная сумма».
Где гарантия что у вас УЖЕ не сидят майнеры, которые проникли тем же путем? :)
Я слежу за нагрузкой CPU/GPU и выделением памяти. Но подавляющему большинству пользователей это не свойственно.
UFO just landed and posted this here
Если говорить о «голом» chrome с холодного старта, то при запуске нагрузка плавает +5/10% (падая почти до нуля после завершения инициализации всех расширений), а памяти выделяется около 200Мб. По мере работы, в зависимости от количества окрытых вкладок, может уходить до гигабайта памяти, а нагрузка на CPU «плавать» в пределах до +10%.
Но меня такие вещи интересуют как Web-разработчика (в частности, игр). Моя жена, например, спокойно открывает 40+ вкладок «просто чтобы не потерялось» а на завывания системы охлаждения и тормоза реагирует просьбами поменять вентилятор или компьютер.
UFO just landed and posted this here
То есть, идея работоспособна? Можно ограничить ресурсоемкость, при этом сохранив на достаточный срок работоспособность червя на большОй части ботнета.
Можно попробовать на вскидку проанализировать производительность на чистом CPU или с подключением GPU при его наличии. Возможно включение только в периоды простоя.
чем вы отслеживаете нагрузку на GPU?
если запустить майнер, например не на 100% ресурсов, например не 32 воркера а 8, вы ничем это не отследите, по крайней мере process explorer не покажет ничего такого, памяти много не будет затрачено
У меня ноут. В обычном режиме работает встроенная видеокарта, нагрузка на которую видна в CPU. При включении GPU nvidia загорается иконка в трее. На стационарном компьютере наверное не так просто будет отследить, да и не было пока необходимости.
С другой стороны, я изначально говорил о теоретической возможности использования уязвимости именно для майнинга, вместо шифрования. А не о том, что я профессионально умею что-то детектить. Так что я бы от оффтопа переключился на что-то более тематическое, вроде оценки производительности различных компьютеров в мегахешах. ;-)
На моём стационарном ПК резкое увеличение нагрузки на GPU можно «отследить» даже из другой комнаты по характерному шуму.
другой детальный анализ https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis
Действительно, очень познавательно. Да и вопросов возникает уйма.
получишь благодарность и «печеньки» от антивирусных компаний. само собой :)
также стоит понимать, не будешь первопроходцем, т.к. за этим делом сидят круглосуточно ведущие антивирусные аналитики.
От меня спасибо за информацию, какие ещё метода проникновения, кроме SMB v1
Если виртуалка включена в сетку, то следом получите заражение всех виндовых машин с открытым портом 445 и без установленного обновления в этой сетке.
Вот это мы во время живем, ребята! ) Самая массовая кибератака в истории, а я то думал, что у меня винда (семерка) обновлялась все выходные, новости в пятницу не читал, был не в курсе
UFO just landed and posted this here

Интересно, а как автор (или авторы) этого вируса собираются без палева обналичить "заработанные" средства или вообще хоть как-то ими воспользоваться? Физический товар не купишь, на карточку не выведешь… или все-таки можно?

Вам слово «биткоин» совсем незнакомо? Ну, так на хабре статей про биткоин даже больше, чем нужно…

Я знаю, что такое биткоин и слышал, что его анонимность сильно преувеличена и в ряде случаев личность владельца можно узнать. Или все это не правда?

Не те слухи вы слышали. Можно проследить цепочку, узнать, сколько перечислили биткоинов (на данный момент, вроде, $57282.23 в USD по текущему курсу), но вот деанонимизировать владельца кошелька, AFAIK, практически невозможно (ну, разве что классическими средствами полиции и спецслужб).
Собственно, на этом и базируется bitcoin и его популярность в определенных кругах.
ну, разве что классическими средствами полиции и спецслужб

Ну именно эти службы и должны заинтересоваться автором вируса, написание вредоносного ПО и вымогательство это ведь преступление.


