Comments 48
https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi
Команды в конце статьи переформатируйте, пожалуйста, как код:
```
код
```
А то сейчас там, например, автозамена кавычек на «»
происходит, вряд ли вы это имели в виду.
А зачем им определять, кто заплатил а кто нет? Только не говорите, что они заплатившим что-то расшифровывают.
Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.
Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.
#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2
— Darien Huss (@darienhuss) May 12, 2017
Как написал @MalwareTechBlog, когда он регистрировал домен, он не знал, что это приведет к замедлению распространения вируса.
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
— MalwareTech (@MalwareTechBlog) May 13, 2017
Чтобы снова начать заражения, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
https://meduza.io/news/2017/05/13/rasprostranenie-virusa-vymogatelya-udalos-priostanovit-blagodarya-registratsii-domena-iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea-com
блокировал кейгены и актииваторы
А без воровства жить не пробовали?
блокировал кейгены и актииваторыМда, даже не дочитал до этого момента, по диагонали потому что… Ощущение, что ты украл, наверное у товарищей способствует улучшению настроения, потенции и т. п… На самом деле не понимаю, сейчас красть нормальному человеку ничего не нужно (да так и всегда, наверное, было)
Кстати, братаны, не впадлу кому, кейгены для Blender, Gimp, Inkscape, ну дайте, что ли, так хочется попробовать…
У меня отключен дефендер, брандмауер, юак, есть внешний ип работаю под админом, и не разу не ловил не 1 вируса с выхода вин 7, и не совсем понимаю почему заминусили чела, я согласен что если ты хоть чуть чуть шаришь как попадают вирусы то можно смело всё отключать.
на win без антивирусника
никогда не видел вирусов
Логично.
А это, в свою очередь, может послужить толчком к подвижкам общественного мнения, особенно в США — родине АНБ, и в итоге может привести к новому цифровому законодательству, которое положит конец (или, по крайней мере, выведет за рамки закона) подобную деятельность по «защите» граждан.
Надеюсь это всем послужит уроком
При чём там же не какая-то хитро спрятанная дырка. А обычный buffer overflow.
В эту 'волну' не попали, но 'подцепили' криптор по почте. Где-то года два назад.
Я не голосовал, но полагаю, что у вас как-то слишком непонятно идея изложена.
Что такое "криптор"? По-вашему, все модификации шифровальщиков используют одну и ту же утилиту для шифрования?
Практика показывает, что нет: для зашифровывания файлов использовались и функции WinAPI (ну или что-то подобное), и свободно распространяемая утилита GPG, и самописные алгоритмы.
Что из перечисленного вы предлагаете "запретить запускать" и — самое интересное — как вы планируете определять в случае самописной реализации алгоритма, что она производит шифрование, а не какую-то другую легитимную операцию?
Тут я с вами не соглашусь: на мой взгляд, это происходит не часто, а редко; в основной же массе криптовымогатели используют собственный исполняемый файл, уникальный для каждой атаки. Соответственно и запретить его нереально.
Запрет легитимных программ для осуществления шифрования может слегка улучшить ситуацию, но к тотальному решению проблемы, ИМХО, и близко не подведёт.
давольно-таки давно уже:
http://support.kaspersky.com/shadowbrokers
И список пропатченых уязвимостей довольно большой
Видимо, надо ожидать ещё модификаций шифровальщиков
семейства не только WannaCry WannaDecrypt0r Ransom:Win32.WannaCrypt EternalRomance
но и эксплуатирующие другие (следующие) уязвимости из списка АНБ
а потом дойдёт очередь и до iPhone/Android
Ransomware day: массовое заражение Wana Decrypt0r