Comments 118
Возможно, до людей таки дойдёт, когда то же самое начнёт происходить с android, который тоже ничерта не обновляется у большинства пользователей.
Такой уж у меня опыт. Предположения, почему так происходит, и прочую аналитику — оставлю уважаемым читателям.
Почему? Да потому что эта зараза жрет всю ОЗУ которая есть и проц грузит по полной.
Запускаю время от времени обновиться, потом выключаю.
Необновляемая винда на банкоматах конкретно для этой угрозы не так страшна, т.к. в банкоматах никакой ценной информации не хранится (ну разве что логи и записи с камер). Да и сидят эти системы в изолированной сети за двумя NATами (по крайней мере в той организации, где я работаю).
Как я говорил выше — эта вирусня не страшна для старых необновляемых систем на древней XP, т.к. банк потеряет только на времени простоя банкомата, что уйдет на выезд специалиста и на раскатку образа.
Там всё гораздо интересней — ОС там не больше чем фоторамка, все остальные ответственные узлы имеют свой уровень изоляции, шифрование и канал связи с банком. Даже несчастный пин-пад имеет в своём составе независимый криптографический процессор.
Максимум что можно сделать имея под контролем ОС — это парализовать работу банкомата.
Атака была выполнена путём внедрения в банковскую сеть и загрузки зловреда в оперативку АТМ. Хотя в остальном правда — у каждого узла свой уровень изоляции, даже у карт-ридера.
OS/2 форева :)
А если честно то не виже ничего тупого, хотел человек посмотреть для чего домен.
Почему же злоумышленники тогда заранее домен не зарегистрировали? Или они не знают, что генерит их зловред?
Почему же злоумышленники тогда заранее домен не зарегистрировали?
На сколько я знаю — такие домены очень быстро блокируют, потому домены каждый день генерируются новые по определенному алгоритму и закупить доменов на 300 дней вперед — довольно муторно и дорого. Потому безопасники покупают домен, который будет использоваться через 50 дней и останавливают распространение ботнета.
Дело в том, что linka1975 подумал, что раз вы позволяете себе такие комментарии, то вы уже проделывали то что советуете другим.
А на самом деле, у вас Эффект Даннинга — Крюгера
Вы "Я себя специалистом по безопасности не называл и никаких доменов не регистрировал", при этом позволяете давать специалисту советы в стиле "А надо было СНАЧАЛА просмотреть в коде, для чего этот домен нужен, а ПОТОМ его активизировать"
Вы — типичная домохозяйка, которая конечно лучше всех знает что именно и в какой последовательности надо делать. Идите обратно на кухню.
просто я считаю, что если чувак увидел, что один экземпляр заразы стучится в домен, похожий на рандомный, и тут же побежал его регистрировать, то он ни разу не специалист, вам так не кажется?
Нет, не кажется.
2) Не кажется.
Он сначала логично проверил существование этого домена, например на кого он зарегестрирован, ну и сообщить куда следует, чтобы его заморозили…
Но домена не существовало, а потому логично было опередить злоумышленников.
.
и во-вторых, всё прошло так буднично и легко — и написание вируса, и его анализ…
выходит, единственным эсклюзивом был эксплойт от АНБ…
Уже многие пишут, что «дыра» в протоколе была заложена исскуственно, изначально.
Вот и директор Майкрософт публично покритиковал АНБ,
что как бы намекает на игру на публику, с целью отвести от себя критику,
т.к. о неформальных договорённостях крупных компаний с АНБ многократно говорилось…
Нельзя просто так брать и активировать домен в настоящем интернете, на который стучится зараза, не понимая, для чего он ей нужен.
А раз семпл завершается после подключения к домену, то это показывает что распространение с зараженных компов идет, но скорее всего уже безвредное.
Есть версия без тормозов.
>>Блоггер зарегистрировал домен на себя за 8 фунтов ($10,69). Это стандартная практика, говорит он.
>>изучить работу командного центра ботнета, собрать данные о географическом распределении ботов, провести обратную разработку софта. Так что регистрация этих доменов — нормальное дело.
>>Автор блога MalwareTech Blog говорит, что за прошлый год он зарегистрировал несколько тысяч доменов.
Да ну ведь нет никакой случайности,
как и говорится в самой же статье регистрация домена это целенаправленное действие при изучении зловреда.
Вполне очевидно что зарегистрировать домен с именем «iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com» вероятность_крайне_мала.jpeg
Это стандартная практика тратить несколько десятков тысяч баксов в год на регистрацию доменов? )))
Я случайно распространение криптовымогателя.
Про пионеров. Вот видишь ты костёр у стены ядерного реактора, а рядом стоит канистра с какой-то жидкостью. Ты берёшь эту канистру без перчаток и, не понюхав, выливаешь содержимое на костёр. Тебе повезло и там была вода, костёр потушен, ты герой. Другая ситуация — в канистре бензин. Среди руин нашли не пострадавшую канистру (ты «счастливчик»), на ней твои отпечатки пальцев, а ещё ты паспорт убегая выронил и он тоже не сгорел при взрыве реактора. Докажи, что ты не устраивал поджог, а хотел потушить, вылив неизвестное содержимое канистры…
а вот сама возня с таким ПО кажется с России отправила бы героя в места не столь отдаленные.
Учитывая, что была нарушена работа больницы, не ездили скорые и были отменены операции, то вполне могли быть смертельные исходы, так что нарваться на иски шанс был бы очень большой. А дальше уже от изворотливости адвокатов и заинтересованности прокуратуры всё зависело бы.
1. Зачем зловреду вообще обращаться к какому-либо домену? Это для меня смотрится как ненужный костыль.