Но дело даже не в этом. Просто деанонимизировать владельца кошелька пусть условно невозможно. Следовательно переводы между кошельками внутри биткоин сети тоже условно безопасны (анонимны). Но биткоины ведь на хлеб не намажешь! Покупка в интернет магазине, вывод на карту, обмен на эл. деньги и так далее — это все палево. Разве нет? Владелец любого интернет магазина, если его возьмут за одно место, сдаст всю информацию о клиенте.

Есть сервисы для отмывания, которые делят сумму на множество мелких частей и смешивают с биткоинами других пользователей.
Точно я не знаю, поскольку я не criminal, а «битками» интересуюсь только в порядке общей информированности (для моих покупок и транзакций вполне подходят и обычные кредитные карты и банковские счета), но, опять-таки по слухам (за достоверность не ручаюсь) и по прочитанному, существует весьма обширный «чёрный» рынок «битков», где можно купить за bitcoins абсолютно все, от наркотиков и оружия, до ворованного антиквариата, «левого» золотишка (оборот коего, AFAIK, запрещен в большинстве государств) и не ограненных алмазов.

Касательно же «стандартных» полицейских и «спецслужбовских» методов, то они (опять-таки,AFAIK) в основном базируются на сексотах и агентах под прикрытием. Если в случае орг. преступности примерно понятно, где искать и куда внедрять, то, IMHO, в случае с хакерами все намного сложнее. Нет сомнений, что определенные сообщества и преступные группы мониторятся соответствующими органами, но в случае не хвастливых, умных и осторожных злодеев вне «сцены» данный сценарий, очевидно, не сработает.

Опять-таки, с технической стороны чрезвычайно сложно хоть как-то напасть на след: ныне даже script kiddie, подчитавший пару-тройку мануалов, и потративший пару $10-20 (через сатоши, «мелкую монету» биткоина), может организовать себе практически невыявляемую и неузявимую цепочку прокси (особенно, если входная точка — это public internet access в каком-нибудь Starbucks-е или ресторанчике).

Атака Wanna Cry явно продумывалась и готовилась длительное время; вряд-ли люди, подготовившие и осуществившие ее, являются полным «ламерьем», поднахватавшимся верхов (по анализу червя непохоже).

Так что вряд-ли стоит рассчитывать на выявление и наказание преступников; ни ФСБ, ни FBI вовсе не всесильны и всезнающи, как бы им не хотелось такими казаться…
Существуют сервисы, которые за часть суммы делают миксинг средств и таким образом делают её отслеживание довольно проблематичным. Опять же, можно завести деньги на биржу, конвертнуть, к примеру, в ETH, и их потом уже обналичить. Схем куча.
Через биржу на карточки всё спокойно выводится, уже давно… Да с самого начала, наверное :)

В блокчейне не будет указано что все деньги переведены на кошелек биржи. Биржа конечно, навряд ли, генерит кошельки для каждой транзакции, но у неё их очень много. Далее, битки разлетятся по пользователям. А чревописатель получит sms уведомление, о зачислении деньзнаков на карту :)

А пострадавшие выгрузят цать гигов зашифрованых фоток на внешний винт или в облако… Мало ли… Вдруг дешифратор подойдет… Вместе с квантовыми компами…

Малость спутал, не кошельки btc, а новый адрес в кошельке.

То, что вывести можно это понятно. Просто мне кажется, что это палево. Разве не останется данных, что с такого-то кошелька (который на карандаше у соответствующих органов) на такую-то карточку был перевод. Даже если она оформлена на какого-то бомжа, ее, как минимум, можно просто заблокировать, чтобы злоумышленник не мог снять деньги.

Чтобы всё понять, проще провести самостоятельно куплю продажу и обратную продажу на 100р.

Злоумышленик создает аккаунт на бирже. Нажимает «пополнить счет btc», ему биржа выдает его персональный адрес, такого же типа как и на который потерпевшие отправляли битки.

Завтра или послезавтра мы увидим что битки ушли на какой-то адрес. Но что это за адрес? Другой кошелек? Электронный автоматический обменник? Другой кошелек? Биржа? Но какая именно.

