Pull to refresh

Comments 50

может заразиться только то, что под wine работает, судя по комментам.
так что… лучше линух
Анекдот про неуловимого индейца Джо помните?
к сожалению в компании с большим кол-вом сотрудников не является возможным перевод всех пользователей (особенно слабо технически грамонтных) на другую ОС

Ну либо вам повезёт, либо вот он шанс...

У нас заразилось 4 компьютера из 24 потенциально имеющих возможность заразится (только на 24 отсутствуют нужные KB которые вроде как «Лечат» данную дыру) на что начальство сказало: «Мы не ведем переговоров с террористами» (с) и компьютеры ощутили /diskpart /select disk 0 /clean. Да и пользователи настолько слабо технически подкованы, что я сомневаюсь что компания будет обучать 1500+ пользователей работе в другой/непривычной им ОС

Шанс не работать? Если софт только под Win, то тысячи (или десятки тысяч) рабочих мест перевести не так просто, даже не вспоминая про время и деньги на переписывания систем, разрабатываемых десяток-другой лет. И да, клиентам не повезло (интранет, но первый залетевший дятел начал интенсивно рушить цивилизацию и его не остановить — киллсвич он не увидит даже в той версии, в которой он есть).

Софт — да проблема. И да, насколько она велика конкретно у вас мне не известно. Ну как показывает хоть и скромная, но практика, если внимательно посмотреть инфраструктуру, то оказывается:


  1. что такой софт нужен не всем
  2. чем меньше пользователь компетентен — тем меньше у него шансов наступить на грабли. Особенно на предприятии. Где список необходимого софта строго регламентирован.
  3. психологический барьер существует не в головах переводимых, а в голове переводящих.

Впрочем согласен, что везде по разному...

1.что такой софт нужен не всем

Не всем, но тысячи рабочих мест в нескольких критически важных структурах страны — этого достаточно. И оно критическое, но если что — "денег нет, но вы держитесь", потому пластырь и костыли — всё на что хватает бюджета.


тем меньше у него шансов наступить на грабли

а ему и не надо, SMBv1 и привет, грабли наступлены автоматически, ведомственная сеть без выхода в инет и не очень квалифицированные админы — и нет обновлений, даже killswitch не сработает — как уже сказал без инета, и про админов сказал — сделать такой домен внутри им сложно (они вообще могут про него не знать, хабр не для них).


3.психологический барьер существует не в головах переводимых, а в голове переводящих

Никто не говорил о психологическом барьере, барьер чисто технический. И это не только драйвера устройств (некоторые чуть более уникальны, чем мышка или принтер и нельзя пойти в магазин за заменой), но и всё "нажитое непосильным трудом" — сотни тысяч строк кода на разных языках, зачастую с привязкой к платформе, гвоздями, поскольку писалось ещё очень-очень давно — потому нельзя взять gcc и пересобрать под нужную, некоторым алгоритмам может потребоваться реверс, потому как документация не у всех не всегда идеальная. Я проработал в нескольких конторах, делавших такой софт для совершенно разных организаций и нигде нельзя "просто взять и переписать", теоретиком быть хорошо, но жизнь сурова и несправедлива.

Да попробуйте перевести одного, и Вы увидите обратную взаимосвязь: чем слабее «технически грамотный» (менее компетентен в IT или попросту в «компьютерах»), тем легче пользователь переносит смену ОС. В пределе пользователь замечает только смену обоев. И наоборот.
1) Если вы оказались заражены вирусом (без разницы, кто использует Check Point или нет) – можно писать на emergency-response@checkpoint.com

2) Есть видео, показывающее определение WannaCry by SandBlast Agent
https://youtu.be/0jb8zd7H634

3) Если кто-то получил сомнительный имейл с какими-то вложениями – нужно отправить его вложением к письму на incident@checkpoint.com
или проверьте файл в песочнице
http://threatemulation.checkpoint.com/teb/upload.jsp

Настойчиво НЕ рекомендуется платить злоумышленникам, если уж файлы зашифрованы – деньги уходят от вас (владельцы вируса просят небольшую сумму, в районе 300 долларов), а в итоге вы НЕ получаете и никогда НЕ получите свои файлы. Проверено лабораторией Check Point, которая ждет доступ к тестовым файлам еще с пятницы.
владельцы вируса просят небольшую сумму, в районе 300 долларов
300 долларов
небольшую
Для многих людей в России эта сумма сравнима с их месячной зарплатой. (Называется, почувствуй себя нищебродом. ;-)

У нас пострадали в основном крупные компании.
http://www.elmundo.es/tecnologia/2017/05/12/59158a8ce5fdea194f8b4616.html


В пятницу их работники получали уведомление отключить все персональные компьютеры до выяснения обстоятельств, что практически парализовало работу многих служб. Вобщем-то это говорит о низком уровне корпоративной политики безопасности.