2. Что мешает вредителям просто поменять название домена, к которому он будет обращаться? Каждый случайно набранный лицом на клавиатуре домен ведь регистрировать никто не будет.
2. Ничего не мешает. Больше того, уже зараженные машины вполне возможно пропатчить.
3. Не давать покоя должен тот факт, что с марта месяца все уязвимые системы могли быть скомпрометированы более грамотными товарищами, эти уж больно на школьников похожи.
Странная логика. Если червяк в песочнице, так та песочница явно контролирует все исходящие запросы и, соответственно, сразу увидит подозрительные обращения по странным адресам. В итоге — «не спалиться» не получится. Кроме того, зачем так «скрываться», если тебя целенаправленно запустили в песочнице? Похоже на попутку спрятаться в хорошо освещённой стеклянной комнате. Ведь и так уже известно, что ты там есть (и, скорее всего, где именно ты там есть).
Ну и провокационный вопрос: если это некорректно реализованная защита, то какая должна быть корректной? И существует ли она в принципе? Сдаётся мне, что нет.
Изучить код конечно же можно всегда только посчитай или прикинь сколько у тебя на это времени уйдёт, за это время всё давным давно уже закончится и твой анализ кода никому не нужен будет, разве что найдёшь парочку пасхалок.
Если есть подозрение, что в конкретном экземпляре есть «секретный алгоритм», то он очень быстро перестанет быть секретным, и уйдет на это намного меньше, чем пять лет.
Вы, видимо, невнимательно прочитали мой комментарий. Спору нет, техники защиты от анализа в песочницах есть, они применяются и, может быть, даже помогают от скорого обнаружения. Но, простите, какая же эта «защита», если:
- нас целенаправленно запустили в песочнице, а значит, уже вычислили;
- мы прямо-таки кричим всему миру — «смотрите, я здесь», отсылая запрос на явно подозрительный адрес? Которого ещё и нет, к тому же. То есть, ловится на раз-два.
Цель же всего этого — определить песочницу и затаиться, если мы в ней. Вместо этого делается абсолютно противоположная вещь. Да и техника обнаружения, как бы это выразится помягче, ненадёжная. Кто мешает песочнице проверить реальное существование хоста и отвечать согласно этому знанию?
Ну и, уж сколько твердят миру, что security through obscurity ещё ни к чему хорошему не приводила, а вы опять туда же. Слово не воробей… в общем, вы поняли.
Что же делать? Создатель песочницв принимает решение — мы будем отправлять 200 OK на все сетевые запросы изнутри песочницы, а вирусы будут думать, что они работают на реальном компе, подключенному к интернету. Ха-ха! Мы обдурили вирусы.
Как бы не так! Вирус стучится к домену, который заведомо незарегистрирован. Ожидает получить таймаут ДНС, или что-то типо того. Но получает 200 ОК, потому что песочницв понятия не имеет о том, что домен незарегистрирован. Вирус понимает, что что-то тут не так — и аварийно завершает работу!
В результате ваш антивирус его не раскусил, говорит что файл не заражён, вы его запускаете на рабочем окружении — и попадаете на виртуальные монетки.
НО! После того как парень зарегистрировал домен и повесил на него какой-то скриптик — весь Интернет стал для вируса «как бы» песочницей, в которой он аварийно завершает работу. Бинго!
пишет что dism не является внутренней или внешней командой, исполняемой программой или пакетным файлом.
И толку от вашей пилюли юзерам?
dism /online /norestart /disable-feature /featurename:SMB1Protocol»
Для домашней системы этого достаточно без установки ms17-010?
Зайдите на speedguide.net/port.php?port=445 и посмотрите какой большой список дыр только в одном из сервисов RPC на этом порте в Windows.
не играйте в онлайн-казино — я @ся переставлять родственникам 7ку на завирусованном ноуте,
если вам принесли флешку с фотками котика — не отказывайтесь от сканирования каспера — внешнего носителя.
улыбок и котиков.
(хотя stuxnet на флешках переносился) (вы же уран не обогащаете в стиральной машине)
Что бы не долбатся с частой переустановкой 7-ки не давайте людям работать на компе под админом.
Админ будет, но не для постоянной работы на компе. А пользователи буду работать с обычной учеткой без прав админа.
А система… чаще всего её можно поднять с бэкапа, по крайней мере нудно переставлять систему и все нужные приложения не надо будет.
И ещё этот пресловутый UAC, который для пользователя услужливо делает дыру в идеологии «не работать под пользователем».
И всё это не могли сделать сотрудники Касперского? За что мы им деньги платим? Реверсануть код вируса — первейшее дело. Моя мнительность может подумать что им выгодна шумиха в СМИ, рождающая мысли типа "вирусы идут, покупайте защиту!"
не благодарите.
разбаньтесь в гугле
ну и если вам нечем в вскр занятся:
бункер саддама расфигачили по координатам, которые французики предоставили амерам. я все
Книжки вроде Zero Day все более похожи на реальность, заметил. Масштабы, скорости заражений стали другими, чем раньше, когда ботнеты тоже были, но тихо себе майнили биткоины, например. Хотя это мой взгляд как неспециалиста, все же не вирусолог. Хотя страшно все равно от этого не менее.
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Компьютер
\hkey_current_config
\system
\services
tsdd
vgasave
все
Этот герой — 22-летний хакер и блоггер из Великобритании, чьё имя пока не стало достоянием гласности.
Автор, вы точно знаете, что это парень, а не девушка?
http://www.rbc.ru/technology_and_media/14/05/2017/5918bae09a7947ce8cc186a1?from=main
Парень случайно остановил глобальное распространение криптовымогателя WannaCrypt