И все адреса уникальны. Потому что первое правило биткойна — Сгенерируй новый адрес, для новой транзакции! Это многократно повторяется и тиражируется. И этого придерживаются пользователи.

Блокчейн видит транзакцию, а кошелек может быть создан на блокчейне, а может на компе злоумышленика Bitcoin core с полным набором блоков и он же кошельком и является…

Тут интересно другое… Текущая цена на биток в почти 100к руб. О_о. Я на btc-e последний раз заходил, когда он 18к стоил… Может битки сейчас только держатели бирж и обменников продают, а остальные только покупают…
Поймал себя на мысли, что ну о-очень давно нигде не видел Fixedsys…
Уважаемые подскажите пожалуйста, это я такой везучий, и эта гадость пытается пробраться на комп? или это не этот вирус а что-то другое?
скрин
https://yadi.sk/i/H4y3pLtw3JBNKF

порты 139, 445 закрыты + установлен патч с обновой для хр, но фаервол сегодня словно взбесился из за этой гадости, каждую секунду с новых ip долбятся и что-то блокируется х_х
Если это из за этого вируса, то подскажите как избавиться? не очень хочется чтобы он пролез на комп и угробил все файлы, а после радостно денег требывал :((
Похоже на компе запущен торрент-клиент, сидящий на порту 6881. Проверьте — если это так, то откройте в фаерволе этот порт на вход.
Нет торрент не запущен, я сначала тоже думал что из за него, и удалил, все равно каждую секунду идут запросы с новых IP и блокируются, к тому же большая часть IP с того же провайдера какой и у меня + из того же города.
Ваш IP-адрес запомнился сетью DHT и другими торрент-клиентами: вот они и пытаются до Вашего торрент-клиента достучаться. Не парьтесь.
Так в том то и дело, смена IP адреса не помогает (он меняется каждый раз как подключаюсь к интернету) а запросы все равно идут каждую секунду.
А сегодня и вовсе вот такое появилось пока еще интернет не был подключен
кусочек лога
2017/05/16 12:58:18 send IGMP 169.254.222.154 -> 224.0.0.22 (40) block by 0000000F
2017/05/16 12:58:18 send IGMP 169.254.222.154 -> 224.0.0.22 (40) block by 0000000F
2017/05/16 12:58:18 send IGMP 169.254.222.154 -> 224.0.0.22 (40) block by 0000000F
2017/05/16 12:58:18 send IGMP 176.212.215.212 -> 224.0.0.22 (40) block by 0000000F
2017/05/16 12:58:18 send IGMP 169.254.222.154 -> 224.0.0.22 (40) block by 0000000F