Вобщем-то это говорит о низком уровне корпоративной политики безопасности.

Скорее о полном раздолбайстве.))
Сигнатуры еще в марте были опубликованы…
Обновления для win7 ещё в марте были выпущены, только у меня и у многих других они почему-то отсутствуют в обязательных к установке. https://social.technet.microsoft.com/Forums/en-US/8b072af3-42b0-46b2-84e9-742c1a2fb099/ransomware-wannacry-kb4012212-or-kb4012215-is-not-installed-?forum=w7itprosecurity
Ну это форум. там могут разное написать. подождем официальных заявлений.
Та же ситуация. При автообновлении win7 заплатка не установилась. Только вручную.
Это говорит о низкой зарплате либо отсутствии вообще ИТ специалиста в штате.
Жалко денег на систему бэкапов, лицензионные системы и антивирусы.

В общем: «волки — санитары леса»
Т.е. если специалисту мало платят, то он может плохо работать? У нас рабство давно отменили. Если не устраивает ЗП, ищи другую работу. Но если ты соглашаешься работать на таких условиях, то будь добр относиться добросовестно к своей работе.
Очень смешно. Извините реальность другая особенно в РФ.

— купите Nas для бэкапов?
— да не надо.
По поводу закупок согласен. Весьма часто на инфраструктуру выделяются деньги уже после инцидента.
если специалисту мало платят — специалист уходит, а приходит эникей который изображает бурную деятельность…
если специалисту мало платят, то он может плохо работать

Рабство отменили (вроде, не уверен), если специалисту мало платят, то он увольняется, если мало платят, то он не пойдёт на эту работу, а штатная единица есть и работник должен быть, потому берут не специалиста, а могущего слово конпутер без ошибок написать.


будь добр относиться добросовестно к своей работе

Вы кому это написали? Те "специалисты" про хабр не знают и никогда этого не прочтут.

Не обязательно.


Представьте ситуацию — корпоративные политики безопасности в порядке, в смысле — регламенты написаны замечательно.
Но после "оптимизации" (см статью) в наличии есть менее 10 сисадминов, а железных и виртуальных серверов — несколько тысяч. Причём никто чётко не знает, какие из них в какое время можно перезагружать. Или даже знает что перезагружать нежелательно. Или перезагрузка требует длительного согласования.
Короче, начнёшь перезагрузками системы принудительно дергать — жди увольнения. Да кому нужен такой энтузиазм и самопожертвование.
Вот и довели ситуацию до...

Ну, думаю, что тем у кого нет интернета вирусы вообще не грозят)
Всё, что мне нужно я установил до появления этого шифровальщика.

А сквозь nat на роутере оно может пролезть?

Если у вас static nat или настроен DMZ (часто в домашних роутерах, на пример, это FULL static NAT на конкретный ПК в сети), то ваш ПК и вся сеть в зоне риска.