Раньше такого не когда не было, но вот после вчерашнего появилось, и теперь даже когда инет выключен что-то блокируется (вирусов нету, сегодня 2мя антивирусами проверил все чисто) а когда подключаюсь все по новой, правда сегодня еще IP от бразильцев и украинцев добавились)) вчера их не было)
Единственное, что могу сказать по Вашей теме в данный момент: порт 6881 используется по умолчанию разнообразными торрент-клиентами и с атакой, описанной в данной статье, никак не связан. Вы точно удалили торрент-клиент? Может осталась какая-нибудь служба от него?
Да удалил, от торрента не чего не осталось, так что это не из за него.
Еще эти запросы долбятся на разные порты сегодня например вот на эти пытались пролезть — 17, 80
и как с этим бороться не понятно, пробовал банить целые подсети этих провайдеров, вроде с начало утихают и меньше запросов, но после все по новой, с других стран, так что прям пичалька какая то :((
Да что Вы так распериживались-то? Интернет полон всяческих роботов-сканеров. Мало ли куда там они лезут? Плюньте на них и всё. Вам что, фаервол окно на экране открывает с предложением как-то среагировать на каждый входящий пакет? Настройте его так, чтобы он этого не делал, а блокировал пакеты молча. Или Вы просто постоянно смотрите в его логи? Ну так не смотрите. Не надо с этим бороться. Пусть фаервол делает свою работу, а Вы — свою.
Ребят, а если за роутером сидишь? Какая вероятность поймать? 445 порт закрыт
Если только в локалку притащат) или по почте заюзают пользователи
Мне кажется, что в связи с периодическими эпидемиями шифровальщиков и одновременным нежеланием немалого количества разных контор нанимать грамотных недешевых спецов, у фрилансеров скоро появится новая профессия — «Системный администратор внешних резервных копий» (в простонародии будет метко прозван «Бэкапщик»). Его задачей будет находится круглые сутки на связи, быть готовым в случае чего срочно сорваться куда потребуется в любое время суток, ну и конечно же с внешним диском в кармане периодически кататься по своим клиентам (частота катаний будет зависить от оговоренной с клиентом) и сливать бэкапы с серверов и хостов, беря причём определённую договором с клиентом денежку за каждый факт приезда.
Сколько суеты вокруг этого WannaCry Весь интернет забит статистика поисковиков показывает набранные ключевые слова: расшифровка файлов, WannaCry. Кошельки мошенников пополняются с каждым часом, да что часом минутой )))! В новостях говорят что особого вреда не было так ерунда несколько файлов потеряли не значительных.
Кстати насчёт Казахстана. Никто не заметил, в момент распространения вируса некоторые .kz cайты подскочили в новостях Гугл до позиций близких к ведущим российским новостным и эти сайты чего-то пытались засадить мне через высокие порты типа 2020. Обычный юзер не заметил бы, нужно по крайней мере иметь файвол на выход. Потом после новостей о вирусе эти казахи упали снова в никуда.
И к слову, казахи, единственные в мире (после NSA) расшифровывают TLS траффик на государственном уровне.
Уже расшифровывают? Откуда информация?
Подскажите добрые люди а что после шифрования файлов Wanna Cry что делает с исходными файлами. Система NTFS, Stellar Phoenix Windows Data Recovery не видит ни одного удаленного файла *.doc, *.xls и так далее. Два винчестера по 1Тб, на первом система с зашифрованным рабочим столом, на ней экспериментирую с восстановлением, на втором архивы с документами которые имеют ценность. Второй просто отсоединил совсем. Попался только один файл *.jpg исходник и зашифрованный файл, который легко удалось восстановить.
Уже вторник, а детального разбора о способе заражения так и не было… Сам под бубном давно сижу. Но на соседнем компе семерка стоит, для если поиграцца захочется, ператка, без обновлений. Вчера включил этот комп. Открыл youtube (на форуме касперского многие писали что заразились во время просмотра), видос какой-то про котиков… В bsod не уходит… Сижу жду… Когда червь полезет!

Судя по ответам, под заражением оказались сети с внешним IP и без вменяемого NAT. А если заразились компы и за NAT провайдера? На форуме KAV много отписавшихся. То можно предположить, что это кто-то собрал червя из компонентов выложенных на гитхабе и начал сканить внутри сети провайдера и долбиться на порты, предварительно сменив адрес биткойн кошелька на свой? И подозревать не студента из Аклахомы, а очкарика-гривачеса из соседнего подъезда?
Глупый вопрос: почему нельзя было заблокировать кошельки этих вымогателей, или поймать их на обнале или попытке перевода средств?..
Заблокировать биткоин более чем проблематично, а поймать на обналичивании — тоже. Бирж для вывода более чем достаточно.
Вот еще… На форуме Касперского народ помимо пропавших фоток, еще жаловался на файлики с паролями, включая запароленные в архивы…

Держать подобное на компе — довольно глупое занятие, кроме случаев когда требуется множество почтовых ящиков, и других аккаунтов одновременно.

Я к тому, что возможно народ темнит… И у всех есть что-то общее помимо закриптованых файлов… И большинство было атаковано целенаправленно…

Ну так… предположение…

Деньги можно не красть, а сделать так, чтобы люди аккаунты потеряли. После тестовой распаковки файлы удалялись?
Вот это бомбануло! Видел столь длинную ветку только при обсуждении статьи про алкоголь тут-же :-) А по теме: ИМХО не есть плохо то, что шифровальщики и прочая дрянь лютует. Критически важные компьютеры и сервера либо бэкапятся, либо изолированы от внешки либо дублированы. А общественности давно пора бы повнимательнее относится к своим железным друзьям. Тут много раз проскакивало «Обновления!» «Не пользуйтесь SMB v1» и пр. А ведь рядовые пользователи и знать не знают, какие порты у них наружу открыты и какая самба у него и есть ли она и что это такое :-)
Реальный пример: водитель босса хвалится: «подключил выделенку на 100 мегабит и СВЕТЛЫЙ адрес заказал! Чтоб ваще быстро было! Провайдер сказал, так круче!». Как думаете, что он ответил на вопрос «на сколько быстрее стал интернет от светлого адреса?»:-D
Так что тут реальное оружие только одно: знания. Нет знаний — нет стабильной и безопасной работы.
Так что тут реальное оружие только одно: знания. Нет знаний — нет стабильной и безопасной работы.


Я бы сказал иначе: реальное «оружие» — элементарное пунктуальное следование рекомендациям и советам manufacturers (того же Microsoft), сказали «лучше обновиться на Windows 10» — значит, обновись, сказали — «установи автоматические апдейты» — ну, установи, не тормози! (новый слоган для «Сникерса»). Предложили купить лицензионную версию OS по цене пары six packs приличного пива — ну, дык купи!

IMHO, больше всего пострадали как раз не «непродвинутые», но правильные пользователи, следующие рекомендациям (ибо они были уже давным-давно защищены), а глупые самонадеянные «ламеры», использующие ворованный software…

sens_boston
сказали: «лучше обновиться на Windows 10» — значит, обновись


Простой пример. Лет 5-6 назад жил я в поселке, где не было никакого инета кроме dial-up, ни ADSL ни 3G, ничего. И был у меня Win modem Genius. 6-8Kb\s скорость загрузки, 14-16Кb\s — если звезды сошлись… Сидел я тогда под XP, кажется… И попал мне в руки внешний модем US Robotics, курьер кажется назывался. В большом черном корпусе, с кучей тумблерков на нижней крышке. Ну щас то у меня инет полетит, думал я! Но радость была не долгой, ровно до момента когда поиски по инету не привели меня к пониманию, что дрова под него закончили писать в период Win 98.

А мало ли еще оборудования, которое работает только под ХР например, использую злополучный протокол? Какие нибудь: купюроприемники, штрихкод сканеры, какой-нибудь многофункциональный газоанализатор или аппарат контроля линии. Что-то же стояло на заводах Рено?

Уверен, есть сети, в которых люди не то что обновляться… чихнуть лишний раз боятся :)
UFO just landed and posted this here
US Robotics
Это win модем. По моему им драва под винду не нужны как раз с начала 2000.

Ну-ну, USR — это компания производитель телеком оборудования.


USR Courier 56k — полноценный модем, прекрасно понимающий AT-команды без всяких дров на всех нормальных ОС. Win-modem — это поделие, получающееся при выбрасывании из модема проца, способного обрабатывать AT-команды, непригодное нигде кроме windows, где обработка модемных команд производится в виндовом драйвере.

UFO just landed and posted this here

В комментарии речь шла про courier или что-то из соседней серии.

Мда…

Нет… Ну я же подробно, изначально объяснил? Ну? То есть, достаточно понятно…

А вы говорите порты открытые… Протоколы незащищенные… Не обновились, там…

Вот конкретно «ЭТИ» критические моменты видно сейчас???
Ну-ну, USR — это компания производитель телеком оборудования.


Ты типа, поумничать решил, что ли?

Courier 56k — полноценный модем, прекрасно понимающий AT-команды без всяких дров
Серъезно чтоль? Напрямки железка команды та прочие прерывания шлет! Просто подключил, и даже соединение создавать не надо? :))) Ты чудило? Неее?;)
А вы говорите, мол…

«Не апдейтят ПО» Дык людей нужно апдейтить сперва.