Вредоносная программа WannaCry ищет уязвимые компьютеры, путем сканирования открытого извне TCP-порта 445 (Server Message Block/SMB). Поэтому неплохой идеей (если ваши процессы допускают это) было бы заблокировать доступ по этому порту (а также по 139-му) из Интернет на вашем межсетевом экране или маршрутизаторе.
Так что порты точно надо закрыть.
Главное вдумчиво подойдите, на заблокируйте полностью работу SMB между локальными сетями.
или настроен DMZ
У меня на роутере DMZ настроен на единственный внутренний IP адрес. На нем линуксовая машина. Я в безопасности?
В относительной, конечно, но безопасности. На линукс, при должном желании, можно запустить вирус под WINE. Так же при наличие папок общего доступа на этом линукс сервере, данные на них могут быть зашифрованы с зараженной виндовой машины, при условии наличия доступа.
В копилку коллективной безопасности: SOC Prime выпустила бесплатный юзкейс WannaCry Detector для SIEM ArcSight. Версии под IBM QRadar & Splunk будут выпущены сегодня. Пока основной вектор детектирорования — это отслеживание коммуникации с командными центрами + факт использования ТОR-сети (в основном именно через нее коммуникации происходят). Будем признательны за обратную связь и доп.идеи.
SIEM Use Case Library https://my.socprime.com/en/ucl/
Update: Используемые признаки компрометации (IOCs) по состоянию на 12:45 MSK 15.05.2017:
— MD5s of malicious processes on host
— Names of malicious processes on host
— Command-line parameters of WannaCry worm, including ones called out by cmd.exe
— File paths identified
— IP addresses and ports reported in OSINT as command centers
Так опишите нормально, как он распространяется.

Где-то говорят, что по почте.
Это как он может исполниться в почте? В Аутглюке?

Где-то говорят, что на почту приходят exe.
Но их же олень должен сам запустить.

Где-то говорят, что через шары.
Капец, почему шары до сих пор по-умолчанию открыты? 21 век на дворе. Уже ж не в первой вирусня тудой льется.

П.С.
Ну когда сделают дружелюбный линукс, а то сижу на XP. Хз, что делать после 19-го года. :)
Извините за copy\past, но вот
1. WannaCryptor – Direct infection utilizing SMB as delivery method – Multiple samples have been identified including copy cats and variants. All tested samples have been detected and blocked by SandBlast Anti-Ransomware and/or Threat Emulation
2. Hostile links within an email
3. Hostile attachments that contain a hostile link within a PDF
4. Hostile attachments that are password encrypted ZIP file which contains a PDF which starts the infection chain.
5. Brute force login attacks against RDP servers which then plant ransomware

Так что вы, http2, почти все вектора и назвали.
Самое интересное, что защитой на сетевом оборудовании здесь не обойтись, как некоторые предлагали (заблокировав нужные порты списками доступа). Если заразить один компьютер (с помощью email с файлом или ссылки на файл или даже с флешки), то из него можно сделать бота, который начнет «лезть» на соседние компы в этом же сегменте. Т.е. на сетевом оборудовании (L3) вы этот трафик даже не увидите, блокируй не блокируй.
Linux Mint вполне себе дружелюбен.
В корпоративном секторе будет преобладать Windows, пока для Linux-а не появится полноценная замена AD и нативная поддержка Office. Ну либо когда все окончательно перекочует в облако (Google Docs, Office 365) и для работы нужен будет только браузер, который можно запускать хоть на линуксе, хоть на андройде…
Интересное предположение, если буква не назначена диску в системе — будет ли заражены файлы на диске? Гипотетически — сложить бекапы на диск, снять с него назначенную букву диска.
image
если у тебя нет файлов, то заражать будет нечего.
а серьезно, то возможно винда не будет знать, то и вирь не узнает о этих дисках/разделах.
Не ну я вполне серьезно, паттерн поиска файлов как правило шарится в диске C:\ D:\ и т.д. собсно нет буквы — как бы и диска нема.

А почему никто не советует для начала остановить и заблокировать запуск в Windows сервиса "Сервер"?
Ну хотя бы на домашнем компе? Хотя бы на компах, которые не расшаривают свои папки?

Потому что сервис «Сервер» отвечает не только за шаринг.
Обеспечивает поддержку общий доступ к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение.


Вы уверены, что кому-то нужны именованные каналы (хз вообще что это :) )?
Ну как-то ещё на ХР «облегчал систему» отключением всех ненужных мне служб. Без «Сервера» инета не было — ставил в автозагрузку (вообще там в районе 6-8 служб всего было).
Без «Сервера» инета не было

Вот сейчас пишу с компа, где "Сервер" остановлен.
Очевидно, у вас причина была в чем-то другом.

Все равно не должно быть такого.
У меня нормально работал комп с USB 3G/4G модемом и остановленным "Сервером".


Впрочем, проприетарный кривой софт оператора может хотеть странного. Кто же ему запретит.

Вот именно.
Ну может они и нужны, но оставлять к ним доступ "через сетевое подключение" у домашнего компа… да многим ли это надо?

Sign up to leave a comment.