Вы не замечали, что пользователей Win потряхивает, так слегонца… Не, не замечали? Присмотритесь… :)))

Винда головного мозга… Об этом уже писали выше…

Для начала не хами, мальчик. С пацанами в подворотне хамить можешь, пока в лицо не прилетит. Потом поумнеешь.


Если ты первый раз услышал, как работают с нормальными модемами в linux/*bsd/win, то погугли. Драйвер для COM-порта во всех нормальных операционках на значительную часть железа есть. В винде его обычно надо ставить, но проблемы индейцев, как известно… Дальше, в случае нормального модема/gsm-модема, он обрабатывает пришедшие по uart команды, которые можно слать хоть просто через echo ... > /dev/ttyS0, хоть силами программы, где пользователь создаёт "соединение".

Да я пока еще не хамил, дядя;)

Драйвер для COM-порта во всех нормальных операционках на значительную часть железа есть
.

Дальше… Дальше ты дальше можешь умничать. А модем — есть модем. Как принтер, или как сканер… И всем им требуются дрова.
Нет, наверное есть GSM принтеры. работающие без дров…

/dev/ttyS0, хоть силами программы, где пользователь создаёт «соединение».
Оленьми силами, ты можешь написать еще пару строк;) Как то так, дядя;)
Nord_Air, вы рассматриваете весьма специфический и редкий случай; к тому-же, в описанной вами ситуации шансы подхватить «криптор» у вас были бы минимальными.

Я же имел ввиду безалаберных так называемых «админов-эникейщиков», не имеющих понятия, как настроить безопасность вверенных их заботам компьютеров, а также доморощенных «знатоков», «диванных кул-хацкеров», сидящих на ворованных OS со сломанными механизмами апдейта и даже гордящимися этим (ведь они точно «знают» — по популярным статейкам на хабре и в журнале «Хакер» — что вирус и руткит можно подхватить, только качая непонятные кейгены и открывая документы в аттачментах. Этого они не делают, да, если только кейген или аттачмент не «прислал» кореш Вася («уж он то проверенный и чуткий чувак, говна не пришлет!»).

Законопослушный, правильный, но «непродвинутый» пользователь PC, купивший ноутбук с легитимной предустановленной Windows, да еще и заплативший $100/200 специалисту из магазина за установку и настройку роутера, наверняка не подхватил Wanna Cry, и о проблеме узнал только из истеричных статеек прессы.
Лично я надеюсь, что в связи с происходящими инцидентами начнут происходить 2 вещи:
1. Начатая еще в начале 2000-х движуха с национальной ОС, Альт Линуксом и переводом на свободный софт всех ведомств, министерств и учебных заведений таки будет продолжена и мы перестанем всей страной кормить одну забугорную корпорацию. Я не из «ура-патриотов» и не имею ничего против корпорации. Но не понимаю, нафига огромное количество денег (в т.ч. бюджетных) тратится на то, чтобы люди просто работали с документами? Игрушку дома запустить — да это личное дело. Но на работе ИМХО правильно настроенный Linux — великое дело.
2. Люди в массе начнут задумываться о своей приватности и безопасности своих данных. Начнут больше читать.
Если для того, чтобы мы слезли с иглы одной корпорации и начали включать голову работая с компьютерами нам надо вот такого червечка, то червячок не только навредил, но и дорогу правильную указал.
Да не будет так, или будет но не сейчас…
К сожалению у нас в стране, как говорится — гром не грянет, мужик не почешется, поэтому пока совсем не препрет ничего не поменяется, это если говорить про ОС.
А про пользователей я вообще молчу если раньше хоть как-то помещали в голову умение обращаться с компами, то сейчас каждый второй мнит себя хакером, админом, программистом и тд, при этом даже не изучив предметную область, хотя бы поверхностно чтоб иметь представление.

Это печально, но не почешется часто и тогда, когда уже и грянет :( Управленцы и специалисты обычно совсем разные люди, и управленцы будут до последнего топотать ногами и с пеной у рта требовать воткнуть любой (совершенно любой!) очередной костыль, лишь бы "оно" проработало ещё немного до очередного мифического дедлайна. И вообще пофиг, что там будет или не будет в итоге, show must go on...

У людей предвзятое отношение к *nix. Зачастую весьма древнее.

Если и пересядут, то только те у кого на компе 90% времени открыт браузер.

Все остальные юзают специфичный софт, который написан под вынь… Тот же, видимо, мегафоновский билинг. Следят за платежами, возможно, через e-кассир. И т.д.

Запускать всяко разное добро через wine… Незнаю… Юридически, кстати, это тоже будет ператсттвом. Здесь объектом прав будут выступать dll библиотечки, которые потребуются для wine.
А разве этот вымогатель не есть тот самый гром?
Нее, 300 тыс компов по миру, пшик, вот если бы только по России такая цифра то задумались бы, да и большинство людей узнали об этом из новостей, так мимолетом и забыли. Так что нет, возможно только тех кого коснулось зашевелятся, остальные нет…
Как бороться с вирусом Wana Decrypt0r 2.0 / актуальная тема — осторожность и внимательность сегодня.

Как бороться с вирусом Wana Decrypt0r 2.0

Кто вирус ещё не поймал, заблокируйте 445 порт TCP, скачайте сейчас обновление от Micro$oft (просмотрите, какие ОС могут быть атакованы, WinXP в этом списке нет). Обновите антивирус (бесплатный 360 Total Security подойдет).

Не работайте под аккаунтом администратора (а сами аккаунты администратора должны иметь пароль, притом стойкий, а не тот, что по умолчанию). Не запускайте файлы с множественными расширениями (например, файл devkivoserekupalis.torrent.exe — явно не надо запускать). Чтобы видеть расширения — включите в настройках вида папок показ скрытых расширений.

Бесплатный китайский антивирь 360 Total Security хорош среди прочего тем, что он САМ обновляет винду собственными средствами из собственного репозитория, в который складывает микрософтовские обновления после того, как их проверит на беспроблемность. Это работает даже если у вас ломанная винда с левым ключом. Чтобы обновиться вручную через него — зайдите в раздел «Инструменты», там выберите «Уязвимости» — и он сам выдаст список обновлений, которые у вас еще не стоят. Фича — обновления делятся на обновления безопасности (надо ставить обязательно) и на функциональные обновления (исправляют всякие ошибки, не влияющие на безопасность, и добавляют/меняют функционал компонентов — в общем, их можно не ставить, или ставить выборочно).

Кроме того, в 360 Total Security появился специальный «инструмент для дешифрования ПО-вымогателей». Хе-хе, он вам поможет вернуть файлы, если вы уже влипли. Спасибо китайским контрразведчикам — они спасают мир.

Для любителей дрочить руками вприсядку — вот способ восстановления зараженной машины, пригодный для Windows Vista, 7, 8, 8.1, 10, а также Windows Server 2008/2012/2016:

1. Скачайте патч MS17-010 для нужной Windows https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

2. Отключитесь от интернета.

3. Откройте командную строку (cmd) от имени администратора.

3.1 Пуск => В поиске вбиваете cmd => Нажимаете правой кнопкой мыши => Запуск от имени администратора

4. Вписываете эту команду в командную строку:

netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name=»Block_TCP-445″

4.1 Нажимаете Enter => Должно показать OK.

5. Заходите в безопасный режим

5.1 Во время загрузки и появления окна BIOS-a нажмите F8, после чего в списке выберите «Безопасный режим»

6. Найдите и удалите папку вируса

6.1 Для этого нажмите на любой ярлык вируса правой кнопкой мыши, выберите «Расположение файла», и удалите корневую папку.

7. Перезагрузите компьютер.

8. Зайдите в обычный режим, и запустите устанавливаться патч MS17-010

8.1 Во время установки подключитесь к интернету.

Вот и всё. У моих друзей всё заработало.

ЗЫ. Не удаляйте зашифрованные файлы (т.е. с расширением .wncry) — декриптор вам их восстановит.
источник

от Prudent: ситуация серьезная.

Будьте внимательны и осторожны.

Articles